مبادئ توجيهية لتمكين تسجيل دخول البطاقة الذكية باستخدام مراجع المصدقة خارجية

ملخص

يمكنك تمكين عملية تسجيل دخول بطاقة الذكية مع نظام التشغيل Microsoft Windows 2000 و Microsoft غير مصدقة (CA) باتباع الإرشادات الموجودة في هذه المقالة. هناك تأييد محدود لهذا التكوين، كما هو موضح لاحقاً في هذا المقال.

مزيد من المعلومات

متطلبات

تتطلب "مصادقة البطاقة الذكية" إلى "Active Directory" ذلك محطات العمل البطاقة الذكية و "خدمة active Directory" ووحدات التحكم بالمجال Active Directory يمكن تكوينه بشكل صحيح. يجب أن تثق active Directory مرجع مصدق لمصادقة المستخدمين استناداً إلى شهادات من المرجع المصدق CA. يجب تكوين كل من محطات العمل البطاقة الذكية ووحدات التحكم بالمجال بشهادات تم تكوينها بشكل صحيح.

كما مع أي تنفيذ مرفق المفاتيح العمومية وكافة الأطراف يجب الثقة "المرجع المصدق الجذر" الذي سلاسل المرجع المصدق المصدر. كل من وحدات التحكم بالمجال ومحطات العمل البطاقة الذكية الثقة هذا الجذر.

تكوين وحدة تحكم المجال والدليل النشط

  • مطلوب: Active Directory يجب أن يكون المرجع المصدق المصدر خارجية في مخزن NTAuth لمصادقة المستخدمين إلى active directory.
  • مطلوب: يجب تكوين وحدات التحكم بالمجال باستخدام شهادة وحدة تحكم بمجال لمصادقة البطاقة الذكية المستخدمين.
  • اختياري: Active Directory يمكن تكوين لتوزيع المرجع المصدق الجذر خارجية لتخزين كافة أعضاء المجال "نهج المجموعة" باستخدام مرجع مصدق جذر موثوق.

متطلبات الشهادة ومحطة العمل البطاقة الذكية

  • المطلوبة: البطاقة الذكية المتطلبات الموضحة في القسم "إرشادات تكوين" يجب تحقيق كافة، بما في ذلك تنسيق النص للحقول. فشل مصادقة البطاقة الذكية إذا لم تتحقق.
  • مطلوب: البطاقة الذكية والمفتاح الخاص يجب تثبيت على البطاقة الذكية.

تعليمات تكوين

  1. تصدير أو تحميل شهادة جذر لجهة أخرى. كيفية الحصول على جذر الجهة شهادة يختلف حسب المورد. فيجب أن تكون في شكل X.509 ترميز Base64.
  2. إضافة المرجع المصدق الجذر خارجية للجذور الموثوق بها في كائن "نهج مجموعة Active Directory". لتكوين "نهج المجموعة" في مجال Windows 2000 لتوزيع CA خارجية إلى المخزن الجذر الموثوق به لكافة أجهزة الكمبيوتر في مجال:
    1. انقر فوق ابدأ وأشر إلى البرامج ثم أشر إلى أدوات إدارية ثم انقر فوق مستخدمي Active Directory وأجهزة الكمبيوتر.
    2. في الجزء الأيمن، حدد موقع المجال الذي يتم تطبيق النهج الذي تريد تحريره.
    3. انقر نقراً مزدوجاً فوق المجال، ومن ثم انقر فوق خصائص.
    4. انقر فوق علامة التبويب نهج المجموعة .
    5. انقر فوق كائن نهج مجموعة نهج المجال الافتراضي ، ومن ثم انقر فوق تحرير. فتح إطار جديد.
    6. في الجزء الأيمن، قم بتوسيع العناصر التالية:
      • تكوين الكمبيوتر
      • إعدادات Windows
      • إعدادات الأمان
      • نهج المفاتيح العمومية
    7. انقر نقراً مزدوجاً فوق المراجع المصدقة الجذر الموثوق بها.
    8. حدد كافة المهامومن ثم انقر فوق استيراد.
    9. اتبع الإرشادات في المعالج استيراد الشهادة.
    10. انقر فوق موافق.
    11. إغلاق إطار نهج المجموعة .
  3. إضافة طرف الثالث إصدار المرجع المصدق إلى مخزن NTAuth في "Active Directory".

