Navodila za omogočanje prijave pametnih kartic z overovitelji neodvisnih ponudnikov

Povzetek

S temi navodili v tem članku lahko omogočite postopek prijave pametnih kartic s sistemom Microsoft Windows 2000 in Microsoftovim overoviteljem, ki ni Microsoftov (CA). Za to konfiguracijo je omejena podpora, kot je opisana v nadaljevanju tega članka.

Več informacij

Zahteve

Preverjanje pristnosti pametnih kartic z imenikom Active Directory zahteva, da so delovne postaje pametne kartice, imenik Active Directory in krmilniki domene Active Directory pravilno konfigurirani. Imenik Active Directory mora zaupati overitelju potrdil, da preveri pristnost uporabnikov na podlagi potrdil iz tega CA. Obe delovni postaji pametne kartice in krmilniki domene morajo biti konfigurirani s pravilno konfiguriranimi potrdili. Tako kot pri vseh izvedbah PKI morajo vse stranke zaupati izhodiščnim CA, na katerega so na voljo verige izdajatelja CA. Tako krmilniki domene kot tudi delovne postaje pametne kartice zaupajo temu korenu.

Konfiguracija imenika Active Directory in krmilnik domene

  • Zahtevano: imenik Active Directory mora imeti v trgovini NTAuth dovoljenje za preverjanje pristnosti uporabnikov v imeniku Active Directory.

  • Zahtevano: krmilniki domene morajo biti konfigurirani s potrdilom krmilnika domene za preverjanje pristnosti uporabnikov pametne kartice.

  • Izbirno: imenik Active Directory lahko konfigurirate tako, da razdeli korenski CA tretje osebe v shrambo zaupanja vrednih izhodiščnih CA za vse člane domene s pravilnikom skupine.

Potrdila pametne kartice in zahteve za delovne postaje

  • Zahtevano: vse zahteve pametne kartice, opisane v razdelku» navodila za konfiguracijo «, morajo biti izpolnjene, vključno z oblikovanjem besedila polj. Preverjanje pristnosti pametne kartice ni uspešno, če niso izpolnjene.

  • Zahtevano: pametna kartica in zasebni ključ morata biti nameščeni na pametni zavihki.

Navodila za konfiguracijo

  1. Izvozite ali prenesite korensko potrdilo tretje osebe. Kako pridobiti korensko potrdilo za stranko je odvisno od prodajalca. Certifikat mora biti v obliki zapisa» base64 «kodirane X. 509.

  2. Dodajte izhodiščni CA tretje osebe v zaupanja vredne korenine v predmetu pravilnika skupine Active Directory. Če želite konfigurirati pravilnik skupine v domeni sistema Windows 2000, če želite distribuirati CA tretje osebe v zaupanja vredne korenske shrambe vseh računalnikov domene:

    1. Kliknite Start, pokažete na programe, pokažete na Skrbniška orodjain kliknite Uporabniki in računalniki storitve Active Directory.

    2. V levem podoknu poiščite domeno, v kateri je uporabljen pravilnik, ki ga želite urediti.

    3. Z desno tipko miške kliknite domeno in nato kliknite lastnosti.

    4. Kliknite zavihek pravilnik skupine .

    5. Kliknite predmet privzeti pravilnik pravilnika skupine, nato pa kliknite Uredi. Odpre se novo okno.

    6. V levem podoknu razširite te elemente:

      • Konfiguracija računalnika

      • Nastavitve sistema Windows

      • Varnostne nastavitve

      • Pravilnik javnega ključa

    7. Z desno tipko miške kliknite zaupanja vredne izhodiščne overovitelje.

    8. Izberite vsa opravilain nato kliknite Uvozi.

    9. Sledite navodilom v čarovniku, da uvozite potrdilo.

    10. Kliknite V redu.

    11. Zaprite okno pravilnika skupine .

  3. Dodajanje tretje osebe, ki je poslala CA v trgovino NTAuth v storitvi Active Directory. potrdilo o prijavi pametne kartice mora biti izdano z CA, ki je v trgovini NTAuth. Microsoft Enterprise CAs je privzeto dodan v trgovino NTAuth.

