您目前已離線,請等候您的網際網路重新連線

啟用智慧卡登入與協力廠商憑證授權單位的方針

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:281245
結論
您可以藉由遵循本文章中的方針啟用智慧卡的登入處理程序與 Microsoft Windows 2000 和非 Microsoft 憑證授權單位 (CA)。如本文稍後所述,則此組態的有限的支援。
其他相關資訊

需求

到 Active Directory 的智慧卡驗證需要該智慧卡工作站]、 [Active Directory] 和 [Active Directory 網域控制站正確設定。使用中目錄必須信任來驗證使用者根據來自該 CA 憑證的憑證授權單位。智慧卡工作站和網域控制站必須以正確地設定憑證設定。

如同任何的 PKI 實作所有合作對象必須的信任根 CA 發行的 CA 鏈結。網域控制站,並智慧卡工作站信任這個根目錄。

使用中的目錄和網域控制站設定

  • 您需要: Active Directory 中必須有協力廠商發行 CA NTAuth 儲存區,以驗證使用者作用中的目錄。
  • 您需要: 必須以網域控制站憑證來驗證智慧卡使用者設定網域控制站。
  • 選擇性: Active Directory 可以設定為分散至受信任的根 CA 存放區使用 [群組原則的所有網域成員的協力廠商根 CA。

智慧卡憑證和工作站需求

  • 您需要: 全部"設定指示 」 一節中所述的智慧卡需求必須符合,包括欄位的文字格式。如果不符合,智慧卡驗證便會失敗。
  • 您需要: 的智慧卡與私密金鑰必須安裝在智慧卡上。

組態指令

  1. 匯出或下載協力廠商根憑證。如何取得廠商根憑證變化廠商。憑證必須以 Base64 編碼的 X.509 格式。
  2. 將協力廠商根 CA 新增到信任根的 Active Directory 群組原則] 物件中。若要設定群組原則來發佈至信任的根存放區的所有網域電腦協力廠商 CA Windows 2000 網域中:
    1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [Active Directory 使用者和電腦]。
    2. 在左窗格找出您想要編輯該的原則會套用網域]。
    3. 在網域上按一下滑鼠右鍵,然後按一下 [內容]
    4. 按一下 [群組原則] 索引標籤。
    5. 按一下 [預設網域原則群組原則] 物件,然後按一下 [編輯]。會開啟新視窗。
    6. 在左邊的窗格中,展開下列項目:
      • [電腦設定
      • Windows 設定
      • 安全性設定
      • 公開金鑰原則
    7. 以滑鼠右鍵按一下 受信任的根憑證授權單位
    8. 選取 [所有工作],然後再按一下 [匯入
    9. 依照憑證匯入精靈中的指示。
    10. 按一下 [確定]
    11. 關閉 [群組原則] 視窗。
  3. 加入第三方廠商 NTAuth 存放區在 Active Directory 中發行 CA。

    必須從 NTAuth 存放區中的 CA 發出的智慧卡的登入憑證。預設情況下,Microsoft 企業 CA 會加入至 NTAuth 存放區。
    • 如果 CA 所發出的智慧卡的登入憑證或網域控制站憑證不正確張貼 NTAuth] 存放區中的智慧卡登入程序無法運作。對應的答案是 「 無法驗證認證 」。
    • NTAuth 存放區] 位於 [組態容器,樹系。比方說範例位置是的如下所示:
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public 主要服務、 CN = 服務 CN = 組態 DC = name DC = com
    • 預設情況下,安裝 Microsoft 企業 CA 時,會建立此儲存區。物件也可以建立以手動方式在 Windows 2000 支援工具中使用 ADSIedit.msc 或使用 LDIFDE。如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
      295663如何匯入到企業 NTAuth 存放區中協力廠商憑證授權單位 (CA) 憑證
    • 相關的屬性是 cACertificate 也就是八位元字串的 ASN 編碼憑證的多重值清單。

      您將協力廠商 CA 放入 NTAuth 儲存區之後網域為基礎的 [群組原則會將登錄機碼 (憑證的指紋) 放在網域中的所有電腦上的下列位置:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      這會將每隔八個小時重新整理工作站 (一般群組原則脈衝間隔) 上。
  4. 要求,並在網域控制程式安裝網域控制站憑證。即將要驗證智慧卡使用者的每個網域控制站必須要有網域控制站憑證。