    ويجب إصدار شهادة تسجيل دخول البطاقة الذكية من مرجع مصدق في مخزن NTAuth. بشكل افتراضي، يتم إضافة CAs المؤسسة Microsoft إلى مخزن NTAuth.
    • إذا لم يتم ترحيل CA الذي أصدر شهادة تسجيل دخول البطاقة الذكية أو المجال وحدة تحكم الشهادات بشكل صحيح في مخزن NTAuth أو عملية تسجيل دخول البطاقة الذكية لا تعمل. كانت الإجابة المطابقة "قادر على التحقق من بيانات الاعتماد".
    • يوجد مخزن NTAuth في حاوية التكوين للغابة. على سبيل المثال، موقع نموذج كما يلي:
      LDAP://server1.name.com/CN=NTAuthCertificates، CN "خدمات المفتاح العمومي"، CN = خدمات CN = التكوين، DC = = اسم DC = com
    • بشكل افتراضي، يتم إنشاء مخزن هذا عند تثبيت Microsoft المؤسسة CA. يمكنك أيضا إنشاء الكائن يدوياً باستخدام ADSIedit.msc في أدوات دعم Windows 2000 أو باستخدام LDIFDE. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

      كيفية استيراد خارجية شهادات المرجع المصدق (CA) في مخزن NTAuth المؤسسة 295663

    • السمة ذات الصلة هي كاسيرتيفيكاتي، وسلسلة قيم متعددة قائمة الشهادات ترميز ASN ثمانية.

      بعد وضع المرجع المصدق خارجية في مخزن NTAuth، وضع "نهج المجموعة" المستند إلى المجال مفتاح تسجيل (بصمة إبهام الشهادة) في الموقع التالي على كافة أجهزة الكمبيوتر في المجال:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      هذا هو تحديث كل ثماني ساعات على محطات العمل (النموذجي "نهج المجموعة" النبض الفاصل الزمني).
  4. طلب وتثبيت شهادة وحدة تحكم بمجال على وحدة المجال. يجب أن يكون كل وحدة تحكم مجال ما يجري لمصادقة البطاقة الذكية المستخدمين شهادة وحدة تحكم بمجال.

    إذا قمت بتثبيت Microsoft المؤسسة CA في مجموعة تفرعات "Active Directory"، كافة وحدات تحكم مجال تلقائياً تسجيل شهادة وحدة تحكم بمجال. لمزيد من المعلومات حول متطلبات للشهادات وحدة تحكم المجال من مرجع مصدق من جهة خارجية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

    291010 متطلبات الشهادات وحدة تحكم المجال من مرجع مصدق من جهة خارجية

    ملاحظة: يتم استخدام شهادة وحدة التحكم بالمجال لمصادقة طبقة مأخذ التوصيل الآمنة (SSL) بروتوكول نقل البريد البسيط (SMTP)، استدعاء الإجراء البعيد (RPC) التوقيع والتشفير وعملية تسجيل دخول البطاقة الذكية. قد يتسبب استخدام CA غير Microsoft بإصدار شهادة لوحدة تحكم بمجال سلوكاً غير متوقع أو نتائج غير معتمد. قد تؤدي شهادة تنسيقه بشكل صحيح أو شهادة باسم الموضوع في غياب هذه القدرات أو أي قدرات أخرى عن الاستجابة.
  5. طلب شهادة بطاقة ذكية من "المرجع المصدق" طرف ثالث ".

    تسجيل شهادة من المرجع المصدق خارجية يلبي الاحتياجات المبينة. تختلف طريقة التسجيل بحسب المورد المرجع المصدق.

