Richtlijnen voor het inschakelen van smartcardaanmelding bij externe certificeringsinstanties

  • Artikel

Dit artikel bevat enkele richtlijnen voor het inschakelen van smartcardaanmelding bij externe certificeringsinstanties.

Van toepassing op: Windows Server 2012 R2, Windows 10 - alle edities
Origineel KB-nummer: 281245

Samenvatting

U kunt een aanmeldingsproces voor smartcards inschakelen met Microsoft Windows 2000 en een niet-Microsoft-certificeringsinstantie (CA) door de richtlijnen in dit artikel te volgen. Beperkte ondersteuning voor deze configuratie wordt verderop in dit artikel beschreven.

Meer informatie

Vereisten

SmartCard-verificatie voor Active Directory vereist dat Smartcard-werkstations, Active Directory en Active Directory-domeincontrollers correct zijn geconfigureerd. Active Directory moet een certificeringsinstantie vertrouwen om gebruikers te verifiëren op basis van certificaten van die CA. Zowel smartcardwerkstations als domeincontrollers moeten worden geconfigureerd met correct geconfigureerde certificaten.

Net als bij elke PKI-implementatie moeten alle partijen de basis-CA vertrouwen waaraan de verlenende CA ketens heeft. Zowel de domeincontrollers als de smartcardwerkstations vertrouwen deze hoofdmap.

Configuratie van Active Directory en domeincontroller

  • Vereist: Active Directory moet de verlenende CA van derden in het NTAuth-archief hebben om gebruikers te verifiëren bij Active Directory.
  • Vereist: domeincontrollers moeten worden geconfigureerd met een domeincontrollercertificaat om smartcardgebruikers te verifiëren.
  • Optioneel: Active Directory kan worden geconfigureerd om de basis-CA van derden te distribueren naar het vertrouwde basis-CA-archief van alle domeinleden met behulp van de groepsbeleid.

Vereisten voor smartcardcertificaat en werkstation

  • Vereist: aan alle smartcardvereisten die worden beschreven in de sectie Configuratie-instructies moet worden voldaan, inclusief de tekstopmaak van de velden. Smartcard-verificatie mislukt als niet aan deze verificatie wordt voldaan.
  • Vereist: De smartcard en persoonlijke sleutel moeten op de smartcard zijn geïnstalleerd.

Configuratie-instructies

  1. Exporteer of download het basiscertificaat van derden. Hoe u het basiscertificaat van de partij kunt verkrijgen, verschilt per leverancier. Het certificaat moet de X.509-indeling base64 hebben.

  2. Voeg de basis-CA van derden toe aan de vertrouwde wortels in een Active Directory-groepsbeleid-object. Configureer groepsbeleid in het Windows 2000-domein om de CA van derden te distribueren naar het vertrouwde basisarchief van alle domeincomputers:

    1. Klik op Start, wijs naar Programma's, wijs naar Beheerprogramma's en klik vervolgens op Active Directory: gebruikers en computers.
    2. Zoek in het linkerdeelvenster het domein waarin het beleid dat u wilt bewerken, wordt toegepast.
    3. Klik met de rechtermuisknop op het domein en klik vervolgens op Eigenschappen.
    4. Klik op het tabblad groepsbeleid.
    5. Klik op het object Standaarddomeinbeleid groepsbeleid en klik vervolgens op Bewerken. Er wordt een nieuw venster geopend.
    6. Vouw in het linkerdeelvenster de volgende items uit:
      • Computerconfiguratie
      • Windows-instellingen
      • Beveiligingsinstellingen
      • Beleid voor openbare sleutel
    7. Klik met de rechtermuisknop op Vertrouwde basiscertificeringsinstanties.
    8. Selecteer Alle taken en klik vervolgens op Importeren.
    9. Volg de instructies in de wizard om het certificaat te importeren.
    10. Klik op OK.
    11. Sluit het groepsbeleid venster.