    如果您在 Active Directory 樹系中安裝 Microsoft 企業 CA 的網域控制站憑證自動註冊所有網域控制站。如從協力廠商 CA 的網域控制站憑證的需求的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    291010從協力廠商 CA 的網域控制站憑證的需求
    注意: 的網域控制站憑證用於安全通訊端層 (SSL) 驗證、 簡易郵件傳送通訊協定 (SMTP) 加密、 遠端程序呼叫 (RPC) 簽章,和智慧卡登入程序。使用非 Microsoft 的 CA 來發行憑證的網域控制站可能會導致未預期的行為或不支援的結果。這些或其他功能停止回應,就可能會造成格式不正確的憑證或憑證主旨名稱為這個屬性不存在。
  5. 從協力廠商 CA 要求智慧卡憑證。

    註冊從符合所陳述的需求的協力廠商 CA 憑證。註冊該方法會根據 CA 廠商而有所不同。

    智慧卡憑證有特定的格式需求:
    • (其中 CRL 是憑證撤銷清單) 的 CRL 發佈點 (CDP) 位置必須填入、 線上,並可用。例如:
      [] 1CRL 發佈點
      發佈點名稱:
      完整名稱:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • 金鑰使用方法 = 數位簽章
    • 基本條件約束[主旨類型 = 終端實體路徑長度限制 = 無](選擇性)
    • 增強金鑰使用方法 =
      • 用戶端驗證 (1.3.6.1.5.5.7.3.2)
        (用戶端驗證 OID) 是只需的如果憑證用於 SSL 驗證)。
      • 智慧卡登入 (1.3.6.1.4.1.311.20.2.2)
    • 主旨替代名稱 = 其他名稱: 主要名稱 (UPN) =。例如:
      UPN = user1@name.com
      UPN OtherName OID 是: 1.3.6.1.4.1.311.20.2.3"
      UPN OtherName 值: 必須是 ASN1 編碼 UTF8 字串
    • 主旨 = 使用者的辨別的名稱。這個欄位是強制性的副檔名為,但此欄位的母體是選擇性。
  6. 有兩種預先定義的類型的私用金鑰。這些機碼的 簽章 Only(AT_SIGNATURE)金鑰 Exchange(AT_KEYEXCHANGE)。智慧卡的登入憑證必須有 金鑰 Exchange(AT_KEYEXCHANGE) 私用金鑰類型智慧卡登入,才能正確運作的順序。
  7. 智慧卡工作站上安裝智慧卡的驅動程式和軟體。

    請確定適當的智慧卡讀取器裝置和驅動程式軟體安裝智慧卡工作站上。這會根據智慧卡讀取裝置廠商而有所不同。
  8. 智慧卡工作站安裝協力廠商智慧卡憑證。

    如果智慧卡不已經放入在步驟 4 中註冊程序中的智慧卡使用者的個人存放區,然後您必須將憑證匯入使用者的個人存放區。若要這麼做:
    1. 開啟 [Microsoft 管理主控台 (MMC),其中包含 [憑證] 嵌入式管理單元。
    2. 在主控台樹狀目錄中,個人,] 下按一下 [憑證]。
    3. 按一下 [所有工作] 功能表 匯入] 以啟動憑證匯入精靈 」。
    4. 按一下包含您要匯入的憑證檔案。

      注意: 如果包含憑證的檔案個人資訊交換 (PKCS # 12) 檔案輸入您用來加密私用的索引鍵,按一下以選取適當的核取方塊,如果您想要是可匯出,而且 (如果您想要使用這項功能),然後打開加強式私密金鑰保護私密金鑰的密碼。

      注意: 若要啟用加強式私密金鑰保護,則必須使用 [邏輯憑證存放區] 檢視模式。
    5. 選取 [自動根據憑證類型的憑證存放區中為其加上憑證]。
  9. 安裝協力廠商智慧卡憑證到智慧卡上。根據密碼編譯服務提供者 (CSP) 以及智慧卡廠商,而有不同如何執行這項操作。請參閱廠商的 documentations 的指示。
  10. 登入工作站與智慧卡。