    شهادة البطاقة الذكية على متطلبات تنسيق محدد:
    • يجب أن يكون الموقع نقطة توزيع CRL (CDP) (CRL فيها قائمة إبطال الشهادات) المعممة على الإنترنت ومتاح. على سبيل المثال:
      [1] نقطة توزيع CRL
      اسم نقطة التوزيع:
      الاسم بالكامل:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • استخدام المفتاح = التوقيع الرقمي
    • القيود الأساسية [نوع الموضوع = إنهاء الوحدة، قيد طول المسار = بلا] (اختياري)
    • الاستخدام المحسن للمفتاح =
      • مصادقة العميل (1.3.6.1.5.5.7.3.2)
        (OID مصادقة العميل) هو المستخدم فقط إذا مطلوب شهادة للمصادقة SSL.)
      • تسجيل دخول البطاقة الذكية (1.3.6.1.4.1.311.20.2.2)
    • الاسم البديل للموضوع = اسم آخر: الاسم الأساسي (UPN) =. على سبيل المثال:
      UPN = user1@name.com
      أوثيرنامي UPN (oid): "1.3.6.1.4.1.311.20.2.3"
      قيمة أوثيرنامي UPN: يجب أن تكون السلسلة UTF8 ترميز ASN1
    • الموضوع = الاسم المميز للمستخدم. يكون هذا الحقل ملحق إجباري، لكن سكان هذا الحقل اختيارية.
  6. هناك نوعين من أنواع المعرفة مسبقاً للمفاتيح الخاصة. تكون هذه المفاتيح Only(AT_SIGNATURE) التوقيع و المفتاح Exchange(AT_KEYEXCHANGE). يجب أن يكون لديك شهادات تسجيل دخول البطاقة الذكية نوع مفتاح خاص مفتاح Exchange(AT_KEYEXCHANGE) من أجل تسجيل دخول البطاقة الذكية بشكل صحيح.
  7. تثبيت برامج تشغيل البطاقة الذكية وبرامج لمحطة العمل البطاقة الذكية.

    تأكد من أنه تم تثبيت برنامج الجهاز وبرنامج قارئ البطاقة الذكية المناسبة على محطة العمل البطاقة الذكية. وهذا يختلف حسب المورد قارئ البطاقة الذكية.
  8. تثبيت شهادة البطاقة الذكية خارجية لمحطة العمل البطاقة الذكية.

    إذا لم تم وضع البطاقة الذكية مسبقاً في مخزن مستخدم البطاقة الذكية الشخصية في عملية التسجيل في الخطوة 4، ثم يجب عليك استيراد الشهادة إلى المخزن الشخصي للمستخدم. للقيام بذلك:
    1. فتح في Microsoft Management Console (MMC) التي تحتوي على الأداة الإضافية "الشهادات".
    2. في شجرة وحدة التحكم، تحت الشخصية، انقر فوق الشهادات.
    3. في قائمة " كافة المهام "، انقر فوق استيراد لتشغيل "معالج استيراد الشهادات".
    4. انقر فوق الملف الذي يحتوي على الشهادات التي تقوم باستيرادها.

      ملاحظة: إذا كان الملف الذي يحتوي على الشهادات ملف "تبادل المعلومات الشخصية" (PKCS #12)، اكتب كلمة المرور المستخدمة لتشفير خاصة مفتاح، انقر فوق لتحديد خانة الاختيار المناسبة إذا أردت المفتاح الخاص قابل للتصدير، وقم بتشغيل الحماية الشديدة للمفتاح الخاص (إذا كنت ترغب في استخدام هذه الميزة).

      ملاحظة: لتشغيل الحماية الشديدة للمفتاح الخاص، يجب استخدام وضع العرض مخازن الشهادات المنطقية.
    5. حدد خيار وضع الشهادة في مخزن شهادات القائم على نوع الشهادات تلقائياً.
  9. تثبيت شهادة البطاقة الذكية خارجية إلى البطاقة الذكية. كيفية القيام بذلك تختلف وفقا لموفر خدمة التشفير (CSP) وحسب المورد البطاقة الذكية. راجع الوثائق الخاصة بالمورد للحصول على إرشادات.
  10. تسجيل الدخول إلى محطة العمل مع البطاقة الذكية.

