Richtlijnen voor het inschakelen van smartcardaanmelding met certificeringsinstanties van derden

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Dit artikel is eerder gepubliceerd onder NL281245
Samenvatting
Aan de hand van de richtlijnen in dit artikel kunt u een smartcardaanmeldingsprocedure inschakelen met Microsoft Windows 2000 en een niet-Microsoft-certificeringsinstantie (CA, Certification Authority). Zoals verderop in dit artikel wordt beschreven, is er beperkte ondersteuning voor deze configuratie.
Meer informatie

Vereisten

Smartcardverificatie voor Active Directory vereist dat smartcardwerkstations, Active Directory en Active Directory-domeincontrollers correct zijn geconfigureerd. Active Directory moet erop vertrouwen dat een certificeringsinstantie gebruikers verifieert op basis van certificaten van die certificeringsinstantie. Zowel smartcardwerkstations als domeincontrollers moeten worden geconfigureerd met correct geconfigureerde certificaten.

Zoals gebruikelijk bij de implementatie van de infrastructuur van openbare sleutels, moeten alle partijen de basis-CA vertrouwen waaraan de uitgevende CA gekoppeld is. Zowel de domeincontrollers als de smartcardwerkstations vertrouwen deze basis-CA.

Configuratie van Active Directory en domeincontroller

 • Vereist: De uitgevende CA van derden moet aanwezig zijn in het NTAuth-archief van Active Directory om gebruikers te kunnen verifiëren voor Active Directory.
 • Vereist: Domeincontrollers moeten worden geconfigureerd met een domeincontrollercertificaat om smartcardgebruikers te kunnen verifiëren.
 • Optioneel: Active Directory kan worden geconfigureerd om de basis-CA van derden te distribueren naar de vertrouwde basis-CA van alle domeinleden die het groepsbeleid gebruiken.

Vereisten voor smartcardcertificaat en -werkstation

 • Vereist: Aan alle smartcardvereisten die worden beschreven in de sectie 'Instructies voor configuratie' moet worden voldaan, met inbegrip van de vereiste ten aanzien van de tekstopmaak van de velden. Smartcardverificatie mislukt als niet aan deze vereisten wordt voldaan.
 • Vereist: De smartcardsleutel en de persoonlijke sleutel moeten op de smartcard zijn geïnstalleerd.

Instructies voor configuratie

 1. Exporteer of download het basiscertificaat van derden. Hoe u dit basiscertificaat kunt verkrijgen, verschilt per leverancier. Het certificaat moet de indeling Base64 Encoded X.509 hebben.
 2. Voeg de basis-CA van derden toe aan de vertrouwde basiscertificaten in een groepsbeleidobject van Active Directory. Groepsbeleid in het Windows 2000-domein configureren voor distributie van de CA van derden naar het archief voor vertrouwde basiscertificaten van alle domeincomputers:
  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik op Active Directory: gebruikers en computers.
  2. Zoek in het linkerdeelvenster naar het domein waarin het beleid dat u wilt bewerken wordt toegepast.
  3. Klik met de rechtermuisknop op het domein en klik op Eigenschappen.
  4. Open het tabblad Groepsbeleid.
  5. Klik op Standaarddomeinbeleid en klik op Bewerken. Er wordt een nieuw venster geopend.
  6. Vouw de volgende items uit in het linkerdeelvenster:
   • Computerconfiguratie
   • Windows-instellingen
   • Beveiligingsinstellingen
   • Beleid voor openbare sleutels
  7. Klik met de rechtermuisknop op Vertrouwde basiscertificeringsinstanties.
  8. Selecteer Alle taken en klik op Importeren.
  9. Volg de aanwijzingen in de wizard om het certificaat te importeren.
  10. Klik op OK.
  11. Sluit het dialoogvenster Groepsbeleid.
 3. Voeg de CA van derden toe aan het NTAuth-archief in Active Directory.