可能的問題

智慧卡登入期間見過最常見的錯誤訊息是]:
系統無法讓您登入。無法驗證您的認證。
這是一般性的錯誤訊息,可能是一或多個如下所述的幾個問題所造成。

憑證與組態問題

  • 網域控制站有沒有網域控制站憑證。
  • 智慧卡憑證 SubjAltName 欄位是不正確格式化。如果 SubjAltName 欄位中的資訊顯示成十六進位 / ASCII 未經處理資料,文字格式設定不是 ASN1 / UTF-8。
  • 網域控制站擁有否則格式不正確或不完整的憑證。
  • 針對每個下列條件必須要求新的有效的網域控制站憑證。如果有效的網域控制站憑證已過期,您可以更新網域控制站憑證,但這個程序是更複雜且通常比如果您要求新的網域控制站憑證更加困難。
    • 網域控制站憑證已過期。
    • 網域控制站擁有不受信任的憑證。 如果 NTAuth 存放區不包含的網域控制站憑證的憑證授權單位 (CA) 憑證發行 CA,您必須將它新增至 NTAuth 存放區,或從發行 CA 的憑證位於 NTAuth 存放區取得 DC 憑證。

      如果網域控制站或智慧卡工作站不信任根 CA 的網域控制站 ’s 憑證鏈結的則必須設定那些電腦信任該根 CA。
    • 智慧卡有不受信任的憑證。 如果 NTAuth 存放區不包含的智慧卡憑證的 CA 憑證發行 CA,您必須將它新增至 NTAuth 存放區,或從發行 CA 的憑證位於 NTAuth 存放區取得智慧卡憑證。

      如果網域控制站或智慧卡工作站不信任使用者 ’s 智慧卡憑證鏈結的 「 根 CA 則必須設定那些電腦信任該根 CA。
    • 智慧卡憑證不會安裝在工作站上的使用者 ’s 存放區中。 儲存在智慧卡的憑證必須位於智慧卡工作站與智慧卡登入之使用者的設定檔中。

      注意: 您沒有將私用金鑰存放在工作站上的使用者 ’s 設定檔。它是只需儲存在智慧卡上。
    • 在智慧卡上未安裝正確的智慧卡憑證或私密金鑰。 有效的智慧卡憑證必須安裝在智慧卡上使用私密金鑰,而且憑證必須符合憑證儲存在智慧卡工作站上的智慧卡使用者 ’s 設定檔中。
    • 無法從智慧卡讀取器擷取的智慧卡憑證。 這可以是與智慧卡讀取器硬體或智慧卡讀取器 ’s 驅動程式軟體的問題。請確認您可以使用智慧卡讀取裝置廠商 ’s 軟體來檢視智慧卡上的憑證和私密金鑰。
    • 智慧卡憑證已過期。
    • 在沒有使用者主要名稱 (UPN) 中都可用的智慧卡憑證 SubjAltName 副檔名。
    • UPN SubjAltName 欄位中的智慧卡憑證是不正確格式。如果在 [SubjAltName 資訊顯示成十六進位 / ASCII 未經處理資料,文字格式設定不是 ASN1 / UTF-8。
    • 智慧卡有否則格式不正確或不完整的憑證。 針對每個這些條件必須要求新的有效的智慧卡憑證,並安裝到智慧卡] 和 [到智慧卡工作站上使用者的設定檔。智慧卡憑證必須符合需求本文,稍早所述 SubjAltName 欄位中包含格式正確的 UPN 欄位。

      如果您有效的智慧卡憑證已過期,您也可以更新智慧卡的憑證,但這通常是更複雜、 更難比要求新的智慧卡憑證。
    • 使用者並沒有定義在 Active Directory 使用者帳戶的 UPN。 在 Active Directory 中的使用者 ’s 帳號必須具備有效的 UPN 的智慧卡使用者 ’s Active Directory 使用者帳戶的 [userPrincipalName] 屬性中。
    • 在憑證中的 UPN 不符合定義於使用者的 Active Directory 使用者帳戶的 UPN。 您必須更正在智慧卡使用者 ’s Active Directory 使用者帳戶] 或智慧卡憑證,以便 UPN SubjAltName 欄位中相符的項目值的 re-issue UPN UPN 智慧卡使用者 ’ Active Directory 使用者帳戶中。我們建議智慧卡 UPN 為協力廠商 CA 符合 userPrincipalName 使用者帳戶屬性。不過,如果憑證中的 UPN 帳戶 (格式 samAccountName@domain_FQDN) 的是在 「 implict UPN 」,UPN 不必明確地符合 userPrincipalName 屬性。