  3. Voeg de derde partij die de CA uitgeeft toe aan het NTAuth-archief in Active Directory.

    Het aanmeldingscertificaat voor smartcards moet worden uitgegeven vanuit een CA die zich in het NTAuth-archief bevindt. Standaard worden Microsoft Enterprise-CA's toegevoegd aan het NTAuth-archief.

    • Als de CA die het smartcardaanmeldingscertificaat heeft uitgegeven of de domeincontrollercertificaten niet correct is gepost in het NTAuth-archief, werkt het aanmeldingsproces voor smartcards niet. Het bijbehorende antwoord is 'Kan de referenties niet verifiëren'.

    • Het NTAuth-archief bevindt zich in de configuratiecontainer voor het forest. Een voorbeeldlocatie is bijvoorbeeld als volgt: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Deze store wordt standaard gemaakt wanneer u een Microsoft Enterprise-CA installeert. Het object kan ook handmatig worden gemaakt met adsiedit.msc in de ondersteuningshulpprogramma's van Windows 2000 of met behulp van LDIFDE. Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

      295663 Certificeringsinstantiecertificaten van derden importeren in het Enterprise NTAuth-archief

    • Het relevante kenmerk is cACertificate, een octettekenreeks, een lijst met asn-gecodeerde certificaten met meerdere waarden.

      Nadat u de externe CA in het NTAuth-archief hebt geplaatst, plaatst domeingebaseerde groepsbeleid een registersleutel (een vingerafdruk van het certificaat) op de volgende locatie op alle computers in het domein:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Het wordt elke acht uur vernieuwd op werkstations (het typische groepsbeleid pulsinterval).

  4. Een domeincontrollercertificaat aanvragen en installeren op de domeincontroller(s). Elke domeincontroller die smartcardgebruikers gaat verifiëren, moet een domeincontrollercertificaat hebben.

    Als u een Microsoft Enterprise-CA in een Active Directory-forest installeert, worden alle domeincontrollers automatisch ingeschreven voor een domeincontrollercertificaat. Voor meer informatie over de vereisten voor domeincontrollercertificaten van een externe CA klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    291010 Vereisten voor domeincontrollercertificaten van een externe CA

    Opmerking

    Het certificaat van de domeincontroller wordt gebruikt voor SSL-verificatie (Secure Sockets Layer), SMTP-versleuteling (Simple Mail Transfer Protocol), RPC-ondertekening (Remote Procedure Call) en het aanmeldingsproces voor smartcards. Het gebruik van een niet-Microsoft-CA om een certificaat uit te geven aan een domeincontroller kan onverwacht gedrag of niet-ondersteunde resultaten veroorzaken. Een onjuist opgemaakt certificaat of een certificaat met de onderwerpnaam afwezig kan ertoe leiden dat deze of andere mogelijkheden niet meer reageren.

  5. Vraag een smartcardcertificaat aan bij de externe CA.

    Schrijf u in voor een certificaat van de externe CA dat voldoet aan de vermelde vereisten. De methode voor inschrijving verschilt per CA-leverancier.

    Het smartcardcertificaat heeft specifieke indelingsvereisten:

    • De locatie van het CRL-distributiepunt (CDP) (waarbij CRL de certificaatintrekkingslijst is) moet worden ingevuld, online en beschikbaar zijn. Bijvoorbeeld:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Sleutelgebruik = digitale handtekening

    • Basisbeperkingen [Onderwerptype=End Entity, Path Length Constraint=None] (optioneel)

    • Uitgebreid sleutelgebruik =

      • Clientverificatie (1.3.6.1.5.5.7.3.2)
        (De clientverificatie-OID is alleen vereist als een certificaat wordt gebruikt voor SSL-verificatie.)
      • SmartCardaanmelding (1.3.6.1.4.1.311.20.2.2)

    • Alternatieve naam onderwerp = andere naam: principal name= (UPN). Bijvoorbeeld:
      UPN = user1@name.com
      De UPN OtherName OID is: "1.3.6.1.4.1.311.20.2.3"
      De upn OtherName-waarde: moet een UTF8-tekenreeks met ASN1-codering hebben

    • Onderwerp = DN-naam van de gebruiker. Dit veld is een verplichte extensie, maar de populatie van dit veld is optioneel.