    • Če CA, ki je izdal potrdilo o prijavi pametnih kartic ali potrdila krmilnika domene, ni pravilno objavljen v trgovini NTAuth, postopek prijave pametne kartice ne deluje. Ustrezni odgovor je» ni mogoče preveriti poverilnic «.

    • Trgovina NTAuth se nahaja v konfiguracijskem vsebniku za gozd. Vzorčno mesto je na primer na naslednji način:

      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public ključne storitve, CN = storitve, CN = konfiguracija, DC = name, DC = com

    • Ta trgovina je privzeto ustvarjena, ko namestite Microsoft Enterprise CA. Predmet lahko ustvarite tudi ročno s funkcijo ADSIedit. msc v orodjih za podporo sistema Windows 2000 ali z uporabo LDIFDE.Če želite več informacij, kliknite to številko članka iz Microsoftove zbirke znanja:

      Kako uvozite certifikatne urade drugih ponudnikov (CA) v trgovino NTAuth Enterprise

    • Ustrezni atribut je cACertificate, ki je oktetni niz, ki je seznam z več vrednostmi, ki je kodiran z vrednostjo ASN. Ko ste v trgovini NTAuth, ki temelji na domeni, postavite certifikat tretje osebe, pravilnik skupine postavi registrski ključ (Razpoznavni odtis potrdila) na tem mestu v vseh računalnikih v domeni:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\CertificatesTo je osveženo vsakih osem ur na delovnih mestih (tipičen interval pulza pravilnika skupine).

  4. Zahtevajte in namestite potrdilo krmilnika domene v krmilnikih domene. Vsak krmilnik domene, ki bo overil uporabnike pametnih izkaznic, mora imeti potrdilo krmilnika domene. Če namestite Microsoft Enterprise CA v gozd imenika Active Directory, se vsi krmilniki domene samodejno vpišejo v potrdilo krmilnika domene. Če želite več informacij o zahtevah za potrdila krmilnika domene iz drugega OVERITELJa, kliknite to številko članka iz Microsoftove zbirke znanja:

    Zahteve za potrdila krmilnika domen iz tretje osebe CAOpomba: potrdilo krmilnika domene se uporablja za preverjanje pristnosti SSL (Secure Sockets Layer), šifriranje protokola SMTP (preprosti prenos e-pošte), podpisovanje klica oddaljenega postopka (RPC) in postopek prijave pametne kartice. Če s potrdilom, ki ni Microsoft, ne morete izdati potrdila krmilniku domene, lahko povzročijo nepričakovano delovanje ali nepodprte rezultate. Neustrezno oblikovano potrdilo ali potrdilo z manjkajočim imenom lahko povzroči, da se te ali druge zmogljivosti prenehajo odzivati.

  5. Zahtevajte potrdilo pametne kartice od tretje osebe CA. Včlanite se za potrdilo tretje osebe, ki izpolnjuje navedene zahteve. Način za vpis se razlikuje od prodajalca CA. V potrdilu pametne kartice so določene zahteve za oblikovanje:

    • Mesto za razdelitev (CRL) (kjer je CRL), je treba popolniti, v spletu in na voljo. Na primer:

      1 Ime referenčne PointDistribution Pointa CRL: polno ime: URL = http://server1.name.com/CertEnroll/caname.crl

    • Uporaba ključa = digitalni podpis

    • Osnovne omejitve [vrsta zadeve = končni entiteta, omejitev dolžine poti = none] (izbirno)

    • Izboljšana uporaba ključa =

      • Preverjanje pristnosti odjemalca (1.3.6.1.5.5.7.3.2) (OID za preverjanje pristnosti odjemalca) je zahtevano le, če je potrdilo uporabljeno za preverjanje pristnosti SSL.)

      • Prijava pametne kartice (1.3.6.1.4.1.311.20.2.2)

    • Subject nadomestni name = drugo ime: glavno ime = (UPN). Na primer:

      UPN = user1@name. comThe UPN OtherName OID je:» 1.3.6.1.4.1.311.20.2.3 «vrednost UPN OtherName: mora biti ASN1 kodirano UTF8 niz

    • Subject = razlikovalno ime uporabnika. To polje je obvezna pripona, vendar je populacija tega polja izbirna.