المشاكل المحتملة

أثناء تسجيل دخول البطاقة الذكية، مشاهدة رسالة الخطأ الأكثر شيوعاً:

لم يتمكن النظام من تسجيل. لا يمكن التحقق من بيانات الاعتماد الخاصة بك.
هذه رسالة خطأ عامة ويمكن أن يكون نتيجة لواحد أو أكثر من العديد من المشكلات الموضحة أدناه.

مشاكل في الشهادة والتكوين

  • وحدة التحكم بالمجال بلم شهادة وحدة التحكم بالمجال.
  • يتم تنسيق الحقل SubjAltName شهادة البطاقة الذكية غير صالح. في حالة ظهور المعلومات في الحقل سوبجالتنامي بالنظام الست عشري/ASCII البيانات الأولية، تنسيق النص ليس ASN1/UTF 8.
  • وحدة التحكم بالمجال بشهادة إلا تالف أو غير كاملة.
  • لكل من الشروط التالية، يجب طلب شهادة جديدة تحكم مجال صالح. إذا انتهت مدة صلاحية شهادة وحدة التحكم بالمجال صالح الخاص بك، يمكنك تجديد شهادة وحدة التحكم بالمجال، ولكن هذه العملية عادة أكثر صعوبة من طلب شهادة وحدة تحكم بمجال جديدة وأكثر تعقيداً.
    • انتهت مدة صلاحية شهادة وحدة التحكم بالمجال.
    • وحدة التحكم بالمجال ذات شهادة غير موثوق به. إذا لم يتضمن شهادة المرجع المصدق (CA) الشهادة شهادة وحدة التحكم بالمجال في مخزن NTAuth إصدار المرجع المصدق، يجب إضافته إلى مخزن NTAuth أو الحصول على شهادة DC من موجود في مخزن NTAuth لديه شهادة CA.

      إذا كانت وحدات التحكم بالمجال أو محطات العمل البطاقة الذكية لا تثق "المرجع المصدق الجذر" الذي سلاسل الشهادة وحدة تحكم المجال، ثم يجب عليك تكوين أجهزة الكمبيوتر هذه للثقة بالمرجع المصدق CA الجذر.
    • البطاقة الذكية ذات شهادة غير موثوق به. إذا لم يتضمن الشهادة (ca) لشهادة البطاقة الذكية في مخزن NTAuth إصدار المرجع المصدق، يجب إضافته إلى مخزن NTAuth أو الحصول على شهادة البطاقة ذكية من موجود في مخزن NTAuth لديه شهادة CA.

      إذا كانت وحدات التحكم بالمجال أو محطات العمل البطاقة الذكية لا تثق "المرجع المصدق الجذر" الذي سلاسل شهادة البطاقة الذكية للمستخدم، ثم يجب عليك تكوين أجهزة الكمبيوتر هذه للثقة بالمرجع المصدق CA الجذر.
    • لم يتم تثبيت شهادة البطاقة الذكية في مخزن المستخدم على محطة العمل. يجب أن تتواجد الشهادة التي تم تخزينها على البطاقة الذكية على محطة العمل البطاقة الذكية في التشكيل الجانبي الخاص بالمستخدم الذي قام بتسجيل الدخول باستخدام البطاقة الذكية.

