Linee guida per abilitare l'accesso alle smart card con autorità di certificazione di terze parti

  • Articolo

Questo articolo fornisce alcune linee guida per abilitare l'accesso alle smart card con autorità di certificazione di terze parti.

Si applica a: Windows Server 2012 R2, Windows 10 tutte le edizioni
Numero KB originale: 281245

Riepilogo

È possibile abilitare un processo di accesso alle smart card con Microsoft Windows 2000 e un'autorità di certificazione non Microsoft seguendo le linee guida di questo articolo. Il supporto limitato per questa configurazione è descritto più avanti in questo articolo.

Ulteriori informazioni

Requisiti

L'autenticazione tramite smart card in Active Directory richiede che le workstation smart card, Active Directory e i controller di dominio Active Directory siano configurati correttamente. Active Directory deve considerare attendibile un'autorità di certificazione per autenticare gli utenti in base ai certificati della CA. Sia le workstation smart card che i controller di dominio devono essere configurati con certificati configurati correttamente.

Come per qualsiasi implementazione PKI, tutte le parti devono considerare attendibile la CA radice a cui è associata la CA emittente. Sia i controller di dominio che le workstation smart card considerano attendibile questa radice.

Configurazione di Active Directory e controller di dominio

  • Obbligatorio: Active Directory deve avere la CA emittente di terze parti nell'archivio NTAuth per autenticare gli utenti in Active Directory.
  • Obbligatorio: i controller di dominio devono essere configurati con un certificato del controller di dominio per autenticare gli utenti con smart card.
  • Facoltativo: Active Directory può essere configurato per distribuire la CA radice di terze parti all'archivio CA radice attendibile di tutti i membri di dominio usando il Criteri di gruppo.

Requisiti per certificati e workstation smart card

  • Obbligatorio: tutti i requisiti delle smart card descritti nella sezione "Istruzioni di configurazione" devono essere soddisfatti, inclusa la formattazione del testo dei campi. L'autenticazione con smart card non riesce se non vengono soddisfatte.
  • Obbligatorio: la smart card e la chiave privata devono essere installate nella smart card.

Istruzioni per la configurazione

  1. Esportare o scaricare il certificato radice di terze parti. Come ottenere il certificato radice della parte varia in base al fornitore. Il certificato deve essere in formato X.509 con codifica Base64.

  2. Aggiungere la CA radice di terze parti alle radici attendibili in un oggetto Criteri di gruppo Active Directory. Per configurare Criteri di gruppo nel dominio di Windows 2000 per distribuire la CA di terze parti all'archivio radice attendibile di tutti i computer di dominio:

    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
    2. Nel riquadro sinistro individuare il dominio in cui viene applicato il criterio da modificare.
    3. Fare clic con il pulsante destro del mouse sul dominio e scegliere Proprietà.
    4. Fare clic sulla scheda Criteri di gruppo.
    5. Fare clic sull'oggetto Criteri di gruppo Criteri di dominio predefiniti e quindi su Modifica. Verrà visualizzata una nuova finestra.
    6. Nel riquadro sinistro espandere gli elementi seguenti:
      • Configurazione computer
      • Impostazioni di Windows
      • Impostazioni di sicurezza
      • Criteri chiave pubblica
    7. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili.
    8. Selezionare Tutte le attività e quindi fare clic su Importa.
    9. Seguire le istruzioni della procedura guidata per importare il certificato.
    10. Fare clic su OK.
    11. Chiudere la finestra Criteri di gruppo.

  3. Aggiungere la terza parte che emette la CA all'archivio NTAuth in Active Directory.

    Il certificato di accesso della smart card deve essere emesso da una CA che si trova nell'archivio NTAuth. Per impostazione predefinita, le CA Microsoft Enterprise vengono aggiunte all'archivio NTAuth.

    • Se l'autorità di certificazione che ha emesso il certificato di accesso della smart card o i certificati del controller di dominio non vengono inseriti correttamente nell'archivio NTAuth, il processo di accesso alla smart card non funziona. La risposta corrispondente è "Impossibile verificare le credenziali".

    • L'archivio NTAuth si trova nel contenitore Configuration per la foresta. Ad esempio, un percorso di esempio è il seguente: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Per impostazione predefinita, questo archivio viene creato quando si installa una CA Microsoft Enterprise. L'oggetto può anche essere creato manualmente usando ADSIedit.msc negli strumenti di supporto di Windows 2000 o usando LDIFDE. Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

      295663 Come importare certificati dell'autorità di certificazione (CA) di terze parti nell'archivio NTAuth dell'organizzazione

    • L'attributo pertinente è cACertificate, ovvero un elenco di stringhe ottetto con più valori di certificati con codifica ASN.The relevant attribute is cACertificate, which is an octet String, multiple-valued list of ASN-encoded certificates.

