Diretrizes para habilitar logon de cartão inteligente com autoridades de certificação de terceiros

  • Artigo

Este artigo fornece algumas diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros.

Aplica-se a: Windows Server 2012 R2, Windows 10 - todas as edições
Número de KB original: 281245

Resumo

Você pode habilitar um processo de logon de cartão inteligente com o Microsoft Windows 2000 e uma AC (autoridade de certificação não Microsoft) seguindo as diretrizes deste artigo. O suporte limitado para essa configuração é descrito posteriormente neste artigo.

Mais informações

Requisitos

A Autenticação de Cartão Inteligente no Active Directory exige que as estações de trabalho Smartcard, o Active Directory e os controladores de domínio do Active Directory sejam configuradas corretamente. O Active Directory deve confiar em uma autoridade de certificação para autenticar usuários com base em certificados dessa AC. As estações de trabalho smartcard e os controladores de domínio devem ser configurados com certificados configurados corretamente.

Assim como em qualquer implementação PKI, todas as partes devem confiar na AC Raiz à qual as cadeias de AC emissoras. Os controladores de domínio e as estações de trabalho smartcard confiam nessa raiz.

Configuração do Active Directory e do controlador de domínio

  • Obrigatório: o Active Directory deve ter a AC emissora de terceiros no repositório NTAuth para autenticar usuários no active directory.
  • Necessário: os controladores de domínio devem ser configurados com um certificado de controlador de domínio para autenticar usuários smartcard.
  • Opcional: o Active Directory pode ser configurado para distribuir a AC raiz de terceiros para o repositório de AC raiz confiável de todos os membros de domínio usando o Política de Grupo.

Requisitos de certificado e estação de trabalho do Smartcard

  • Necessário: todos os requisitos de smartcard descritos na seção "Instruções de Configuração" devem ser atendidos, incluindo a formatação de texto dos campos. A autenticação smartcard falhará se elas não forem atendidas.
  • Necessário: o smartcard e a chave privada devem ser instalados no smartcard.

Instruções de configuração

  1. Exporte ou baixe o certificado raiz de terceiros. Como obter o certificado raiz de festa varia de acordo com o fornecedor. O certificado deve estar no formato X.509 codificado do Base64.

  2. Adicione a AC raiz de terceiros às raízes confiáveis em um objeto Política de Grupo do Active Directory. Para configurar Política de Grupo no domínio do Windows 2000 para distribuir a AC de terceiros para o repositório raiz confiável de todos os computadores de domínio:

    1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
    2. No painel esquerdo, localize o domínio no qual a política que você deseja editar é aplicada.
    3. Clique com o botão direito do mouse no domínio e depois clique em Propriedades.
    4. Clique na guia Política de Grupo.
    5. Clique no objeto Política de Domínio Padrão Política de Grupo e clique em Editar. Uma nova janela é aberta.
    6. No painel esquerdo, expanda os seguintes itens:
      • Configurações do Computador
      • Configurações do Windows
      • Configurações de segurança
      • Política de Chave Pública
    7. Clique com o botão direito do mouse em Autoridades de Certificação raiz confiáveis.
    8. Selecione Todas as Tarefas e clique em Importar.
    9. Siga as instruções no assistente para importar o certificado.
    10. Clique em OK.
    11. Feche a janela Política de Grupo.

  3. Adicione o terceiro que emite a AC ao repositório NTAuth no Active Directory.

    O certificado de logon de cartão inteligente deve ser emitido de uma AC que está no repositório NTAuth. Por padrão, os CAs da Microsoft Enterprise são adicionados ao repositório NTAuth.

    • Se a AC que emitiu o certificado de logon smart cartão ou os certificados do controlador de domínio não for postada corretamente no repositório NTAuth, o processo de logon de cartão inteligente não funcionará. A resposta correspondente é "Não é possível verificar as credenciais".

    • O repositório NTAuth está localizado no contêiner de configuração da floresta. Por exemplo, um local de exemplo é o seguinte: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Por padrão, essa loja é criada quando você instala uma AC da Microsoft Enterprise. O objeto também pode ser criado manualmente usando ADSIedit.msc nas ferramentas de suporte do Windows 2000 ou usando LDIFDE. Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

      295663 Como importar certificados de autoridade de certificação de terceiros (AC) para o repositório Enterprise NTAuth

    • O atributo relevante é cACertificate, que é uma cadeia de caracteres octet, lista com vários valores de certificados codificados por ASN.