撤銷檢查問題

如果撤銷檢查失敗時的網域控制站驗證的智慧卡登入憑證,網域控制站拒絕登入。網域控制站可能會傳回先前所述的錯誤訊息或下列的錯誤訊息:
系統無法讓您登入。用於驗證的智慧卡憑證不受信任。
注意: 要尋找並下載憑證撤銷清單 (CRL)、 不正確的 CRL、 已被撤銷的憑證及撤銷狀態為 「 未知 」 失敗所有視為撤銷失敗。

從用戶端和網域控制站必須成功撤銷檢查。請確認下列各項成立:
  • 撤銷檢查會無法關閉。

    無法關閉提供者的內建撤銷檢查撤銷。如果安裝自訂的可安裝撤銷提供者必須先開啟。
  • 除了根 CA 憑證鏈結中每個 CA 憑證包含有效的 CDP 延伸,在憑證中。
  • CRL 下一步更新欄位,而 [CRL 是最新狀態。 您可以檢查 CRL 該 CDP 在線上和有效藉由從 Internet Explorer 下載。您應該要能夠下載並在 Internet Explorer 從智慧卡 workstation(s) 和網域控制程式中檢視從任何超文字傳輸通訊協定 (HTTP) 或檔案傳輸通訊協定 (FTP) CDP 的 CRL。
確認每個唯一的 HTTP 及 FTP 由您企業中憑證的 CDP 是線上且可用的。

如果要確認 CRL 是線上,並且可以從 FTP 或 HTTP CDP:
  1. 開啟憑證有問題、 按兩下.cer 檔案或按兩下憑證存放區中。
  2. 按一下 [詳細資料] 索引標籤、 向下捲動並選取 [CRL 發佈點] 欄位。
  3. 在下方] 窗格中反白顯示完整的 FTP 或 HTTP 統一資源定位器 (URL),並複製它。
  4. 開啟 [網際網路檔案總管],然後貼入 [網址] 列中的 URL。
  5. 當您收到提示時, 選取要 開啟 [CRL 選項。
  6. 請確定 CRL 中沒有 下一步更新 欄位,且 [下一步更新] 欄位中的時間已經不通過。
若要下載,或確認一個輕量型目錄存取通訊協定 (LDAP) CDP 有效您必須撰寫指令碼或應用程式來下載 CRL。下載並開啟 [CRL 後,請確定在 CRL 中沒有 下一步更新 欄位,而且 [下一步更新] 欄位中的時間已經不通過。

支援

如果它由決定一或多個下列項目提供給問題,Microsoft 產品支援服務並不支援協力廠商 CA 智慧卡的登入程序:
  • 不適當的憑證格式。
  • 憑證的狀態或不可以從協力廠商 CA 撤銷狀態。
  • 從協力廠商 CA 發出憑證註冊。
  • 協力廠商 CA 無法發佈至 Active Directory。
  • 第三方廠商的 CSP。

其他資訊

用戶端電腦會檢查網域控制站憑證。本機電腦因此下載到 CRL 快取的網域控制站憑證的 CRL。

離線登入程序沒有牽涉到快取的認證的憑證。

若要強制 NTAuth 儲存區,在本機電腦,而不是等待下一個群組原則傳播上,立即填入中, 執行下列命令來啟始一個群組原則更新:
dsstore.exe-脈衝

您也可以使用 Certutil.exe-scinfo 命令傾印出智慧卡資訊在 Windows Server 2003 和 Windows XP。

第 3 個協力廠商智慧卡

警告:本文為自動翻譯

內容

文章識別碼:281245 - 最後檢閱時間:05/07/2009 17:57:45 - 修訂: 6.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 Standard without Hyper-V

  • kbmt kbenv kbinfo kbtool KB281245 KbMtzh
意見反應