  6. Er zijn twee vooraf gedefinieerde typen persoonlijke sleutels. Deze sleutels zijn Signature Only(AT_SIGNATURE) en Key Exchange(AT_KEYEXCHANGE). Smartcard-aanmeldingscertificaten moeten een persoonlijk sleuteltype Sleuteluitwisseling (AT_KEYEXCHANGE) hebben om de smartcardaanmelding correct te laten werken.

  7. Installeer smartcardstuurprogramma's en software op het smartcardwerkstation.

    Zorg ervoor dat het juiste apparaat en stuurprogramma van de smartcardlezer zijn geïnstalleerd op het smartcardwerkstation. Dit verschilt per leverancier van smartcardlezer.

  8. Installeer het smartcardcertificaat van derden op het smartcardwerkstation.

    Als de smartcard nog niet in het persoonlijke archief van de smartcardgebruiker is geplaatst in het inschrijvingsproces in stap 4, moet u het certificaat importeren in het persoonlijke archief van de gebruiker. U gaat hiervoor als volgt te werk:

    1. Open de Microsoft Management Console (MMC) met de module Certificaten.

    2. Klik in de consolestructuur onder Persoonlijk op Certificaten.

    3. Klik in het menu Alle taken op Importeren om de wizard Certificaat importeren te starten.

    4. Klik op het bestand met de certificaten die u importeert.

      Opmerking

      Als het bestand met de certificaten een PKCS #12-bestand (Personal Information Exchange) is, typt u het wachtwoord dat u hebt gebruikt om de persoonlijke sleutel te versleutelen, klikt u om het juiste selectievakje in te schakelen als u wilt dat de persoonlijke sleutel kan worden geëxporteerd en schakelt u vervolgens sterke persoonlijke sleutelbeveiliging in (als u deze functie wilt gebruiken).

      Opmerking

      Als u sterke beveiliging van persoonlijke sleutels wilt inschakelen, moet u de weergavemodus Logische certificaatarchieven gebruiken.

    5. Selecteer de optie om het certificaat automatisch in een certificaatarchief te plaatsen op basis van het type certificaat.

  9. Installeer het smartcardcertificaat van derden op de smartcard. Deze installatie is afhankelijk van cryptografische serviceprovider (CSP) en per smartcardleverancier. Raadpleeg de documentatie van de leverancier voor instructies.

  10. Meld u aan bij het werkstation met de smartcard.

Mogelijke problemen

Tijdens het aanmelden met smartcards is het meest voorkomende foutbericht dat wordt weergegeven:

Het systeem kan u niet aanmelden. Uw referenties kunnen niet worden geverifieerd.

Dit bericht is een algemene fout en kan het resultaat zijn van een of meer van de onderstaande problemen.

Certificaat- en configuratieproblemen

  • De domeincontroller heeft geen domeincontrollercertificaat.

  • Het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in het veld SubjAltName wordt weergegeven als Onbewerkte hexadecimale/ASCII-gegevens, is de tekstopmaak niet ASN1/UTF-8.

  • De domeincontroller heeft een anderszins onjuist of onvolledig certificaat.

  • Voor elk van de volgende voorwaarden moet u een nieuw geldig domeincontrollercertificaat aanvragen. Als uw geldige certificaat voor domeincontrollers is verlopen, kunt u het certificaat van de domeincontroller vernieuwen, maar dit proces is complexer en meestal moeilijker dan wanneer u een nieuw domeincontrollercertificaat aanvraagt.

    • Het certificaat van de domeincontroller is verlopen.
    • De domeincontroller heeft een niet-vertrouwd certificaat. Als het NTAuth-archief niet het certificaat van de certificeringsinstantie (CA) van de verlenende CA van de domeincontroller bevat, moet u het toevoegen aan het NTAuth-archief of een DC-certificaat verkrijgen van een verlenende CA waarvan het certificaat zich in het NTAuth-archief bevindt.

    Als de domeincontrollers of smartcardwerkstations de basis-CA waaraan de certificaatketens van de domeincontroller niet worden vertrouwd, moet u deze computers configureren om die basis-CA te vertrouwen.