      ملاحظة: لم يتم تخزين المفتاح الخاص في ملف تعريف المستخدم على محطة العمل. يتطلب فقط ليتم تخزينها على البطاقة الذكية.
    • شهادة البطاقة الذكية الصحيح أو المفتاح الخاص غير مثبت على البطاقة الذكية. يجب تثبيت شهادة البطاقة الذكية صالح على البطاقة الذكية باستخدام المفتاح الخاص والشهادة يجب أن تطابق شهادة مخزنة في ملف تعريف مستخدم البطاقة الذكية على محطة العمل البطاقة الذكية.
    • لا يمكن استرداد شهادة البطاقة الذكية من قارئ البطاقة الذكية. هذا يمكن أن يكون مشكلة مع جهاز قارئ البطاقة الذكية أو برنامج تشغيل قارئ البطاقة الذكية. تحقق من أنه يمكنك استخدام برامج الموردين قارئ البطاقة الذكية لعرض الشهادة والمفتاح الخاص على البطاقة الذكية.
    • انتهت صلاحية شهادة البطاقة الذكية.
    • يتوفر لا المستخدم الرئيسي اسم (UPN) في ملحق SubjAltName شهادة البطاقة الذكية.
    • يتم تنسيق UPN في الحقل SubjAltName شهادة البطاقة الذكية غير صالح. في حالة ظهور المعلومات في سوبجالتنامي بالنظام الست عشري/ASCII البيانات الأولية، تنسيق النص ليس ASN1/UTF 8.
    • البطاقة الذكية بشهادة إلا تالف أو غير كاملة. لكل من هذه الحالات، يجب طلب شهادة البطاقة ذكية صالح جديدة وتثبيت البطاقة الذكية وفي التشكيل الجانبي للمستخدم على محطة العمل البطاقة الذكية. شهادة البطاقة الذكية يجب تحقيق المتطلبات الموصوفة سابقا في هذه المقالة، التي تتضمن حقل UPN منسق بشكل صحيح في الحقل سوبجالتنامي.

      إذا انتهت صلاحية شهادة البطاقة الذكية صالح الخاص بك، يمكنك أيضا تجديد شهادة البطاقة الذكية، ولكن هذا عادة أكثر تعقيداً وصعوبة من طلب شهادة البطاقة ذكية جديدة.
    • المستخدم ليس لديه UPN معرف في حساب مستخدم Active Directory الخاص به. يجب أن يكون حساب المستخدم في "Active Directory" UPN صحيح في خاصية userPrincipalName لحساب المستخدم في "Active Directory" مستخدم البطاقة الذكية.
    • لا يطابق UPN في الشهادة UPN المعرفة في حساب المستخدم في "Active Directory" الخاص بالمستخدم. يجب تصحيح UPN في حساب المستخدم في "Active Directory" مستخدم البطاقة الذكية أو إعادة إصدار شهادة البطاقة الذكية حيث أن UPN القيمة في الحقل سوبجالتنامي التطابقات UPN في حساب المستخدم في "Active Directory" البطاقة الذكية المستخدمين. من المستحسن أن البطاقة الذكية UPN مطابقة سمة الحساب المستخدم userPrincipalName مراجع مصدقة خارجية. ومع ذلك، إذا كان UPN في الشهادة "إيمبليكت UPN" الحساب (تنسيق samAccountName@domain_FQDN)، UPN لم تطابق الخاصية userPrincipalName بوضوح.

فحص مشاكل الأبطال

في حالة فشل التحقق من الأبطال عند وحدة تحكم المجال بالتحقق من صحة شهادة تسجيل دخول البطاقة الذكية، يرفض وحدة تحكم مجال تسجيل الدخول. قد وحدة التحكم بالمجال بإرجاع رسالة الخطأ المذكورة سابقا أو رسالة الخطأ التالية:

لم يتمكن النظام من تسجيل. لم يتم الوثوق شهادة البطاقة الذكية المستخدمة للمصادقة.
ملاحظة: فشل البحث عن وتحميل قائمة إبطال الشهادات (CRL) CRL غير صالح، شهادة تم إبطالها وحالة إبطال "مجهول" يتم اعتبار فشل الأبطال.

يجب أن ينجح تدقيق الأبطال من العميل ووحدة التحكم بالمجال. تأكد من التالية صحيحاً:

  • التحقق من الأبطال لا يتم إيقاف تشغيل.

