Instructions pour activer l’ouverture de session smart carte auprès d’autorités de certification tierces

  • Article

Cet article fournit des instructions pour activer l’ouverture de session de carte intelligente auprès d’autorités de certification tierces.

S’applique à : Windows Server 2012 R2, Windows 10 (toutes les éditions)
Numéro de la base de connaissances d’origine : 281245

Résumé

Vous pouvez activer un processus d’ouverture de session intelligent carte avec Microsoft Windows 2000 et une autorité de certification non-Microsoft en suivant les instructions de cet article. La prise en charge limitée de cette configuration est décrite plus loin dans cet article.

Plus d’informations

Configuration requise

L’authentification par carte à puce auprès d’Active Directory nécessite que les stations de travail de carte à puce, Active Directory et les contrôleurs de domaine Active Directory soient correctement configurés. Active Directory doit approuver une autorité de certification pour authentifier les utilisateurs en fonction des certificats de cette autorité de certification. Les stations de travail de carte à puce et les contrôleurs de domaine doivent être configurés avec des certificats correctement configurés.

Comme pour toute implémentation pKI, toutes les parties doivent approuver l’autorité de certification racine à laquelle l’autorité de certification émettrice est liée. Les contrôleurs de domaine et les stations de travail de carte à puce approuvent cette racine.

Configuration d’Active Directory et de contrôleur de domaine

  • Obligatoire : Active Directory doit disposer de l’autorité de certification émettrice tierce dans le magasin NTAuth pour authentifier les utilisateurs auprès d’Active Directory.
  • Obligatoire : les contrôleurs de domaine doivent être configurés avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce.
  • Facultatif : Active Directory peut être configuré pour distribuer l’autorité de certification racine tierce au magasin d’autorité de certification racine approuvée de tous les membres du domaine à l’aide de la stratégie de groupe.

Exigences relatives aux certificats de carte à puce et aux stations de travail

  • Obligatoire : toutes les exigences relatives aux cartes à puce décrites dans la section « Instructions de configuration » doivent être satisfaites, y compris la mise en forme du texte des champs. L’authentification par carte à puce échoue si elles ne sont pas remplies.
  • Obligatoire : la carte à puce et la clé privée doivent être installées sur la carte à puce.

Instructions de configuration

  1. Exportez ou téléchargez le certificat racine tiers. La façon d’obtenir le certificat racine tiers varie selon le fournisseur. Le certificat doit être au format X.509 codé en Base64.

  2. Ajoutez l’autorité de certification racine tierce aux racines approuvées dans un objet stratégie de groupe Active Directory. Pour configurer stratégie de groupe dans le domaine Windows 2000 afin de distribuer l’autorité de certification tierce au magasin racine approuvé de tous les ordinateurs de domaine :

    1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.
    2. Dans le volet gauche, recherchez le domaine dans lequel la stratégie que vous souhaitez modifier est appliquée.
    3. Cliquez avec le bouton droit sur le domaine, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet stratégie de groupe.
    5. Cliquez sur l’objet Stratégie de domaine par défaut stratégie de groupe, puis cliquez sur Modifier. Une nouvelle fenêtre s’ouvre.
    6. Dans le volet gauche, développez les éléments suivants :
      • Ordinateur configuration
      • Paramètres Windows
      • Paramètres de sécurité
      • Stratégie de clé publique
    7. Cliquez avec le bouton droit sur Autorités de certification racines approuvées.
    8. Sélectionnez Toutes les tâches, puis cliquez sur Importer.
    9. Suivez les instructions de l’Assistant pour importer le certificat.
    10. Cliquez sur OK.
    11. Fermez la fenêtre stratégie de groupe.

  3. Ajoutez le tiers qui émet l’autorité de certification au magasin NTAuth dans Active Directory.

    Le certificat d’ouverture de session smart carte doit être émis à partir d’une autorité de certification qui se trouve dans le magasin NTAuth. Par défaut, les autorités de certification Microsoft Enterprise sont ajoutées au magasin NTAuth.