  • De smartcard heeft een niet-vertrouwd certificaat. Als het NTAuth-archief niet het CA-certificaat van de verlenende CA van het smartcardcertificaat bevat, moet u deze toevoegen aan het NTAuth-archief of een smartcardcertificaat verkrijgen van een verlenende CA waarvan het certificaat zich in het NTAuth-archief bevindt.

    Als de domeincontrollers of smartcardwerkstations de basis-CA waaraan de smartcardcertificaatketens van de gebruiker niet worden vertrouwd, moet u deze computers configureren om die basis-CA te vertrouwen.

  • Het certificaat van de smartcard is niet geïnstalleerd in het archief van de gebruiker op het werkstation. Het certificaat dat is opgeslagen op de smartcard moet zich bevinden op het smartcardwerkstation in het profiel van de gebruiker die zich aanmeldt met de smartcard.

    Opmerking

    U hoeft de persoonlijke sleutel niet op te slaan in het profiel van de gebruiker op het werkstation. Deze hoeft alleen op de smartcard te worden opgeslagen.

  • Het juiste smartcardcertificaat of de juiste persoonlijke sleutel is niet geïnstalleerd op de smartcard. Het geldige smartcardcertificaat moet met de persoonlijke sleutel op de smartcard worden geïnstalleerd en het certificaat moet overeenkomen met een certificaat dat is opgeslagen in het profiel van de smartcardgebruiker op het smartcardwerkstation.

  • Het certificaat van de smartcard kan niet worden opgehaald uit de smartcardlezer. Het kan een probleem zijn met de hardware van de smartcardlezer of de stuurprogrammasoftware van de smartcardlezer. Controleer of u de software van de leverancier van de smartcardlezer kunt gebruiken om het certificaat en de persoonlijke sleutel op de smartcard weer te geven.

  • Het smartcardcertificaat is verlopen.

  • Er is geen UPN (User Principal Name) beschikbaar in de SubjAltName-extensie van het smartcardcertificaat.

  • De UPN in het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in subjAltName wordt weergegeven als onbewerkte hexadecimale/ASCII-gegevens, is de tekstopmaak niet ASN1/UTF-8.

  • De smartcard heeft een anderszins onjuist of onvolledig certificaat. Voor elk van deze voorwaarden moet u een nieuw geldig smartcardcertificaat aanvragen en dit installeren op de smartcard en in het profiel van de gebruiker op het smartcardwerkstation. Het smartcardcertificaat moet voldoen aan de vereisten die eerder in dit artikel zijn beschreven, waaronder een correct opgemaakt UPN-veld in het veld SubjAltName.

    Als uw geldige smartcardcertificaat is verlopen, kunt u ook het smartcardcertificaat vernieuwen, wat complexer en moeilijker is dan het aanvragen van een nieuw smartcardcertificaat.

  • De gebruiker heeft geen UPN gedefinieerd in het Active Directory-gebruikersaccount. Het account van de gebruiker in de Active Directory moet een geldige UPN hebben in de eigenschap userPrincipalName van het Active Directory-gebruikersaccount van de smartcardgebruiker.

  • De UPN in het certificaat komt niet overeen met de UPN die is gedefinieerd in het Active Directory-gebruikersaccount van de gebruiker. Corrigeer de UPN in het Active Directory-gebruikersaccount van de smartcardgebruiker of geef het smartcardcertificaat opnieuw op, zodat de UPN-waarde in het veld SubjAltName overeenkomt met de UPN in het Active Directory-gebruikersaccount van smartcardgebruikers. We raden u aan dat de UPN van de smartcard overeenkomt met het gebruikersaccountkenmerk userPrincipalName voor ca's van derden. Als de UPN in het certificaat echter de impliciete UPN van het account is (indeling samAccountName@domain_FQDN), hoeft de UPN niet expliciet overeen te komen met de eigenschap userPrincipalName.