    التحقق من إبطال إبطال مضمنة لا يمكن إيقاف مقدمي الخدمات. إذا تم تثبيت موفر إبطال لتثبيت مخصص، يجب أن يكون قيد التشغيل.
  • تحتوي كل شهادة "المرجع المصدق" استثناء المرجع المصدق الجذر في سلسلة الشهادات على ملحق CDP صالح في الشهادة.
  • CRL "التحديث التالي" حقل و CRL حتى الآن. يمكنك التحقق من CRL أنه صالح وعلى شبكة الإنترنت في لجنة السياسات الإنمائية عن طريق تحميل من Internet Explorer. يجب أن يكون قادراً على تحميل وعرض CRL من أي بروتوكول نقل نص تشعبي (HTTP) أو بروتوكول نقل الملفات (FTP) توضع في Internet Explorer من workstation(s) البطاقة الذكية ووحدة المجال.
تأكد من أن كل فريد HTTP و FTP CDP المستخدمة من قبل إحدى شهادات في المؤسسة الخاصة بك اتصال مباشر ومتوفرة.

للتحقق من CRL عبر الإنترنت ومن خلال FTP أو HTTP CDP:

  1. لفتح الشهادات المعنية، انقر نقراً مزدوجاً فوق ملف.cer أو انقر نقراً مزدوجاً فوق الشهادة في المخزن.
  2. انقر فوق علامة التبويب تفاصيل ، قم بالتمرير وحدد الحقل نقطة توزيع CRL .
  3. في الجزء السفلي، قم بتمييز FTP أو HTTP محدد موقع المعلومات (URL) كامل ونسخة.
  4. افتح Internet Explorer ولصق عنوان URL في شريط العناوين .
  5. عند ظهور المطالبة، حدد الخيار فتح CRL.
  6. تأكد من أن يكون هناك حقل التحديث التالي في CRL ولم يمر الوقت في مجال التحديث التالي .
لتنزيل أو التحقق من صحة دليل بروتوكول الوصول الخفيف (LDAP) لجنة السياسات الإنمائية، يجب كتابة برنامج نصي أو تطبيقاً لتنزيل CRL. بعد تحميل وفتح CRL، تأكد من أن يكون هناك حقل التحديث التالي في CRL ولم يمر الوقت في مجال "التحديث التالي".


الدعم

لا يعتمد Microsoft Product Support Services عملية تسجيل دخول البطاقة الذكية CA خارجية إذا تبين مساهمة واحد أو أكثر من العناصر التالية للمشكلة:

  • تنسيق الشهادة غير صحيح.
  • حالة الشهادة أو حالة الأبطال غير متوفرة من جهة خارجية المرجع المصدق.
  • مشكلات تسجيل الشهادة من مرجع مصدق من جهة خارجية.
  • لا يمكن نشر المرجع المصدق خارجية إلى "Active Directory".
  • يعتبر CSP خارجية.

معلومات إضافية

يتحقق الكمبيوتر العميل شهادة وحدة تحكم المجال. الكمبيوتر المحلي وبالتالي تحميل CRL لشهادة وحدة التحكم بالمجال في ذاكرة التخزين المؤقت CRL.

عملية تسجيل الدخول دون اتصال لا تتضمن الشهادات وبيانات الاعتماد المخزنة مؤقتاً.

لفرض مخزن NTAuth يمكن ملؤها فورا على كمبيوتر محلي بدلاً من انتظار نشر "نهج المجموعة" التالية، بتشغيل الأمر التالي لبدء عملية تحديث "نهج المجموعة":

dsstore.exe-نبض

يمكنك أيضا تفريغ معلومات البطاقة الذكية في Windows Server 2003 وفي نظام التشغيل Windows XP باستخدام الأمر سسينفو Certutil.exe .

خصائص

رقم الموضوع: 281245 - آخر مراجعة: 12‏/01‏/2017 - المراجعة: 1

تعليقات