    • Si l’autorité de certification qui a émis le certificat d’ouverture de session smart carte ou les certificats de contrôleur de domaine n’est pas correctement publiée dans le magasin NTAuth, le processus d’ouverture de session smart carte ne fonctionne pas. La réponse correspondante est « Impossible de vérifier les informations d’identification ».

    • Le magasin NTAuth se trouve dans le conteneur Configuration de la forêt. Par exemple, un exemple d’emplacement est le suivant : LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Par défaut, ce magasin est créé lorsque vous installez une autorité de certification Microsoft Enterprise. L’objet peut également être créé manuellement à l’aide d’ADSIedit.msc dans les outils de support windows 2000 ou à l’aide de LDIFDE. Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

      295663 Comment importer des certificats d’autorité de certification tierce dans le magasin Enterprise NTAuth

    • L’attribut approprié est cACertificate, qui est une chaîne d’octets, liste à valeurs multiples de certificats encodés ASN.

      Après avoir placé l’autorité de certification tierce dans le magasin NTAuth, stratégie de groupe de domaine place une clé de Registre (une empreinte du certificat) à l’emplacement suivant sur tous les ordinateurs du domaine :

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Il est actualisé toutes les huit heures sur les stations de travail (l’intervalle d’impulsion stratégie de groupe classique).

  4. Demandez et installez un certificat de contrôleur de domaine sur le ou les contrôleurs de domaine. Chaque contrôleur de domaine qui va authentifier les utilisateurs de carte à puce doit disposer d’un certificat de contrôleur de domaine.

    Si vous installez une autorité de certification Microsoft Enterprise dans une forêt Active Directory, tous les contrôleurs de domaine s’inscrivent automatiquement pour obtenir un certificat de contrôleur de domaine. Pour plus d’informations sur la configuration requise pour les certificats de contrôleur de domaine provenant d’une autorité de certification tierce, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    291010 Conditions requises pour les certificats de contrôleur de domaine provenant d’une autorité de certification tierce

    Remarque

    Le certificat de contrôleur de domaine est utilisé pour l’authentification SSL (Secure Sockets Layer), le chiffrement SMTP (Simple Mail Transfer Protocol), la signature RPC (Remote Procedure Call) et le processus d’ouverture de session smart carte. L’utilisation d’une autorité de certification non-Microsoft pour émettre un certificat à un contrôleur de domaine peut entraîner un comportement inattendu ou des résultats non pris en charge. Un certificat mal mis en forme ou un certificat dont le nom d’objet est absent peut entraîner l’arrêt de ces fonctionnalités ou d’autres fonctionnalités.

  5. Demandez un certificat smart carte à l’autorité de certification tierce.

    Inscrivez-vous pour obtenir un certificat de l’autorité de certification tierce qui répond aux exigences indiquées. La méthode d’inscription varie selon le fournisseur de l’autorité de certification.

    Le certificat smart carte a des exigences de format spécifiques :

    • L’emplacement du point de distribution de la liste de révocation de certificats (CDP) (où la liste de révocation de certificats est la liste de révocation de certificats) doit être rempli, en ligne et disponible. Par exemple :

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Utilisation de la clé = Signature numérique

    • Contraintes de base [Subject Type=End Entity, Path Length Constraint=None] (Facultatif)

    • Utilisation améliorée de la clé =

      • Authentification du client (1.3.6.1.5.5.7.3.2)
        (L’OID d’authentification client) n’est requis que si un certificat est utilisé pour l’authentification SSL.)
      • Connexion par carte à puce (1.3.6.1.4.1.311.20.2.2)

    • Autre nom de l’objet = Autre nom : Nom principal= (UPN). Par exemple :
      UPN = user1@name.com
      L’OID UpN OtherName est : « 1.3.6.1.4.1.311.20.2.3 »
      Valeur UPN OtherName : doit être une chaîne UTF8 encodée en ASN1

    • Subject = Nom unique de l’utilisateur. Ce champ est une extension obligatoire, mais la population de ce champ est facultative.

  6. Il existe deux types prédéfinis de clés privées. Ces clés sont Signature seule(AT_SIGNATURE) et Key Exchange(AT_KEYEXCHANGE). Les certificats d’ouverture de session par carte à puce doivent avoir un type de clé privée Key Exchange(AT_KEYEXCHANGE) pour que l’ouverture de session par carte à puce fonctionne correctement.