Problemen met intrekkingscontrole

Als de intrekkingscontrole mislukt wanneer de domeincontroller het aanmeldingscertificaat van de smartcard valideert, weigert de domeincontroller de aanmelding. De domeincontroller retourneert mogelijk het eerder genoemde foutbericht of het volgende foutbericht:

Het systeem kan u niet aanmelden. Het smartcardcertificaat dat voor verificatie wordt gebruikt, is niet vertrouwd.

Opmerking

Het niet vinden en downloaden van de certificaatintrekkingslijst (CRL), een ongeldige CRL, een ingetrokken certificaat en een intrekkingsstatus 'onbekend' worden allemaal beschouwd als intrekkingsfouten.

De intrekkingscontrole moet slagen vanaf zowel de client als de domeincontroller. Controleer of het volgende waar is:

  • Intrekkingscontrole is niet uitgeschakeld.

    De intrekkingscontrole voor de ingebouwde intrekkingsproviders kan niet worden uitgeschakeld. Als een aangepaste installeerbare intrekkingsprovider is geïnstalleerd, moet deze worden ingeschakeld.

  • Elk CA-certificaat, behalve de basis-CA in de certificaatketen, bevat een geldige CDP-extensie in het certificaat.

  • De CRL heeft een veld Volgende update en de CRL is up-to-date. U kunt controleren of de CRL online is op het CDP en geldig is door deze te downloaden van Internet Explorer. U moet de CRL kunnen downloaden en weergeven vanaf een van de HYPERText Transport Protocol (HTTP) of File Transfer Protocol (FTP) CDPs in Internet Explorer vanaf zowel de smartcardwerkstations als de domeincontroller(s).

Controleer of elk uniek HTTP- en FTP-CDP dat wordt gebruikt door een certificaat in uw onderneming online en beschikbaar is.

Ga als volgt te werk om te controleren of een CRL online is en beschikbaar is via een FTP- of HTTP-CDP:

  1. Als u het betreffende certificaat wilt openen, dubbelklikt u op het .cer-bestand of dubbelklikt u op het certificaat in het archief.
  2. Klik op het tabblad Details en selecteer het veld CRL-distributiepunt .
  3. Markeer in het onderste deelvenster de volledige FTP- of HTTP Uniform Resource Locator (URL) en kopieer deze.
  4. Open Internet Explorer en plak de URL in de adresbalk.
  5. Wanneer u de prompt ontvangt, selecteert u de optie De CRL openen.
  6. Zorg ervoor dat er een veld Volgende update in de CRL staat en dat de tijd in het veld Volgende update niet is verstreken.

Als u wilt downloaden of controleren of een LDAP-CDP (Lightweight Directory Access Protocol) geldig is, moet u een script of een toepassing schrijven om de CRL te downloaden. Nadat u de CRL hebt gedownload en geopend, controleert u of er een veld Volgende update in de CRL staat en dat de tijd in het veld Volgende update niet is verstreken.

Ondersteuning

Microsoft Product Support Services biedt geen ondersteuning voor het aanmeldingsproces voor ca-smartcards van derden als wordt vastgesteld dat een of meer van de volgende items bijdragen aan het probleem:

  • Onjuiste certificaatindeling.
  • Certificaatstatus of intrekkingsstatus niet beschikbaar bij de externe CA.
  • Problemen met certificaatinschrijving van een externe CA.
  • De externe CA kan niet publiceren naar Active Directory.
  • Een CSP van derden.

Aanvullende informatie

De clientcomputer controleert het certificaat van de domeincontroller. De lokale computer downloadt daarom een CRL voor het certificaat van de domeincontroller in de CRL-cache.

Het offlineaanmeldingsproces omvat geen certificaten, alleen referenties in de cache.

Als u wilt afdwingen dat het NTAuth-archief onmiddellijk wordt ingevuld op een lokale computer in plaats van te wachten op de volgende groepsbeleid doorgifte, voert u de volgende opdracht uit om een groepsbeleid-update te starten:

  dsstore.exe -pulse

U kunt de smartcardgegevens ook dumpen in Windows Server 2003 en in Windows XP met behulp van de opdracht Certutil.exe -scinfo.