Retningslinjer for å aktivere smartkort-pålogging med tredjeparts sertifiseringsinstanser


Sammendrag


Du kan aktivere et smartkort påloggingsprosessen med Microsoft Windows 2000 og en ikke-Microsoft sertifiseringsinstans (CA) ved å følge retningslinjene i denne artikkelen. Det er begrenset støtte for denne konfigurasjonen, som beskrevet senere i denne artikkelen.

Hvis du vil ha mer informasjon


Krav

Krever smartkort-autentisering til Active Directory som smartkort-arbeidsstasjoner, Active Directory og Active Directory-domenekontrollere er riktig konfigurert. Active Directory må stole på en sertifiseringsinstans for å godkjenne brukere basert på sertifikater fra denne CA. Både arbeidsstasjoner for smartkort og domenekontrollere må være konfigurert med riktig konfigurerte sertifikater.

Som med alle PKI-implementering, alle parter må stole på rot-CA som de utstedende Sertifiseringsinstansen kjedene. Både domenekontrollere og smartkort-arbeidsstasjoner stole på denne roten.

Active Directory og domene controller-konfigurasjon

  • Nødvendig: Active Directory må ha den utstedende Sertifiseringsinstansen for tredjeparts i NTAuth-lageret til å godkjenne brukere til active directory.
  • Nødvendig: Domenekontrollere må konfigureres med en domenekontrollersertifikatet til å godkjenne brukere med smartkort.
  • Valgfritt: Active Directory kan konfigureres til å distribuere den tredjeparts-rotsertifiseringsinstansen til lageret for klarerte rotsertifiseringsinstansen for alle domenemedlemmer ved hjelp av gruppepolicy.

Smartkort-sertifikat og workstation krav

  • Nødvendig: Alle smartkort-kravene som er beskrevet i delen "Konfigurasjonsinstruksjoner" må være oppfylt, inkludert tekstformatering på feltene. Smartkort-godkjenning mislykkes hvis de ikke er oppfylt.
  • Nødvendig: Smartkort og den private nøkkelen må være installert på smartkortet.

Konfigurasjonsinstruksjoner

  1. Eksportere eller laste ned rotsertifikatet fra tredjepart. Hvordan å skaffe seg part roten sertifikat varierer etter leverandør. Sertifikatet må være i Base64-kodet X.509-format.
  2. Legge til tredjeparts-rotsertifiseringsinstans klarerte røtter i Active Directory, gruppepolicy-objekter. Konfigurere gruppepolicy i Windows 2000-domene til å distribuere tredjeparts-Sertifiseringsinstans til lageret for klarerte rotsertifiseringsinstanser for alle datamaskinene i domenet:
    1. Klikk Start, programmer, Administrative verktøy, og klikk deretter Active Directory-brukere og datamaskiner.
    2. I ruten til venstre finner du domenet som du vil redigere policyen brukes.
    3. Høyreklikk domenet, og klikk deretter Egenskaper.
    4. Klikk kategorien Gruppepolicy .
    5. Klikk standard domene Policy gruppepolicyobjektet, og klikk deretter Rediger. Det åpnes et nytt vindu.
    6. I den venstre ruten utvider du følgende elementer:
      • Datamaskinkonfigurasjon
      • Windows-innstillinger
      • Sikkerhetsinnstillinger
      • Policy for fellesnøkkel
    7. Høyreklikk Klarerte rotsertifiseringsinstanser.
    8. Velg Alle oppgaver, og klikk deretter Importer.
    9. Følg instruksjonene i veiviseren for å importere sertifikatet.
    10. Klikk OK.
    11. Lukk vinduet Gruppepolicy .
  3. Legge til tredjeparts utstedende Sertifiseringsinstansen i NTAuth-lageret i Active Directory.