  7. Installez des pilotes et des logiciels de carte à puce sur la station de travail de carte à puce.

    Assurez-vous que le lecteur de carte à puce et le logiciel de pilote appropriés sont installés sur la station de travail de carte à puce. Il varie selon le fournisseur de lecteur de carte à puce.

  8. Installez le certificat de carte à puce tiers sur la station de travail de carte à puce.

    Si la carte à puce n’a pas déjà été placée dans le magasin personnel de l’utilisateur de carte à puce lors du processus d’inscription à l’étape 4, vous devez importer le certificat dans le magasin personnel de l’utilisateur. Pour ce faire, procédez comme suit :

    1. Ouvrez la console MMC (Microsoft Management Console) qui contient le composant logiciel enfichable Certificats.

    2. Dans l’arborescence de la console, sous Personnel, cliquez sur Certificats.

    3. Dans le menu Toutes les tâches, cliquez sur Importer pour démarrer l’Assistant Importation de certificat.

    4. Cliquez sur le fichier qui contient les certificats que vous importez.

      Remarque

      Si le fichier qui contient les certificats est un fichier d’échange d’informations personnelles (PKCS #12), tapez le mot de passe que vous avez utilisé pour chiffrer la clé privée, cliquez pour sélectionner la zone de case activée appropriée si vous souhaitez que la clé privée soit exportable, puis activez la protection de clé privée forte (si vous souhaitez utiliser cette fonctionnalité).

      Remarque

      Pour activer une protection forte par clé privée, vous devez utiliser le mode d’affichage Magasins de certificats logiques.

    5. Sélectionnez l’option permettant de placer automatiquement le certificat dans un magasin de certificats en fonction du type de certificat.

  9. Installez le certificat de carte à puce tiers sur la carte à puce. Cette installation varie en fonction du fournisseur de services de chiffrement (CSP) et du fournisseur de cartes à puce. Pour obtenir des instructions, consultez la documentation du fournisseur.

  10. Connectez-vous à la station de travail avec la carte à puce.

Problèmes possibles

Lors de l’ouverture de session par carte à puce, le message d’erreur le plus courant est le suivant :

Le système n’a pas pu vous connecter. Vos informations d’identification n’ont pas pu être vérifiées.

Ce message est une erreur générique qui peut être le résultat d’un ou plusieurs des problèmes ci-dessous.

Problèmes de certificat et de configuration

  • Le contrôleur de domaine n’a pas de certificat de contrôleur de domaine.

  • Le champ SubjAltName du certificat de carte à puce est mal mis en forme. Si les informations du champ SubjAltName apparaissent sous forme de données brutes Hexadécimales/ASCII, la mise en forme du texte n’est pas ASN1/UTF-8.

  • Le contrôleur de domaine a un certificat autrement incorrect ou incomplet.

  • Pour chacune des conditions suivantes, vous devez demander un nouveau certificat de contrôleur de domaine valide. Si votre certificat de contrôleur de domaine valide a expiré, vous pouvez renouveler le certificat de contrôleur de domaine, mais ce processus est plus complexe et généralement plus difficile que si vous demandez un nouveau certificat de contrôleur de domaine.

    • Le certificat du contrôleur de domaine a expiré.
    • Le contrôleur de domaine a un certificat non approuvé. Si le magasin NTAuth ne contient pas le certificat d’autorité de certification (CA) de l’autorité de certification émettrice du certificat du contrôleur de domaine, vous devez l’ajouter au magasin NTAuth ou obtenir un certificat DC auprès d’une autorité de certification émettrice dont le certificat réside dans le magasin NTAuth.

    Si les contrôleurs de domaine ou les stations de travail de carte à puce n’approuvent pas l’autorité de certification racine à laquelle les chaînes de certificats du contrôleur de domaine sont chaînes, vous devez configurer ces ordinateurs pour approuver cette autorité de certification racine.

  • La carte à puce a un certificat non approuvé. Si le magasin NTAuth ne contient pas le certificat d’autorité de certification de l’autorité de certification émettrice du certificat à puce, vous devez l’ajouter au magasin NTAuth ou obtenir un certificat de carte à puce auprès d’une autorité de certification émettrice dont le certificat réside dans le magasin NTAuth.