  6. Obstajata dve vnaprej določeni vrsti zasebnih ključev. Ti ključi so le podpis (AT_SIGNATURE) in Exchange Key (AT_KEYEXCHANGE). Potrdila o prijavljanju pametnih izkaznic morajo imeti vrsto zasebnega ključa (AT_KEYEXCHANGE) z zasebnim ključem, da lahko pravilno deluje.

  7. Namestite gonilnike pametne kartice in programsko opremo v delovno postajo pametne kartice. Prepričajte se, da je v delovni postaji pametne kartice nameščena ustrezna naprava bralnika kartic in programska oprema za gonilnike. To je odvisno od prodajalca pametnih kartic.

  8. Namestite potrdilo pametne kartice, ki je na delovni postaji pametna kartica. Če pametna kartica ni bila že shranjena v osebnem skladišču uporabnika pametne kartice v postopku vpisa v koraku 4, morate potrdilo uvoziti v osebno trgovino uporabnika. To naredite tako:

    1. Odprite konzolo Microsoft Management Console (MMC), ki vsebuje certifikatne snap-in.

    2. V konzolnem drevesu v razdelku osebnokliknite potrdila.

    3. V meniju vsa opravila kliknite Uvozi , da zaženete čarovnika za uvoz potrdila.

    4. Kliknite datoteko, v kateri so potrdila, ki jih uvažate.Opomba: če je datoteka, v kateri so potrdila, datoteka osebnih podatkov Exchange (PKCS #12), vnesite geslo, ki ste ga uporabili za šifriranje zasebnega ključa, kliknite, če želite izbrati ustrezno potrditveno polje, če želite, da je zasebni ključ mogoče izvoziti, in nato vklopite močno zasebno zaščito ključev (če želite uporabiti to funkcijo).Opomba: Če želite vklopiti močno zaščito zasebnih ključev, morate uporabiti način pogleda logične shrambe potrdil.

    5. Izberite možnost, da samodejno vstavite potrdilo v shrambo potrdil, ki temelji na vrsti potrdila.

  9. Namestite potrdilo pametne kartice, ki je na pametni strani. Kako to naredite, je odvisno od ponudnika kriptografskih storitev (CSP) in s strani prodajalca pametne kartice. Oglejte si dokumente prodajalca za navodila.

  10. Prijavite se v delovno postajo s pametnimi karticami.

Morebitne težave

Med prijavo pametne kartice je prikazano najpogostejše sporočilo o napaki:

Sistem vas ni mogel prijaviti. Poverilnic ni bilo mogoče preveriti.

To je generično sporočilo o napaki in je lahko rezultat ene ali več spodaj opisanih težav.

Težave s potrdilom in konfiguracijo

  • Krmilnik domene nima potrdila krmilnika domene.

  • Polje» SubjAltName «v potrdilu pametne kartice je slabo oblikovano. Če so podatki v polju» SubjAltName «prikazani kot neobdelani šestnajstiški podatki, oblikovanje besedila ni ASN1/UTF-8.

  • Krmilnik domene ima drugače poškodovano ali nepopolno potrdilo.

  • Za vsak od teh pogojev morate zahtevati novo veljavno potrdilo krmilnika domene. Če je veljavnost veljavnega krmilnika domene potekla, lahko podaljšate potrdilo krmilnika domene, vendar je ta postopek bolj zapleten in običajno težji, kot če zahtevate novo potrdilo krmilnika domene.

    • Potrdilo krmilnika domene je poteklo.

    • Krmilnik domene ima nezaupljivo potrdilo. Če shramba NTAuth ne vsebuje potrdila overovitelja (CA) certifikata overitelja domenskega potrdila, ga morate dodati v trgovino NTAuth ali pridobiti potrdilo DC od overitelja, čigar potrdilo prebiva v trgovini NTAuth. Če krmilniki domen ali delovne kartice pametnega strežnika ne zaupajo izhodiščnim CA-jem, ki je v verigi potrdil krmilnika domene, morate te računalnike konfigurirati tako, da jim zaupate.