  Het smartcardaanmeldingscertificaat moet worden uitgegeven door een CA die zich in het NTAuth-archief bevindt. Microsoft Enterprise-CA's worden standaard toegevoegd aan het NTAuth-archief.
  • Als de CA die het smartcardaanmeldingscertificaat of de domeincontrollercertificaten heeft uitgegeven, niet juist is gepubliceerd in het NTAuth-archief, werkt de smartcardaanmeldingsprocedure niet. Het overeenkomstige antwoord is 'Unable to verify the credentials'.
  • Het NTAuth-archief bevindt zich in de configuratiecontainer voor het forest. Een voorbeeld van een locatie is:
   LDAP://server1.naam.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=naam,DC=com
  • Dit archief wordt standaard gemaakt wanneer u een CA van Microsoft Enterprise installeert. Het object kan ook handmatig worden gemaakt door ADSIedit.msc in de ondersteuningsprogramma's van Windows 2000 te gebruiken of door LDIFDE te gebruiken.Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
   295663Certificaten van certificeringsinstanties van derden importeren in het NTAuth-archief van de onderneming
  • Het relevante kenmerk is cACertificate. Dit is een lijst met meerdere waarden met ASN-gecodeerde certificaten, in de vorm van octet-tekenreeksen.

   Nadat u de CA van derden hebt toegevoegd aan het NTAuth-archief, plaatst een op een domein gebaseerd groepsbeleid een registersleutel (een blauwdruk van het certificaat) op de volgende locatie op alle computers in het domein:
   HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
   Deze sleutel wordt om de acht uur vernieuwd op werkstations (het gebruikelijke pulsinterval voor groepsbeleid).
 4. Vraag een domeincontrollercertificaat aan en installeer dit op de domeincontroller(s). Elke domeincontroller die smartcardgebruikers moet verifiëren, moet over een domeincontrollercertificaat beschikken.

  Als u een Microsoft Enterprise-CA installeert in een Active Directory-forest, wordt voor alle domeincontrollers automatisch een domeincontrollercertificaat geregistreerd. Voor meer informatie over vereisten voor domeincontrollercertificaten van een CA van derden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
  291010Vereisten voor domeincontrollercertificaten van certificeringsinstanties van derden
  Opmerking Het domeincontrollercertificaat wordt gebruikt voor SSL-verificatie (Secure Sockets Layer), SMPT-codering (Simple Mail Transfer Protocol) en RPC-ondertekening (Remote Procedure Call), alsmede voor de smartcardaanmeldingsprocedure. Het gebruik van een niet-Microsoft-CA om een certificaat uit te geven aan een domeincontroller kan leiden tot onverwacht gedrag of resultaten die niet worden ondersteund. Een verkeerd ingedeeld certificaat of een certificaat waarin de onderwerpnaam ontbreekt, kan ervoor zorgen dat deze of andere items niet meer reageren.
 5. Vraag een smartcardcertificaat van de CA van derden aan.

  Registreer u voor een certificaat van de CA van derden dat voldoet aan de vermelde vereisten. De methode van registreren verschilt per leverancier.

  De indeling van het smartcardcertificaat moet aan bepaalde vereisten voldoen:
  • De CRL-distributiepuntlocatie (waarbij CRL staat voor Certification Revocation List) moet worden ingevuld, moet online zijn en moet beschikbaar zijn. Bijvoorbeeld:
   [1]CRL-distributiepunt
   Naam van distributiepunt:
   Volledige naam:
   URL=http://server1.naam.com/CertEnroll/naamCA.crl
  • Sleutelgebruik = Digitale handtekening
  • Essentiële beperkingen [Subjecttype=Eindentiteit, Beperking padlengte=Geen] (Optioneel)
  • Verbeterd sleutelgebruik =
   • Clientverificatie (1.3.6.1.5.5.7.3.2)
    (De clientverificatie-OID is alleen nodig als een certificaat wordt gebruikt voor SSL-verificatie.)
   • Smartcardaanmelding (1.3.6.1.4.1.311.20.2.2)
  • Alternatieve naam subject = Andere naam: Principal-naam = (UPN). Bijvoorbeeld:
   UPN = gebruiker1@naam.com
   Het OID voor UPN Andere naam is: "1.3.6.1.4.1.311.20.2.3"
   De waarde voor UPN Andere naam: moet een ASN1-gecodeerde UTF8-tekenreeks zijn
  • Subject = Distinguished Name van gebruiker. Dit veld is een verplichte uitbreiding, maar de invulling van dit veld is optioneel.
 6. Er zijn twee soorten vooraf gedefinieerde persoonlijke sleutels. Deze sleutels zijn Signature Only(AT_SIGNATURE) en Sleuteluitwisseling(AT_KEYEXCHANGE). Smartcardaanmeldingscertificaten moeten een persoonlijke sleutel van het type Sleuteluitwisseling(AT_KEYEXCHANGE) hebben, anders werkt de smartcardaanmelding niet correct.
 7. Installeer stuurprogramma's en software voor de smartcard op het smartcardwerkstation.