    Si les contrôleurs de domaine ou les stations de travail de carte à puce n’approuvent pas l’autorité de certification racine à laquelle le certificat de carte à puce de l’utilisateur est lié, vous devez configurer ces ordinateurs pour approuver cette autorité de certification racine.

  • Le certificat du carte intelligent n’est pas installé dans le magasin de l’utilisateur sur la station de travail. Le certificat stocké sur la carte à puce doit résider sur la station de travail de carte à puce dans le profil de l’utilisateur qui se connecte avec le carte intelligent.

    Remarque

    Vous n’avez pas besoin de stocker la clé privée dans le profil de l’utilisateur sur la station de travail. Il doit uniquement être stocké sur la carte à puce.

  • Le certificat de carte à puce ou la clé privée appropriés n’est pas installé sur la carte à puce. Le certificat de carte à puce valide doit être installé sur la carte à puce avec la clé privée et le certificat doit correspondre à un certificat stocké dans le profil utilisateur de la carte à puce sur la station de travail de carte à puce.

  • Le certificat du carte intelligent ne peut pas être récupéré à partir du lecteur de carte à puce. Il peut s’agir d’un problème avec le matériel du lecteur de carte à puce ou le logiciel de pilote du lecteur de carte à puce. Vérifiez que vous pouvez utiliser le logiciel du fournisseur du lecteur de carte à puce pour afficher le certificat et la clé privée sur la carte à puce.

  • Le certificat de carte à puce a expiré.

  • Aucun nom d’utilisateur principal (UPN) n’est disponible dans l’extension SubjAltName du certificat de carte à puce.

  • L’UPN dans le champ SubjAltName du certificat de carte à puce est mal mis en forme. Si les informations contenues dans SubjAltName apparaissent sous forme de données brutes hexadécimales/ASCII, la mise en forme du texte n’est pas ASN1/UTF-8.

  • La carte à puce a un certificat autrement incorrect ou incomplet. Pour chacune de ces conditions, vous devez demander un nouveau certificat de carte à puce valide et l’installer sur la carte à puce et dans le profil de l’utilisateur sur la station de travail de carte à puce. Le certificat de carte à puce doit répondre aux exigences décrites plus haut dans cet article, qui incluent un champ UPN correctement mis en forme dans le champ SubjAltName.

    Si votre certificat de carte à puce valide a expiré, vous pouvez également renouveler le certificat de carte à puce, ce qui est plus complexe et plus difficile que de demander un nouveau certificat de carte à puce.

  • L’utilisateur n’a pas d’UPN défini dans son compte d’utilisateur Active Directory. Le compte d’utilisateur dans Active Directory doit avoir un UPN valide dans la propriété userPrincipalName du compte d’utilisateur Active Directory de l’utilisateur de carte à puce.

  • L’UPN du certificat ne correspond pas à l’UPN défini dans le compte d’utilisateur Active Directory de l’utilisateur. Corrigez l’UPN dans le compte d’utilisateur Active Directory de l’utilisateur de carte à puce ou réexécutez le certificat de carte à puce afin que la valeur UPN dans le champ SubjAltName corresponde à l’UPN dans le compte d’utilisateur Active Directory des utilisateurs de cartes à puce. Nous recommandons que l’UPN carte intelligent corresponde à l’attribut de compte d’utilisateur userPrincipalName pour les autorités de certification tierces. Toutefois, si l’UPN dans le certificat est l’UPN implicite du compte (format samAccountName@domain_FQDN), l’UPN n’a pas besoin de correspondre explicitement à la propriété userPrincipalName.

Problèmes de vérification de la révocation

Si la vérification de la révocation échoue lorsque le contrôleur de domaine valide le certificat d’ouverture de session smart carte, le contrôleur de domaine refuse l’ouverture de session. Le contrôleur de domaine peut retourner le message d’erreur mentionné précédemment ou le message d’erreur suivant :

Le système n’a pas pu vous connecter. Le certificat de carte à puce utilisé pour l’authentification n’était pas approuvé.