    • Pametna kartica ima nezaupljivo potrdilo. Če shramba NTAuth ne vsebuje certifikata CA za potrdilo o potrdilu pametne kartice, ga morate dodati v trgovino NTAuth ali pridobiti potrdilo o pametni izkaznici od izdaje CA, čigar potrdilo prebiva v trgovini NTAuth. Če krmilniki domene ali delovne postaje pametne kartice ne zaupajo izhodiščnim CA-jem, ki mu je v verigi potrdil uporabnikove pametne kartice, morate te računalnike konfigurirati tako, da jim zaupate.

    • Potrdilo o pametni kartici ni nameščeno v trgovini uporabnika v delovni postaji. Potrdilo, ki je shranjeno na pametni kartici, mora prebivati na delovni postaji pametne kartice v profilu uporabnika, ki se prijavi s pametno kartico.Opomba: zasebnega ključa ni treba shraniti v profil uporabnika v delovni postaji. To je treba hraniti le na pametni zavihki.

    • Pravilna potrdilo pametne kartice ali zasebni ključ ni nameščen na pametni zavihki. Veljavna izkaznica pametne kartice mora biti nameščena na pametni zavihki z zasebnim ključem in potrdilo se mora ujemati s potrdilom, ki je shranjeno v profilu uporabnika pametne kartice v delovni postaji pametne kartice.

    • Potrdila pametne kartice ni mogoče pridobiti iz bralnika pametnih kartic. To je lahko težava pri strojni opremi bralnika pametnih kartic ali programski opremi bralnika pametnih kartic. Preverite, ali lahko uporabite programsko opremo prodajalca bralnika pametnih kartic, da si ogledate potrdilo in zasebni ključ na pametni zavihki.

    • Potrdilo pametne kartice je poteklo.

    • Nobeno uporabniško glavno ime (UPN) ni na voljo v SubjAltName podaljšanju potrdila pametne kartice.

    • Polje» UPN «v polju» SubjAltName «v potrdilu pametne kartice je slabo oblikovano. Če so podatki v SubjAltName prikazani kot neobdelani šestnajstiški podatki ASCII, oblikovanje besedila ni ASN1/UTF-8.

    • Pametna kartica ima sicer napačno ali nedodelano potrdilo. Za vsak od teh pogojev morate zahtevati novo veljavno potrdilo pametne kartice in ga namestiti na pametna kartica ter v profil uporabnika na delovni postaji pametne kartice. Potrdilo pametne kartice mora ustrezati zahtevam, opisanim prej v tem članku, ki vključujejo pravilno oblikovano polje UPN v polju» SubjAltName «. Če je vaša veljavna kartica pametnih izkaznic potekla, lahko tudi podaljšate potrdilo pametne kartice, vendar je to običajno bolj zapleteno in težko, kot zahtevate novo potrdilo pametne kartice.

    • Uporabnik nima UPN, ki je določen v uporabniškem računu imenika Active Directory. Uporabniški račun v imeniku Active Directory mora imeti veljavno UPN v lastnosti userPrincipalName uporabnika uporabnika pametne kartice.

    • UPN v potrdilu se ne ujema z UPN, ki je določen v uporabnikovem uporabniškem računu imenika Active Directory. UPN morate popraviti v uporabniškem računu uporabnika pametne kartice ali pa znova izdati potrdilo pametne kartice, tako da vrednost UPN v polju» SubjAltName «ustreza uporabniškemu računu uporabnikov v imeniku Active Directory. Priporočamo, da se UPN pametna kartica ujema z atributom uporabniškega računa za userPrincipalName za druge osebe. Če pa je UPN v potrdilu» implict UPN «računa (oblika samAccountName@domain_FQDN), se UPN ne ujema z lastnostjo userPrincipalName izrecno.