  Zorg ervoor dat de juiste smartcardlezer en de benodigde stuurprogramma's op het smartcardwerkstation zijn geïnstalleerd. Dit verschilt al naar gelang de leverancier van de smartcardlezer.
 8. Installeer het smartcardcertificaat van derden op het smartcardwerkstation.

  Als de smartcard nog niet in het persoonlijke archief van een smartcardgebruiker werd geplaatst tijdens de registratieprocedure in stap 4, moet u het certificaat importeren in het persoonlijke archief van de gebruiker. Ga hiervoor als volgt te werk:
  1. Open de MMC (Microsoft Management Console) met de module Certificaten.
  2. Klik in de consolestructuur onder Persoonlijk op Certificaten.
  3. Klik in het menu Alle taken op Importeren om de wizard Certificaat importeren te starten.
  4. Klik op het bestand dat de certificaten bevat die u wilt importeren.

   Opmerking Als het bestand dat de certificaten bevat een PKCS #12-bestand (Personal Information Exchange) is, typt u het wachtwoord dat u hebt gebruikt bij de codering van de persoonlijke sleutel, schakelt u het juiste selectievakje in als de persoonlijke sleutel mag worden geëxporteerd en schakelt u een hoog beveiligingsniveau voor de persoonlijke sleutel in (als u deze functie wilt gebruiken).

   Opmerking Voor het inschakelen van een hoog beveiligingsniveau voor een persoonlijke sleutel moet u de weergavemodus Logische certificaatarchieven gebruiken.
  5. Selecteer de optie om het certificaat automatisch in een certificaatarchief op te slaan op basis van het type certificaat.
 9. Installeer het smartcardcertificaat van derden op de smartcard. De procedure hiervoor is afhankelijk van de CSP (Cryptographic Service Provider) en de leverancier van de smartcard. Raadpleeg de documentatie van de leverancier voor aanwijzingen.
 10. Meld u met de smartcard aan bij het werkstation.

Mogelijke problemen

Het meest voorkomende foutbericht tijdens smartcardaanmelding is:
Het systeem kan u niet aanmelden. Kan uw gebruikersnaam en wachtwoord niet controleren.
Dit is een algemeen foutbericht dat kan worden weergegeven als gevolg van een of meer van de hieronder beschreven problemen.

Problemen met certificaten en configuraties

 • De domeincontroller heeft geen domeincontrollercertificaat.
 • Het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in het veld SubjAltName verschijnt als onbewerkte gegevens van het type Hexadecimaal / ASCII, is de tekst niet opgemaakt als ASN1 / UTF-8.
 • De domeincontroller heeft een anderszins ongeldig of onvolledig certificaat.
 • In elk van de volgende omstandigheden moet u een nieuw geldig domeincontrollercertificaat aanvragen. Als uw geldige domeincontrollercertificaat is verlopen, kunt u het certificaat vernieuwen. Deze procedure is echter doorgaans complexer en moeilijker dan het aanvragen van een nieuw domeincontrollercertificaat.
  • Het domeincontrollercertificaat is verlopen.
  • De domeincontroller heeft geen betrouwbaar certificaat.Als het NTAuth-archief geen certificaat bevat van de CA die het domeincontrollercertificaat uitgeeft, moet u dit toevoegen aan het NTAuth-archief of een domeincontrollercertificaat ophalen van een uitgevende CA waarvan het certificaat zich wel in het NTAuth-archief bevindt.

   Als de domeincontrollers of smartcardwerkstations de basis-CA waaraan het domeincontrollercertificaat is gekoppeld, niet vertrouwen, moet u deze computers configureren om die basis-CA te vertrouwen.
  • De smartcard heeft geen betrouwbaar certificaat.Als het NTAuth-archief geen certificaat bevat van de CA die het smartcardcertificaat uitgeeft, moet u dit toevoegen aan het NTAuth-archief of een smartcardcertificaat ophalen van een uitgevende CA waarvan het certificaat zich wel in het NTAuth-archief bevindt.