      Depois de colocar a AC de terceiros no repositório NTAuth, o Política de Grupo baseado em domínio coloca uma chave de registro (uma impressão digital do certificado) no seguinte local em todos os computadores do domínio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Ele é atualizado a cada oito horas em estações de trabalho (o intervalo de pulso típico Política de Grupo).

  4. Solicite e instale um certificado de controlador de domínio nos controladores de domínio. Cada controlador de domínio que vai autenticar usuários smartcard deve ter um certificado de controlador de domínio.

    Se você instalar uma AC da Microsoft Enterprise em uma floresta do Active Directory, todos os controladores de domínio se registrarão automaticamente para um certificado de controlador de domínio. Para obter mais informações sobre requisitos para certificados de controlador de domínio de uma AC de terceiros, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    Requisitos 291010 para certificados de controlador de domínio de uma AC de terceiros

    Observação

    O certificado do controlador de domínio é usado para autenticação SSL (Secure Sockets Layer), criptografia SMTP (Simple Mail Transfer Protocol), assinatura de RPC (Chamada de Procedimento Remoto) e o processo de logon de cartão inteligente. Usar uma AC não Microsoft para emitir um certificado para um controlador de domínio pode causar um comportamento inesperado ou resultados sem suporte. Um certificado formatado incorretamente ou um certificado com o nome da entidade ausente pode fazer com que essas ou outras funcionalidades parem de responder.

  5. Solicite um certificado de cartão inteligente da AC de terceiros.

    Registre-se para obter um certificado da AC de terceiros que atenda aos requisitos declarados. O método de registro varia de acordo com o fornecedor de AC.

    O certificado de cartão inteligente tem requisitos de formato específicos:

    • O local do CDP (Ponto de Distribuição de CRL) (onde o CRL é a Lista de Revogação de Certificação) deve ser preenchido, online e disponível. Por exemplo:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Uso de Chave = Assinatura Digital

    • Restrições básicas [tipo de assunto=entidade final, restrição de comprimento do caminho=nenhum] (opcional)

    • Uso aprimorado de chaves =

      • Autenticação do cliente (1.3.6.1.5.5.7.3.2)
        (A OID de autenticação do cliente) só será necessária se um certificado for usado para autenticação SSL.)
      • Logon de Cartão Inteligente (1.3.6.1.4.1.311.20.2.2)

    • Nome alternativo do assunto = Outro nome: nome da entidade principal= (UPN). Por exemplo:
      UPN = user1@name.com
      O UPN OtherName OID é: "1.3.6.1.4.1.311.20.2.3"
      O valor UPN OtherName: deve ser cadeia de caracteres UTF8 codificada pelo ASN1

    • Assunto = Nome distinto do usuário. Esse campo é uma extensão obrigatória, mas a população desse campo é opcional.

  6. Há dois tipos predefinidos de chaves privadas. Essas chaves são Signature Only(AT_SIGNATURE) e Key Exchange(AT_KEYEXCHANGE). Os certificados de logon smartcard devem ter um tipo de chave privada do Key Exchange(AT_KEYEXCHANGE) para que o logon smartcard funcione corretamente.

  7. Instale drivers de smartcard e software na estação de trabalho smartcard.

    Verifique se o dispositivo de leitor de smartcard apropriado e o software do driver estão instalados na estação de trabalho smartcard. Ele varia de acordo com o fornecedor de leitor de smartcard.

  8. Instale o certificado smartcard de terceiros na estação de trabalho smartcard.

    Se o smartcard ainda não foi colocado no repositório pessoal do usuário smartcard no processo de registro na etapa 4, você deverá importar o certificado para o repositório pessoal do usuário. Para fazer isso:

    1. Abra o MMC (Console de Gerenciamento da Microsoft) que contém o snap-in Certificados.

    2. Na árvore de console, em Pessoal, clique em Certificados.

    3. No menu Todas as Tarefas, clique em Importar para iniciar o Assistente de Importação de Certificado.

    4. Clique no arquivo que contém os certificados que você está importando.

      Observação

      Se o arquivo que contém os certificados for um arquivo PKCS #12 (Troca de Informações Pessoais), digite a senha usada para criptografar a chave privada, clique para selecionar a caixa de marcar apropriada se quiser que a chave privada seja exportável e ative uma forte proteção de chave privada (se quiser usar esse recurso).

      Observação

      Para ativar uma forte proteção de chave privada, você deve usar o modo de exibição Armazenamentos de Certificados Lógicos.