      Dopo aver inserito la CA di terze parti nell'archivio NTAuth, Criteri di gruppo basata su dominio inserisce una chiave del Registro di sistema (identificazione personale del certificato) nel percorso seguente in tutti i computer del dominio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Viene aggiornato ogni otto ore sulle workstation (il tipico intervallo di impulsi Criteri di gruppo).

  4. Richiedere e installare un certificato del controller di dominio nei controller di dominio. Ogni controller di dominio che vuole autenticare gli utenti di smart card deve avere un certificato del controller di dominio.

    Se si installa una CA Microsoft Enterprise in una foresta di Active Directory, tutti i controller di dominio si registrano automaticamente per un certificato del controller di dominio. Per altre informazioni sui requisiti per i certificati del controller di dominio da una CA di terze parti, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

    Requisiti 291010 per i certificati del controller di dominio da una CA di terze parti

    Nota

    Il certificato del controller di dominio viene usato per l'autenticazione SSL (Secure Sockets Layer), la crittografia SMTP (Simple Mail Transfer Protocol), la firma RPC (Remote Procedure Call) e il processo di accesso alle smart card. L'uso di una CA non Microsoft per rilasciare un certificato a un controller di dominio può causare un comportamento imprevisto o risultati non supportati. Un certificato formattato in modo non corretto o un certificato con il nome del soggetto assente può causare l'interruzione di queste o altre funzionalità.

  5. Richiedere un certificato smart card alla CA di terze parti.

    Registrarsi per un certificato della CA di terze parti che soddisfi i requisiti indicati. Il metodo per la registrazione varia a seconda del fornitore della CA.

    Il certificato smart card ha requisiti di formato specifici:

    • La posizione CDP (CRL) (dove CRL è l'elenco di revoche di certificazione) deve essere popolata, online e disponibile. Ad esempio:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Utilizzo chiave = Firma digitale

    • Vincoli di base [Subject Type=End Entity, Path Length Constraint=None] (Facoltativo)

    • Utilizzo chiavi avanzato =

      • Autenticazione client (1.3.6.1.5.5.7.3.2)
        (L'OID di autenticazione client) è necessario solo se viene usato un certificato per l'autenticazione SSL.
      • Accesso smart card (1.3.6.1.4.1.311.20.2.2)

    • Nome alternativo soggetto = Altro nome: Nome entità= (UPN). Ad esempio:
      UPN = user1@name.com
      L'UPN OtherName OID è: "1.3.6.1.4.1.311.20.2.3"
      Valore UPN OtherName: deve essere una stringa UTF8 con codifica ASN1

    • Subject = Nome distinto dell'utente. Questo campo è un'estensione obbligatoria, ma la popolazione di questo campo è facoltativa.

  6. Esistono due tipi predefiniti di chiavi private. Queste chiavi sono Signature Only (AT_SIGNATURE) e Key Exchange(AT_KEYEXCHANGE).These keys are Signature Only(AT_SIGNATURE) and Key Exchange(AT_KEYEXCHANGE). Per il corretto funzionamento dell'accesso con smart card, i certificati di accesso alle smart card devono avere un tipo di chiave privata Key Exchange(AT_KEYEXCHANGE ).

  7. Installare i driver e il software delle smart card nella workstation smart card.

    Assicurarsi che il dispositivo di lettura smart card e il software del driver appropriati siano installati nella workstation smart card. Varia in base al fornitore del lettore di smart card.

  8. Installare il certificato smart card di terze parti nella workstation smart card.

    Se la smart card non è già stata inserita nell'archivio personale dell'utente smartcard nel processo di registrazione nel passaggio 4, è necessario importare il certificato nell'archivio personale dell'utente. A questo scopo:

    1. Aprire Microsoft Management Console (MMC) che contiene lo snap-in Certificati.

    2. Nell'albero della console, in Personale, fare clic su Certificati.

    3. Scegliere Importa dal menu Tutte le attività per avviare l'Importazione guidata certificati.

    4. Fare clic sul file contenente i certificati da importare.

      Nota

      Se il file che contiene i certificati è un file PKCS #12 (Personal Information Exchange), digitare la password usata per crittografare la chiave privata, fare clic per selezionare la casella di controllo appropriata se si vuole che la chiave privata sia esportabile e quindi attivare la protezione con chiave privata avanzata (se si vuole usare questa funzionalità).

      Nota

      Per attivare la protezione con chiave privata avanzata, è necessario usare la modalità di visualizzazione Archivi certificati logici.