    Smartkort-pålogging sertifikatet må være utstedt fra en Sertifiseringsinstans som finnes i NTAuth-lageret. Som standard Microsoft Enterprise CAs blir lagt til i NTAuth-lageret.
    • Hvis Sertifiseringsinstansen som utstedte pålogging smartkortsertifikatet eller domenet kontrolleren sertifikater ikke er riktig i NTAuth-lageret påloggingsprosessen smartkort virker ikke. Tilsvarende svaret er "Kan ikke kontrollere legitimasjonsbeskrivelsene".
    • NTAuth-lageret ligger i konfigurasjonsbeholderen for skogen. For eksempel er et sted for eksempel slik:
      LDAP://server1.Name.com/CN=NTAuthCertificates, CN = offentlig nøkkel tjenester, CN = tjenester, CN = Configuration, DC = navn, DC = com
    • Dette lageret opprettes som standard når du installerer en Microsoft Enterprise-Sertifiseringsinstansen. Objektet kan også opprettes manuelt ved hjelp av ADSIedit.msc i Windows 2000-støtteverktøy, eller ved hjelp av LDIFDE. For mer informasjon, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

      295663 hvordan du importerer fra en tredjeparts-sertifiseringsinstans (CA) i Enterprise NTAuth-lageret

    • Det aktuelle attributtet er cACertificate, som er en oktett flere objektegenskap liste over sertifikater som ASN-kodet streng.

      Når du legger til tredjeparts-Sertifiseringsinstans i NTAuth-lageret, plasserer domenebasert gruppepolicy en registernøkkel (avtrykket av sertifikatet) på følgende plassering på alle datamaskinene i domenet:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Deretter oppdateres hver åttende time på arbeidsstasjoner (vanlig gruppepolicy puls intervallet).
  4. Be om og installere et domenekontrollersertifikatet på domene-kontroller(ene). Hver domenekontroller som skal godkjenne smartkort-brukere må ha en domenekontrollersertifikatet.

    Hvis du installerer en Microsoft Enterprise-Sertifiseringsinstansen i en Active Directory-skog, registrere alle domenekontrollere automatisk for en domenekontrollersertifikatet. For mer informasjon om kravene til domain controller sertifikater fra en tredjeparts-Sertifiseringsinstans, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

    291010 krav for domain controller sertifikater fra en tredjeparts-Sertifiseringsinstans

    Merknad: domenekontrollersertifikatet som brukes for Secure Sockets Layer (SSL)-godkjenning, kryptering for SMTP Simple Mail Transfer Protocol (), Remote Procedure Call (RPC)-signering og påloggingsprosessen smartkort. Ved hjelp av en ikke - Microsoft Sertifiseringsinstans til å utstede et sertifikat til en domenekontroller, kan det føre til at uventet atferd eller resultater som ikke støttes. En uriktig formatert eller et sertifikat med emnenavnet fraværende kan føre til at disse eller andre muligheter til å slutte å svare.
  5. Be om et smartkort-sertifikat fra tredjeparts-Sertifiseringsinstans.

    Registrere for et sertifikat fra en tredjeparts-Sertifiseringsinstans som tilfredsstiller de oppgitte kravene. Metoden for registrering varierer etter CA-leverandør.

    Smartkortsertifikatet har bestemt format krav:
    • CRL-distribusjonspunktet (CDP) plasseringen (der CRL er opphevelsesliste for sertifisering) må være fylt ut på forhånd, tilkoblet og tilgjengelig. For eksempel:
      [1] CRL-distribusjonspunkt
      Navn på distribusjonspunkt:
      Fullt navn:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • Nøkkelbruk = Digital signatur
    • Hovedbegrensninger [Emnetype = slutten enhet, Banelengdebetingelse = Ingen] (Valgfritt)
    • Forbedret nøkkelbruk =
      • Klientgodkjenning (1.3.6.1.5.5.7.3.2)
        (Klientgodkjenning OID) er bare nødvendig hvis en sertifikatet brukes for SSL-godkjenning.)
      • Pålogging med smartkort (1.3.6.1.4.1.311.20.2.2)
    • Alternativt navn for emne = andre navn: Hovednavn = (UPN). For eksempel:
      UPN = user1@name.com
      OtherName OID UPN er: "1.3.6.1.4.1.311.20.2.3"
      UPN-OtherName-verdi: må være ASN1-kodet UTF8-strengen
    • Emne = unike navnet til brukeren. Dette feltet er obligatorisk tillegg, men populasjonen i dette feltet er valgfritt.
  6. Det finnes to forhåndsdefinerte typer private nøkler. Disse nøklene er Signatur-Only(AT_SIGNATURE) og Exchange(AT_KEYEXCHANGE) for nøkkelen. Smartkort-pålogging sertifikater må ha en Nøkkel Exchange(AT_KEYEXCHANGE) Privatnøkkeltype i rekkefølge for smartkortpålogging skal fungere riktig.
  7. Installere smartkort-drivere og programvare til smartkort-arbeidsstasjonen.