    5. Selecione a opção para colocar automaticamente o certificado em um repositório de certificados com base no tipo de certificado.

  9. Instale o certificado smartcard de terceiros no smartcard. Essa instalação varia de acordo com o CSP (Provedor de Serviços Criptográficos) e por fornecedor de smartcard. Consulte as documentações do fornecedor para obter instruções.

  10. Faça logon na estação de trabalho com o smartcard.

Possíveis problemas

Durante o logon do smartcard, a mensagem de erro mais comum vista é:

O sistema não pôde fazer logon em você. Suas credenciais não puderam ser verificadas.

Essa mensagem é um erro genérico e pode ser o resultado de um ou mais problemas abaixo.

Problemas de certificado e configuração

  • O controlador de domínio não tem certificado de controlador de domínio.

  • O campo SubjAltName do certificado smartcard está mal formatado. Se as informações no campo SubjAltName forem exibidas como dados brutos hexadecimal/ASCII, a formatação de texto não será ASN1/UTF-8.

  • O controlador de domínio tem um certificado malformado ou incompleto.

  • Para cada uma das condições a seguir, você deve solicitar um novo certificado válido do controlador de domínio. Se o certificado válido do controlador de domínio tiver expirado, você poderá renovar o certificado do controlador de domínio, mas esse processo é mais complexo e normalmente mais difícil do que se você solicitar um novo certificado de controlador de domínio.

    • O certificado do controlador de domínio expirou.
    • O controlador de domínio tem um certificado não confiável. Se o repositório NTAuth não contiver o certificado ca (autoridade de certificação) da AC emissora do certificado do controlador de domínio, você deverá adicioná-lo ao repositório NTAuth ou obter um certificado DC de uma AC emissora cujo certificado reside no repositório NTAuth.

    Se os controladores de domínio ou as estações de trabalho smartcard não confiarem na AC Raiz para a qual os certificados do controlador de domínio são cadeias, você deverá configurar esses computadores para confiar nessa AC Raiz.

  • O smartcard tem um certificado não confiável. Se o repositório NTAuth não contiver o certificado de AC da AC emissora do certificado smartcard, você deverá adicioná-lo ao repositório NTAuth ou obter um certificado smartcard de uma AC emissora cujo certificado reside no repositório NTAuth.

    Se os controladores de domínio ou as estações de trabalho smartcard não confiarem na AC Raiz para a qual os certificados smartcard do usuário são cadeias, então você deve configurar esses computadores para confiar nessa AC Raiz.

  • O certificado do cartão inteligente não está instalado no repositório do usuário na estação de trabalho. O certificado armazenado no smartcard deve residir na estação de trabalho smartcard no perfil do usuário que está fazendo logon com a cartão inteligente.

    Observação

    Você não precisa armazenar a chave privada no perfil do usuário na estação de trabalho. Ele só é necessário para ser armazenado no smartcard.

  • O certificado smartcard correto ou a chave privada não está instalado no smartcard. O certificado smartcard válido deve ser instalado no smartcard com a chave privada e o certificado deve corresponder a um certificado armazenado no perfil do usuário smartcard na estação de trabalho smartcard.

  • O certificado do cartão inteligente não pode ser recuperado do leitor de smartcard. Pode ser um problema com o hardware do leitor de smartcard ou o software de driver do leitor de smartcard. Verifique se você pode usar o software do fornecedor de leitor de smartcard para exibir o certificado e a chave privada no smartcard.

  • O certificado smartcard expirou.

  • Nenhum UPN (Nome de Entidade de Usuário) está disponível na extensão SubjAltName do certificado smartcard.

  • O campo UPN no SubjAltName do certificado smartcard está mal formatado. Se as informações no SubjAltName forem exibidas como dados brutos hexadecimal/ASCII, a formatação de texto não será ASN1/UTF-8.

  • O smartcard tem um certificado malformado ou incompleto. Para cada uma dessas condições, você deve solicitar um novo certificado smartcard válido e instalá-lo no smartcard e no perfil do usuário na estação de trabalho smartcard. O certificado smartcard deve atender aos requisitos descritos anteriormente neste artigo, que incluem um campo UPN formatado corretamente no campo SubjAltName.

    Se o certificado smartcard válido tiver expirado, você também poderá renovar o certificado smartcard, que é mais complexo e difícil do que solicitar um novo certificado smartcard.

  • O usuário não tem um UPN definido em sua conta de usuário do Active Directory. A conta do usuário no Active Directory deve ter um UPN válido na propriedade userPrincipalName da conta de usuário do Active Directory do usuário smartcard.