Remarque

Le fait de ne pas trouver et télécharger la liste de révocation de certificats (CRL), une liste de révocation de certificats non valide, un certificat révoqué et un status de révocation « inconnu » sont tous considérés comme des échecs de révocation.

La révocation case activée doit réussir à la fois à partir du client et du contrôleur de domaine. Vérifiez que les conditions suivantes sont remplies :

  • La vérification de la révocation n’est pas désactivée.

    Les case activée de révocation pour les fournisseurs de révocation intégrés ne peuvent pas être désactivés. Si un fournisseur de révocation installable personnalisé est installé, il doit être activé.

  • Chaque certificat d’autorité de certification à l’exception de l’autorité de certification racine dans la chaîne de certificats contient une extension CDP valide dans le certificat.

  • La liste de révocation de certificats comporte un champ Mise à jour suivante et la liste de révocation de certificats est à jour. Vous pouvez case activée que la liste de révocation de certificats est en ligne sur le CDP et valide en la téléchargeant à partir d’Internet Explorer. Vous devez être en mesure de télécharger et d’afficher la liste de révocation de certificats à partir de l’un des CDP HTTP (HyperText Transport Protocol) ou FTP (File Transfer Protocol) dans Internet Explorer à partir des stations de travail de carte à puce et des contrôleurs de domaine.

Vérifiez que chaque CDP HTTP et FTP unique utilisé par un certificat dans votre entreprise est en ligne et disponible.

Pour vérifier qu’une liste de révocation de certificats est en ligne et disponible à partir d’un CDP FTP ou HTTP :

  1. Pour ouvrir le certificat en question, double-cliquez sur le fichier .cer ou double-cliquez sur le certificat dans le magasin.
  2. Cliquez sur l’onglet Détails, puis sélectionnez le champ Point de distribution de la liste de révocation de certificats.
  3. Dans le volet inférieur, mettez en surbrillance l’URL (URL) FTP ou HTTP uniform Resource Locator complète et copiez-la.
  4. Ouvrez Internet Explorer et collez l’URL dans la barre d’adresse.
  5. Lorsque vous recevez l’invite, sélectionnez l’option Ouvrir la liste de révocation de certificats.
  6. Vérifiez qu’il existe un champ Mise à jour suivante dans la liste de révocation de certificats et que l’heure dans le champ Mise à jour suivante n’est pas écoulée.

Pour télécharger ou vérifier qu’un CDP LDAP (Lightweight Directory Access Protocol) est valide, vous devez écrire un script ou une application pour télécharger la liste de révocation de certificats. Après avoir téléchargé et ouvert la liste de révocation de certificats, vérifiez qu’il existe un champ Mise à jour suivante dans la liste de révocation de certificats et que l’heure dans le champ Mise à jour suivante n’est pas écoulée.

Support

Les services de support technique Microsoft ne prennent pas en charge le processus d’ouverture de session intelligent de carte l’autorité de certification tierce s’il est déterminé qu’un ou plusieurs des éléments suivants contribuent au problème :

  • Format de certificat incorrect.
  • L’status de certificat ou la révocation status pas disponibles auprès de l’autorité de certification tierce.
  • Problèmes d’inscription de certificat provenant d’une autorité de certification tierce.
  • L’autorité de certification tierce ne peut pas publier sur Active Directory.
  • Un fournisseur de services de configuration tiers.

Informations supplémentaires

L’ordinateur client vérifie le certificat du contrôleur de domaine. L’ordinateur local télécharge donc une liste de révocation de certificats pour le certificat de contrôleur de domaine dans le cache de liste de révocation de certificats.

Le processus d’ouverture de session hors connexion n’implique pas de certificats, mais uniquement des informations d’identification mises en cache.

Pour forcer le remplissage immédiat du magasin NTAuth sur un ordinateur local au lieu d’attendre la propagation stratégie de groupe suivante, exécutez la commande suivante pour lancer une mise à jour stratégie de groupe :

  dsstore.exe -pulse

Vous pouvez également vider les informations de carte intelligente dans Windows Server 2003 et Windows XP à l’aide de la commande Certutil.exe -scinfo.