    Kontroller at riktig smartkort-leser enhets- og driveregenskapene programvaren er installert på arbeidsstasjonen smartkort. Dette varierer fra leverandør for smartkort-leser.
  8. Installere tredjeparts smartkortsertifikatet til smartkort-arbeidsstasjonen.

    Hvis smartkortet ikke ble allerede Legg til smartkort brukerens personlige lageret i registreringsprosessen i trinn 4, må du importere sertifikatet til brukerens personlige lager. Slik gjør du:
    1. Åpne i Microsoft Management Console (MMC) som inneholder snapin-modulen for sertifikater.
    2. Klikk sertifikaterunder personlig, i konsolltreet.
    3. Klikk Importer for å starte veiviseren for sertifikatimport på menyen Alle oppgaver .
    4. Velg filen som inneholder sertifikatene du importerer.

      Merk: Hvis filen som inneholder sertifikatene er en fil for personlig informasjonsutveksling (PKCS #12), skriver du inn passordet du brukte til å kryptere et privat nøkkel, klikk for å merke den aktuelle boksen hvis du vil at privatnøkkelen skal kunne eksporteres, og deretter Aktiver sterk privatnøkkelbeskyttelse (Hvis du vil bruke denne funksjonen).

      Merk: Hvis du vil aktivere sterk beskyttelse av privatnøkkelen, må du bruke logiske sertifikatlagre visningsmodus.
    5. Velg alternativet for å plassere sertifikatet automatisk i et sertifikatlager basert på sertifikattypen.
  9. Installere tredjeparts smartkort-sertifikat på smartkortet. Hvordan du gjør dette varierer i henhold til kryptografitjenesten (CSP) og etter leverandør av smartkort. Se leverandørens documentations for instruksjoner.
  10. Logg deg på arbeidsstasjonen med smartkortet.

Mulige problemer

Under pålogging med smartkort er den vanligste feilmeldingen vises:

Systemet kan ikke logge deg på. Legitimasjonen kunne ikke bekreftes.
Dette er en generisk feilmelding og kan være et resultat av en eller flere av flere problemer som er beskrevet nedenfor.

Problemer med sertifikat og konfigurasjon

  • Domenekontrolleren har ingen domenekontrollersertifikatet.
  • Feltet SubjAltName for smartkortsertifikatet som er dårlig formatert. Hvis informasjonen i SubjAltName-feltet vises som heksadesimale / ASCII rådata, for tekstformatering er ikke ASN1 / UTF-8.
  • Domenekontrolleren har et sertifikat som ellers er ugyldig eller ufullstendig.
  • For hver av de følgende betingelsene må du be om en ny gyldig domenekontrollersertifikatet. Hvis din gyldig domenekontrollersertifikatet som er utløpt, kan du fornye domenekontrollersertifikatet, men denne prosessen er mer kompliserte, og vanligvis vanskeligere enn hvis du ber om en ny domenekontrollersertifikatet.
    • Domenekontrollersertifikatet som er utløpt.
    • Domenekontrolleren har en ikke-klarert sertifikat. Hvis NTAuth-lageret ikke inneholder en sertifiseringsinstans (CA) av domenekontrollersertifikatet må utstedende Sertifiseringsinstans, du legge den til i NTAuth-lageret eller få en DC-sertifikat fra en utstedende Sertifiseringsinstans som sertifikatet ligger i NTAuth-lageret.