    5. Selezionare l'opzione per inserire automaticamente il certificato in un archivio certificati in base al tipo di certificato.

  9. Installare il certificato smart card di terze parti nella smart card. Questa installazione varia in base al provider di servizi di crittografia (CSP) e al fornitore di smart card. Per istruzioni, vedere la documentazione del fornitore.

  10. Accedere alla workstation con la smart card.

Possibili problemi

Durante l'accesso con smart card, il messaggio di errore più comune visualizzato è:

Impossibile accedere al sistema. Impossibile verificare le credenziali.

Questo messaggio è un errore generico e può essere il risultato di uno o più dei problemi seguenti.

Problemi relativi a certificati e configurazione

  • Il controller di dominio non dispone di un certificato del controller di dominio.

  • Il campo SubjAltName del certificato smart card non è formattato correttamente. Se le informazioni nel campo SubjAltName vengono visualizzate come dati non elaborati esadecimali/ASCII, la formattazione del testo non è ASN1/UTF-8.

  • Il controller di dominio ha un certificato altrimenti non valido o incompleto.

  • Per ognuna delle condizioni seguenti, è necessario richiedere un nuovo certificato del controller di dominio valido. Se il certificato del controller di dominio valido è scaduto, è possibile rinnovare il certificato del controller di dominio, ma questo processo è più complesso e in genere più difficile rispetto a quando si richiede un nuovo certificato del controller di dominio.

    • Il certificato del controller di dominio è scaduto.
    • Il controller di dominio ha un certificato non attendibile. Se l'archivio NTAuth non contiene il certificato dell'autorità di certificazione (CA) della CA emittente del certificato del controller di dominio, è necessario aggiungerlo all'archivio NTAuth o ottenere un certificato del controller di dominio da una CA emittente il cui certificato risiede nell'archivio NTAuth.

    Se i controller di dominio o le workstation smart card non considerano attendibile la CA radice a cui è concatenato il certificato del controller di dominio, è necessario configurare tali computer in modo che consideri attendibile tale CA radice.

  • La smart card ha un certificato non attendibile. Se l'archivio NTAuth non contiene il certificato CA della CA emittente del certificato smart card, è necessario aggiungerlo all'archivio NTAuth o ottenere un certificato smart card da una CA emittente il cui certificato risiede nell'archivio NTAuth.

    Se i controller di dominio o le workstation smart card non considerano attendibile la CA radice a cui è concatenato il certificato smart card dell'utente, è necessario configurare tali computer in modo che consideri attendibile tale CA radice.

  • Il certificato della smart card non è installato nell'archivio dell'utente nella workstation. Il certificato archiviato nella smart card deve risiedere nella workstation smart card nel profilo dell'utente che esegue l'accesso con la smart card.

    Nota

    Non è necessario archiviare la chiave privata nel profilo dell'utente nella workstation. È necessario archiviarlo solo nella smart card.

  • Il certificato smart card o la chiave privata corretta non è installato nella smart card. Il certificato smart card valido deve essere installato nella smart card con la chiave privata e il certificato deve corrispondere a un certificato archiviato nel profilo dell'utente della smart card nella workstation smart card.

  • Il certificato della smart card non può essere recuperato dal lettore di smart card. Può trattarsi di un problema con l'hardware del lettore di smart card o il software del driver del lettore di smart card. Verificare che sia possibile usare il software del fornitore del lettore di smart card per visualizzare il certificato e la chiave privata nella smart card.

  • Il certificato smart card è scaduto.

  • Nessun nome dell'entità utente (UPN) è disponibile nell'estensione SubjAltName del certificato smart card.

  • Il campo UPN nel campo SubjAltName del certificato smart card non è formattato correttamente. Se le informazioni in SubjAltName vengono visualizzate come dati non elaborati esadecimali/ASCII, la formattazione del testo non è ASN1/UTF-8.

  • La smart card ha un certificato altrimenti non valido o incompleto. Per ognuna di queste condizioni, è necessario richiedere un nuovo certificato smart card valido e installarlo nella smart card e nel profilo dell'utente nella workstation smart card. Il certificato smart card deve soddisfare i requisiti descritti in precedenza in questo articolo, che includono un campo UPN formattato correttamente nel campo SubjAltName.

    Se il certificato smart card valido è scaduto, è anche possibile rinnovare il certificato smart card, che è più complesso e difficile rispetto alla richiesta di un nuovo certificato smart card.

  • L'utente non ha un UPN definito nell'account utente di Active Directory. L'account dell'utente in Active Directory deve avere un UPN valido nella proprietà userPrincipalName dell'account utente active directory dell'utente con smart card.