Težave s preverjanjem preklica

Če preverjanje preklica ne uspe, ko krmilnik domene potrdi potrdilo o prijavi pametne kartice, krmilnik domene zavrne prijavo. Krmilnik domene lahko vrne prej omenjeno sporočilo o napaki ali to sporočilo o napaki:

Sistem vas ni mogel prijaviti. Potrdilo pametne kartice, uporabljeno za preverjanje pristnosti, ni bilo zaupanja vredno.

Opomba: če ne želite poiskati in prenesti seznama za preklic potrdila (CRL), neveljaven CRL, preklicano potrdilo in stanje preklica» neznano «, veljajo za napake pri preklicu. Preverjanje preklica mora uspeti od odjemalca in krmilnika domene. Preverite, ali je to res:

  • Preverjanje preklica ni izklopljeno. Preverjanje preklica za vgrajene ponudnike preklica ni mogoče izklopiti. Če je nameščen ponudnik za preklic po meri, ga morate vklopiti.

  • Vsako potrdilo CA, razen korenskega CA v verigi potrdil, vsebuje veljavno razširitev CDP v potrdilu.

  • Referenčni laboratorij Skupnosti ima naslednje polje posodobitev in je v njem posodobljen. Preverite lahko, ali je CRL v spletu na spletnem mestu CDP in je veljaven tako, da ga prenesete iz Internet Explorerja. Lahko prenesete in si ogledate referenčni laboratorij Skupnosti iz katerega koli od protokolov HyperText Transport Protocol (HTTP) ali Protocol (FTP) (prenos datotek) v Internet Explorerju, in sicer tako, da sta delovni postaji pametne kartice in krmilniki domen (i) CDPs.

Preverite, ali je v spletu in na voljo vsak enoličen, HTTP in FTP CDP, ki ga uporablja potrdilo v podjetju. Če želite preveriti, ali je CRL dosegljiv in je na voljo v storitvi FTP ali HTTP CDP:

  1. Če želite odpreti zadevno potrdilo, dvokliknite datoteko. cer ali dvokliknite potrdilo v trgovini.

  2. Kliknite zavihek podrobnosti , pomaknite se navzdol in izberite polje mesta za porazdelitev CRL .

  3. V spodnjem podoknu označite celoten spletni naslov FTP ali HTTP (URL) in ga kopirajte.

  4. Odprite Internet Explorer in prilepite URL v naslovno vrstico.

  5. Ko prejmete poziv, izberite možnost za odpiranje referenčnega laboratorija.

  6. Prepričajte se, da je v referenčnih laboratorijih za naslednje posodobitve in čas v polju» Naslednja posodobitev «ni posredovan.

Če želite prenesti ali preveriti, ali je spletni CDP (LDAP) (Lightweight Directory Access Protocol) veljaven, morate napisati skript ali aplikacijo, da prenesete CRL. Ko prenesete in odprete referenčni laboratorij Skupnosti, se prepričajte, da je polje» naslednje posodabljanje «v CRL-ju in čas v polju naslednje posodobitve ni podan.

Podpora

Microsoftove storitve za podporo izdelkom ne podpirajo postopka prijave pametnih kartic za pametne kartice, če je ugotovljeno, da eden ali več od teh elementov prispeva k težavi:

  • Nepravilna oblika potrdila.

  • Stanje potrdila ali stanje preklica ni na voljo v tretjem OVERITELJu.

  • Težave pri vpisu potrdil iz drugega OVERITELJa.

  • CA tretje osebe ne more objaviti v imeniku Active Directory.

  • Ponudnik neodvisnega ponudnika.

Dodatne informacije

Odjemalski računalnik preveri potrdilo krmilnika domene. Lokalni računalnik zato prenese CRL za potrdilo krmilnika domene v predpomnilnik CRL. Postopek prijave brez povezave ne vključuje potrdil, le predpomnjene poverilnice. Če želite, da je trgovina NTAuth takoj izpolnjena v lokalnem računalniku, namesto da bi čakala na naslednjo razširjanje pravilnika skupine, zaženite ta ukaz, da uvedete posodobitev pravilnika skupine:

dsstore. exe – pulzV sistemu Windows Server 2003 in Windows XP lahko z ukazom certutil. exe – scinfo izvržete informacije o pametni kartici.

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridruži se Microsoftu programa Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×