      Hvis domenekontrollere eller arbeidsstasjoner smartkort ikke stoler Rotsertifiseringsinstans som knytter domenekontrollerens sertifikatet, og deretter må du konfigurere datamaskinene du kan stole på at Rotsertifiseringsinstans.
    • Smartkortet har en ikke-klarert sertifikat. Hvis NTAuth-lageret ikke inneholder CA-sertifikatet av smartkortsertifikatet må utstedende Sertifiseringsinstans, du legge den til i NTAuth-lageret eller få et smartkort-sertifikat fra en utstedende Sertifiseringsinstans som sertifikatet ligger i NTAuth-lageret.

      Hvis domenekontrollere eller arbeidsstasjoner smartkort ikke stoler Rotsertifiseringsinstans som knytter brukerens smartkortsertifikatet, og deretter må du konfigurere datamaskinene du kan stole på at Rotsertifiseringsinstans.
    • Sertifikatet i smartkortet er ikke installert i brukerens lager på arbeidsstasjonen. Sertifikatet som er lagret på smartkortet må ligge på en smartkort-arbeidsstasjon i profilen for brukeren som logger på med smartkortet.

      Merk: du trenger ikke å lagre den private nøkkelen i brukerens profil på arbeidsstasjonen. Det er bare nødvendig å bli lagret på smartkortet.
    • Den riktige smartkortsertifikatet eller privat nøkkel er ikke installert på smartkortet. Smartkortsertifikatet som gyldig må være installert på smartkortet med den private nøkkelen og sertifikatet må samsvare med et sertifikat som er lagret i smartkort brukerprofilen på smartkort-arbeidsstasjon.
    • Kan ikke hente sertifikatet i smartkortet fra smartkort-leseren. Dette kan være et problem med maskinvaren for smartkort-leser eller driverprogramvare for Smart Card-leser. Kontroller at du kan bruke smartkort-leser leverandørens programvare til å vise sertifikatet og den private nøkkelen på smartkortet.
    • Smartkort-sertifikat er utløpt.
    • Ingen User Principal Name (UPN) er tilgjengelig i SubjAltName-utvidelse for smartkortsertifikatet.
    • UPN i feltet SubjAltName for smartkortsertifikatet som er dårlig formatert. Hvis det vises informasjon i SubjAltName som heksadesimale / ASCII rådata, for tekstformatering er ikke ASN1 / UTF-8.
    • Smartkortet har et sertifikat som ellers er ugyldig eller ufullstendig. For hver av disse betingelsene, må du be om en ny smartkortsertifikatet som er gyldig og installere det på smartkortet, og i profilen for brukeren på arbeidsstasjonen smartkort. Smartkortsertifikatet som må oppfylle kravene som er beskrevet tidligere i denne artikkelen, som inkluderer en riktig formatert UPN-feltet i SubjAltName-feltet.

      Hvis gyldig smartkort-sertifikat er utløpt, du kan også fornye smartkortsertifikatet, men dette er vanligvis mer komplekst og vanskelig enn ber om et nytt sertifikat på smartkortet.
    • Brukeren har ikke en UPN som er definert i en Active Directory-brukerkonto. Brukerens konto i Active Directory må ha en gyldig UPN i egenskapen userPrincipalName for smartkort brukerens Active Directory-brukerkontoen.
    • UPN i sertifikatet samsvarer ikke med UPN som er definert i brukerens Active Directory-brukerkontoen. Du må rette UPN i smartkort brukerens Active Directory-brukerkontoen eller utstede på nytt sertifikat smartkortet slik at UPN-verdien i feltet SubjAltName para UPN i smartkort brukernes Active Directory-brukerkontoen. Vi anbefaler at smartkortet UPN samsvarer med attributtet userPrincipalName bruker kontoen for tredjeparts sertifiseringsinstanser. Hvis UPN i sertifikatet er "implict UPN" på kontoen (format samAccountName@domain_FQDN), har imidlertid ikke UPN til samsvarer med egenskapen userPrincipalName eksplisitt.