  • L'UPN nel certificato non corrisponde all'UPN definito nell'account utente di Active Directory dell'utente. Correggere l'UPN nell'account utente di Active Directory dell'utente di smart card o rilasciare nuovamente il certificato smart card in modo che il valore UPN nel campo SubjAltName corrisponda all'UPN nell'account utente di Active Directory degli utenti di smart card. È consigliabile che l'UPN della smart card corrisponda all'attributo dell'account utente userPrincipalName per le CA di terze parti. Tuttavia, se l'UPN nel certificato è l'UPN implicito dell'account (formato samAccountName@domain_FQDN), l'UPN non deve corrispondere esplicitamente alla proprietà userPrincipalName.

Problemi di controllo delle revoche

Se il controllo di revoca non riesce quando il controller di dominio convalida il certificato di accesso della smart card, il controller di dominio nega l'accesso. Il controller di dominio può restituire il messaggio di errore indicato in precedenza o il messaggio di errore seguente:

Impossibile accedere al sistema. Il certificato smart card usato per l'autenticazione non era attendibile.

Nota

Non è possibile trovare e scaricare l'elenco di revoche di certificati (CRL), un CRL non valido, un certificato revocato e uno stato di revoca "sconosciuto" sono tutti considerati errori di revoca.

Il controllo di revoca deve avere esito positivo sia dal client che dal controller di dominio. Assicurarsi che siano vere le condizioni seguenti:

  • Il controllo delle revoche non è disattivato.

    Il controllo delle revoche per i provider di revoche predefiniti non può essere disattivato. Se è installato un provider di revoche installabile personalizzato, è necessario attivarlo.

  • Ogni certificato CA ad eccezione della CA radice nella catena di certificati contiene un'estensione CDP valida nel certificato.

  • Il CRL ha un campo Aggiornamento successivo e l'elenco CRL è aggiornato. È possibile verificare che il CRL sia online in CDP e valido scaricandolo da Internet Explorer. Dovrebbe essere possibile scaricare e visualizzare il CRL da uno dei cdp HTTP (HyperText Transport Protocol) o FTP (File Transfer Protocol) in Internet Explorer sia dalle workstation smart card che dai controller di dominio.

Verificare che ogni CDP HTTP e FTP univoco usato da un certificato nell'organizzazione sia online e disponibile.

Per verificare che un CRL sia online e disponibile da un CDP FTP o HTTP:

  1. Per aprire il certificato in questione, fare doppio clic sul file .cer o fare doppio clic sul certificato nell'archivio.
  2. Fare clic sulla scheda Dettagli e selezionare il campo Punto di distribuzione CRL .
  3. Nel riquadro inferiore evidenziare l'URL (Uniform Resource Locator) FTP o HTTP completo e copiarlo.
  4. Aprire Internet Explorer e incollare l'URL nella barra degli indirizzi.
  5. Quando viene visualizzato il prompt, selezionare l'opzione Apri CRL.
  6. Assicurarsi che sia presente un campo Aggiornamento successivo nell'elenco CRL e che l'ora nel campo Aggiornamento successivo non sia stata superata.

Per scaricare o verificare che un CDP LDAP (Lightweight Directory Access Protocol) sia valido, è necessario scrivere uno script o un'applicazione per scaricare il CRL. Dopo aver scaricato e aperto l'elenco CRL, assicurarsi che sia presente un campo Aggiornamento successivo nell'elenco CRL e che l'ora nel campo Aggiornamento successivo non sia stata superata.

Supporto tecnico

Il Servizio Supporto Tecnico Clienti Microsoft non supporta il processo di accesso alle smart card della CA di terze parti se viene determinato che uno o più degli elementi seguenti contribuiscono al problema:

  • Formato del certificato non corretto.
  • Stato del certificato o stato di revoca non disponibile dalla CA di terze parti.
  • Problemi di registrazione dei certificati da una CA di terze parti.
  • La CA di terze parti non può pubblicare in Active Directory.
  • CSP di terze parti.

Informazioni aggiuntive

Il computer client controlla il certificato del controller di dominio. Il computer locale scarica quindi un CRL per il certificato del controller di dominio nella cache CRL.

Il processo di accesso offline non riguarda i certificati, ma solo le credenziali memorizzate nella cache.

Per forzare la compilazione immediata dell'archivio NTAuth in un computer locale anziché attendere la successiva propagazione Criteri di gruppo, eseguire il comando seguente per avviare un aggiornamento Criteri di gruppo:

  dsstore.exe -pulse

È anche possibile eseguire il dump delle informazioni sulle smart card in Windows Server 2003 e In Windows XP usando il comando Certutil.exe -scinfo.