   Als de domeincontrollers of smartcardwerkstations de basis-CA waaraan het smartcardcertificaat van de gebruiker is gekoppeld, niet vertrouwen, moet u deze computers configureren om die basis-CA te vertrouwen.
  • Het certificaat van de smartcard is niet geïnstalleerd in het archief van de gebruiker op het werkstation.Het certificaat dat op de smartcard is opgeslagen, moet zich op het smartcardwerkstation in het profiel bevinden van de gebruiker die zich aanmeldt met de smartcard.

   Opmerking U hoeft de persoonlijke sleutel niet op te slaan in het profiel van de gebruiker op het werkstation. Deze hoeft alleen te worden opgeslagen op de smartcard.
  • Het juiste smartcardcertificaat of de juiste persoonlijke sleutel is niet op de smartcard geïnstalleerd.Het geldige smartcardcertificaat moet worden geïnstalleerd op de smartcard met de persoonlijke sleutel en het certificaat moet overeenkomen met een certificaat dat is opgeslagen in het profiel van de smartcardgebruiker op het smartcardwerkstation.
  • Het certificaat van de smartcard kan niet worden opgehaald van de smartcardlezer.Het kan hier gaan om een probleem met de hardware of stuurprogramma's voor de smartcardlezer. Controleer of u de software van de leverancier van de smartcardlezer kunt gebruiken om het certificaat en de persoonlijke sleutel op de smartcard weer te geven.
  • Het smartcardcertificaat is verlopen.
  • Er is geen UPN (User Principal Name) beschikbaar in de extensie SubjAltName van het smartcardcertificaat.
  • De UPN in het veld SubjAltName van het smartcardcertificaat is onjuist opgemaakt. Als de informatie in het veld SubjAltName verschijnt als onbewerkte gegevens van het type Hexadecimaal / ASCII, is de tekst niet opgemaakt als ASN1 / UTF-8.
  • De smartcard heeft een anderszins ongeldig of onvolledig certificaat.In elk van deze omstandigheden moet u een nieuw geldig domeincontrollercertificaat aanvragen en dit installeren op de smartcard en in het profiel van de gebruiker op het smartcardwerkstation. Het smartcardcertificaat moet voldoen aan de vereisten die eerder in dit artikel werden beschreven, met inbegrip van een juist opgemaakte UPN in het veld SubjAltName.

   Als uw geldige smartcardcertificaat is verlopen, kunt u het certificaat vernieuwen. Deze procedure is echter doorgaans complexer en moeilijker dan het aanvragen van een nieuw smartcardcertificaat.
  • De gebruiker heeft geen UPN gedefinieerd in de Active Directory-gebruikersaccount.De Active Directory-gebruikersaccount van de smartcardgebruiker moet een geldige UPN in de eigenschap userPrincipalName bevatten.
  • De UPN in het certificaat komt niet overeen met de UPN die is gedefinieerd in de Active Directory-gebruikersaccount van de gebruiker.U moet de UPN in de Active Directory-gebruikersaccount van de smartcardgebruiker corrigeren of het smartcardcertificaat opnieuw uitgeven zodat de UPN-waarde in het veld SubjAltName overeenkomt met de UPN in de Active Directory-gebruikersaccount van de smartcardgebruiker. Het is raadzaam om de UPN van de smartcard UPN te laten overeenstemmen met de gebruikersaccounteigenschap userPrincipalName voor CA's van derden. Als de UPN in het certificaat echter de “impliciete UPN” van de account is (indeling samAccountnaam@domein_FQDN), hoeft de UPN niet expliciet overeen te stemmen met de eigenschap userPrincipalName.

Problemen bij controle op intrekking

Als de controle op intrekking mislukt wanneer de domeincontroller het smartcardaanmeldingscertificaat valideert, weigert de domeincontroller de aanmelding. De domeincontroller kan dan het eerder vermelde foutbericht of het volgende foutbericht weergeven:
Het systeem kan u niet aanmelden. Het smartcardcertificaat voor de verificatie kan niet worden vertrouwd.
Opmerking Het niet kunnen vinden en downloaden van de certificaatintrekkingslijst (CRL, Certificate Revocation List), een ongeldige CRL, een ingetrokken certificaat en de intrekkingsstatus 'onbekend' worden allemaal beschouwd als intrekkingsfouten.