Problemer for opphevelseskontroll

Hvis den tilbakekallingskontroll mislykkes når domenekontrolleren som godkjenner påloggingen smartkortsertifikatet, nekter domenekontrolleren påloggingen. Domenekontrolleren kan returnere feilmeldingen som er nevnt tidligere eller følgende feilmelding:

Systemet kan ikke logge deg på. Smartkortsertifikatet som brukes til godkjenning, var ikke klarert.
Merknad: ikke kunne finne og laste ned den sertifikat sertifikatopphevelseslisten (CRL), en ugyldig CRL, et opphevet sertifikat og en Tilbakekallingsstatusen for "Ukjent" alle anses tilbakekalling feil.

Opphevelseskontrollen må lykkes fra både klienten og domenekontrolleren. Kontroller at følgende betingelser er oppfylt:

  • Kontroll av opphevelse er ikke slått av.

    Opphevelseskontrollen for den innebygde tilbakekalling leverandører ikke kan slås av. Hvis en leverandør av egendefinerte installerbare tilbakekalling er installert, må være slått på.
  • Hver sertifiseringsinstans bortsett fra rotsertifiseringsinstansen i sertifikatkjeden inneholder en gyldig CDP-utvidelse i sertifikatet.
  • Sertifikatopphevelseslisten er et felt i neste oppdatering, og listen er oppdatert. Du kan kontrollere at listen er online på CDP og gyldig ved å laste den ned fra Internet Explorer. Du skal kunne laste ned og vise CRL fra noen av HTTP (Hypertext Transport Protocol) eller CDPs (FTP File Transfer Protocol) i Internet Explorer fra både hvilke på hvilke arbeidsstasjoner du smartkort og domene-kontroller(ene).
Kontroller at hvert unike HTTP- og FTP-CDP som brukes av et sertifikat i bedriften er tilkoblet og tilgjengelig.

Slik kontrollerer du at en CRL er tilkoblet og tilgjengelig fra en FTP- eller HTTP-CDP:

  1. Hvis du vil åpne det aktuelle sertifikatet, dobbeltklikker du på CER-filen eller dobbeltklikk sertifikatet i lageret.
  2. Klikk kategorien Detaljer , Rull ned og velger feltet CRL-distribusjonspunkt .
  3. I den nederste ruten, merker du hele FTP eller HTTP Uniform Resource Locator (URL) og kopier den.
  4. Åpne Internet Explorer og lime inn URL-adressen i adresselinjen .
  5. Når du blir bedt om, velger du alternativet for å Åpne listen.
  6. Kontroller at det er et felt i Neste oppdatering i listen, og klokkeslettet i feltet Neste oppdatering har ikke bestått.
Hvis du vil laste ned eller bekrefte at en Lightweight Directory Access Protocol (LDAP) CDP er gyldig, må du skrive et skript eller et program for å laste ned i CRL. Når du laster ned og åpne listen, må du kontrollere at det er et felt i Neste oppdatering i listen, og klokkeslettet i feltet Neste oppdatering har ikke bestått.


Kundestøtte

Microsoft Product Support Services støtter ikke tredjeparts-Sertifiseringsinstans smartkort påloggingsprosessen Hvis det blir fastslått at en eller flere av følgende elementer bidrar til problemet:

  • Ugyldig sertifikat-format.
  • Sertifikatstatus eller tilbakekallingsstatusen ikke tilgjengelig fra tredjeparts-Sertifiseringsinstans.
  • Sertifikatregistrering problemer fra en tredjeparts-Sertifiseringsinstans.
  • Kan ikke publisere tredjeparts-Sertifiseringsinstans til Active Directory.
  • En tredjeparts CSP.

Tilleggsinformasjon

Klientdatamaskinen kontrollerer domenekontrollerens sertifikatet. Den lokale datamaskinen nedlastinger derfor en CRL for domenekontrollersertifikatet i CRL-hurtigbufferen.

Frakoblet påloggingsprosessen involverer ikke sertifikater, bare bufret legitimasjon.

Hvis du vil tvinge NTAuth-lageret brukes umiddelbart på en lokal datamaskin i stedet for å vente på neste overføring i gruppepolicy, Kjør følgende kommando for å starte en oppdatering for gruppepolicy:

dsstore.exe-puls

Du kan også dump ut smartkort i Windows Server 2003 og Windows XP ved hjelp av kommandoen Certutil.exe scinfo .