  • O UPN no certificado não corresponde ao UPN definido na conta de usuário do Active Directory do usuário. Corrija o UPN na conta de usuário do Active Directory do usuário smartcard ou reemite o certificado smartcard para que o valor UPN no campo SubjAltName corresponda ao UPN na conta de usuário do Active Directory dos usuários do smartcard. Recomendamos que o UPN de cartão inteligente corresponda ao atributo da conta de usuário userPrincipalName para CAs de terceiros. No entanto, se o UPN no certificado for o "UPN implícito" da conta (formato samAccountName@domain_FQDN), o UPN não precisará corresponder explicitamente à propriedade userPrincipalName.

Problemas de verificação de revogação

Se a verificação de revogação falhar quando o controlador de domínio validar o certificado de logon de cartão inteligente, o controlador de domínio negará o logon. O controlador de domínio pode retornar a mensagem de erro mencionada anteriormente ou a seguinte mensagem de erro:

O sistema não pôde fazer logon em você. O certificado smartcard usado para autenticação não era confiável.

Observação

Não localizar e baixar a CRL (Lista de Revogação de Certificados), um CRL inválido, um certificado revogado e um status de revogação de "desconhecido" são considerados falhas de revogação.

O marcar de revogação deve ter êxito tanto do cliente quanto do controlador de domínio. Verifique se o seguinte é verdadeiro:

  • A verificação de revogação não está desativada.

    O marcar de revogação para os provedores de revogação internos não pode ser desativado. Se um provedor de revogação instalável personalizado estiver instalado, ele deverá ser ativado.

  • Cada Certificado de AC, exceto a AC raiz na cadeia de certificados, contém uma extensão CDP válida no certificado.

  • O CRL tem um campo Próxima Atualização e o CRL está atualizado. Você pode marcar que o CRL está online na CDP e válido baixando-o da Internet Explorer. Você deve ser capaz de baixar e exibir o CRL de qualquer um dos CDPs do Protocolo de Transporte hyperText (HTTP) ou FTP (Protocolo de Transferência de Arquivo) na Internet Explorer tanto da estação de trabalho smartcard quanto dos controladores de domínio.

Verifique se cada CDP HTTP e FTP exclusivo que é usado por um certificado em sua empresa está online e disponível.

Para verificar se um CRL está online e disponível em uma CDP FTP ou HTTP:

  1. Para abrir o Certificado em questão, clique duas vezes no arquivo .cer ou clique duas vezes no certificado no repositório.
  2. Clique na guia Detalhes e selecione o campo Ponto de Distribuição do CRL .
  3. No painel inferior, realce a URL (Localizador de Recursos uniformes) ou FTP completo e copie-a.
  4. Abra o Explorer da Internet e cole a URL na barra de endereços.
  5. Ao receber o prompt, selecione a opção para Abrir o CRL.
  6. Verifique se há um campo Próxima Atualização no CRL e a hora no campo Próxima Atualização não foi passada.

Para baixar ou verificar se uma CDP LDAP (Protocolo de Acesso ao Diretório Leve) é válida, você deve escrever um script ou um aplicativo para baixar o CRL. Depois de baixar e abrir o CRL, verifique se há um campo Próxima Atualização no CRL e a hora no campo Próxima Atualização não foi passada.

Suporte

Os Serviços de Suporte ao Produto da Microsoft não dão suporte ao processo de logon de cartão inteligente de ca de terceiros se for determinado que um ou mais dos seguintes itens contribuam para o problema:

  • Formato de certificado impróprio.
  • O status de certificado ou a revogação não status disponíveis na AC de terceiros.
  • Problemas de registro de certificado de uma AC de terceiros.
  • A AC de terceiros não pode publicar no Active Directory.
  • Um CSP de terceiros.

Informações adicionais

O computador cliente verifica o certificado do controlador de domínio. Portanto, o computador local baixa um CRL para o certificado do controlador de domínio no cache CRL.

O processo de logon offline não envolve certificados, apenas credenciais armazenadas em cache.

Para forçar o repositório NTAuth a ser imediatamente preenchido em um computador local em vez de aguardar a próxima Política de Grupo propagação, execute o seguinte comando para iniciar uma atualização Política de Grupo:

  dsstore.exe -pulse

Você também pode despejar as informações de cartão inteligentes no Windows Server 2003 e no Windows XP usando o comando Certutil.exe -scinfo.