De controle op intrekking moet op zowel de client als de domeincontroller slagen. Controleer of aan de volgende voorwaarden wordt voldaan:
 • Controle op intrekking is niet uitgeschakeld.

  Controle op intrekking voor de ingebouwde intrekkingsproviders kan niet worden uitgeschakeld. Als een aangepaste intrekkingsprovider is geïnstalleerd, moet deze zijn ingeschakeld.
 • Elk CA-certificaat in de keten, met uitzondering van de basis-CA, moet een geldige CDP-uitbreiding bevatten in het certificaat.
 • De certificaatintrekkingslijst heeft een veld Volgende update en de lijst is bijgewerkt. U kunt controleren of de certificaatintrekkingslijst online is bij het CRL-distributiepunt en u kunt controleren of de lijst geldig is door deze te downloaden via Internet Explorer. U kunt de certificaatintrekkingslijst downloaden en weergeven via elk HTTP (HyperText Transport Protocol) of FTP (File Transfer Protocol) CRL-distributiepunt in Internet Explorer, zowel vanaf smartcardwerkstations als vanaf domeincontrollers.
Controleer of elk uniek CRL-distributiepunt voor HTTP en FTP dat door een certificaat in uw onderneming wordt gebruikt, online en beschikbaar is.

Controleren of een certificaatintrekkingslijst online is en beschikbaar is via een CRL-distributiepunt voor FTP of HTTP:
 1. Dubbelklik op het CER-bestand of dubbelklik op het certificaat in het archief om het gewenste certificaat te openen.
 2. Open het tabblad Details en selecteer het veld CRL-distributiepunt.
 3. Selecteer en kopieer de volledige URL voor de FTP- of HTTP-site in het onderste deelvenster.
 4. Open Internet Explorer en plak de URL in de adresbalk.
 5. Selecteer desgevraagd de optie om de certificaatintrekkingslijst te Openen.
 6. Controleer of de certificaatintrekkingslijst een veld Volgende update bevat en controleer of het tijdstip in het veld Volgende update nog niet verstreken is.
Als u een LDAP (Lightweight Directory Access Protocol) CRL-distributiepunt wilt downloaden of wilt controleren of het geldig is, moet u een script of een toepassing voor het downloaden van de certificaatintrekkingslijst schrijven. Na het downloaden en openen van de certificaatintrekkingslijst controleert u of een veld Volgende update aanwezig is en of het tijdstip voor dit veld niet verstreken is.

Ondersteuning

Microsoft Product Support Services biedt geen ondersteuning voor de smartcardaanmeldingsprocedure van CA's van derden als blijkt dat een of meer van de volgende items bijdragen aan het probleem:
 • Onjuiste certificaatindeling.
 • Certificaatstatus of intrekkingsstatus niet beschikbaar via de certificeringsinstantie van derden.
 • Problemen bij certificaatinschrijving van certificeringsinstantie van derden.
 • De certificeringsinstantie van derden kan niet publiceren naar Active Directory.
 • Een cryptografieprovider (CSP) van derden.

Aanvullende informatie

Clientcomputer controleert het certificaat van de domeincontroller. De lokale computer downloadt derhalve een CRL voor het domeincontrollercertificaat in de CRL-cache.

Voor de offline aanmeldingsprocedures zijn geen certificaten nodig, alleen referenties in de cache.

Als u wilt afdwingen dat het NTAuth-archief direct wordt gevuld op een lokale computer in plaats van te wachten op de volgende groepsbeleid-doorgifte, voert u de volgende opdracht uit om een update van het groepsbeleid te initiëren:
dsstore.exe -pulse

U kunt de smartcardgegevens in Windows Server 2003 en Windows XP ook doorgeven met de opdracht Certutil.exe -scinfo.

Voor meer informatie kunt u het document 'Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon' op de volgende Microsoft-website raadplegen:
3rd third party smartcard
Eigenschappen

Artikel-id: 281245 - Laatst bijgewerkt: 01/23/2007 08:21:00 - Revisie: 5.3

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows® 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

 • kbinfo kbtool kbenv KB281245
Feedback