DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 281245 - Última revisão: quinta-feira, 7 de Maio de 2009 - Revisão: 6.0

 

Nesta página

Sumário

Pode activar o processo de início de sessão do smart card com o Microsoft Windows 2000 e uma autoridade de certificação não Microsoft (AC) seguindo as directrizes neste artigo. Não existe suporte limitado para esta configuração, conforme descrito mais adiante neste artigo.

Mais Informação

Requisitos

Autenticação de smart card para o Active Directory requer que estações de trabalho do smart card, Active Directory e controladores de domínio do Active Directory estar correctamente configurados. O Active Directory tem de confiar uma autoridade de certificação para autenticar utilizadores com base em certificados a partir dessa AC. Estações de trabalho do smart card e controladores de domínio devem ser configurados com certificados correctamente configurados.

Como com qualquer implementação de infra-estrutura de chaves públicas, todas as partes tem de confiar a AC de raiz para o qual cadeias de AC emissora. Controladores de domínio e estações de trabalho as smart card fidedignidade esta raiz.

Configuração de controlador do e do domínio Active Directory

  • Necessário: Do Active Directory tem de ter a AC emissora de outros fabricantes no arquivo NTAuth para autenticar os utilizadores do Active Directory.
  • Necessário: Controladores de domínio tem de ser configurados com um certificado de controlador de domínio para autenticar os utilizadores de smart card.
  • Opcional: Do Active Directory pode ser configurado para distribuir outros fabricantes AC de raiz ao arquivo de AC de raiz fidedigna de todos os membros de domínio utilizando a política de grupo.

Requisitos de certificado e a estação de trabalho de smart card

  • Necessário: Todos os requisitos de smart card descritos na secção "Instruções de configuração" devem ser satisfeitos, incluindo a formatação do texto dos campos. Autenticação de smart card falha se não forem cumpridos.
  • Necessário: O smart card e chave privada tem de ser instalados no smart card.

Instruções de configuração

  1. Exportar ou transferir o certificado de raiz de terceiros. Como obter a raiz de fabricante certificado varia consoante o fornecedor. O certificado tem de ser no formato X.509 codificado em Base64.
  2. Adicione a raiz de terceiros AC raízes fidedignas um objecto de Active Directory política de grupo do. Para configurar a política de grupo no domínio do Windows 2000 para distribuir a AC de outros fabricantes no arquivo de raiz fidedigna de todos os computadores de domínio:
    1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
    2. No painel da esquerda, localize o domínio no qual a política que pretende editar é aplicada.
    3. Clique com o botão direito do rato no domínio e, em seguida, clique em Propriedades .
    4. Clique no separador Política de grupo .
    5. Clique no objecto de Política de grupo de política de domínio predefinida e, em seguida, clique em Editar . É aberta uma nova janela.
    6. No painel da esquerda, expanda os seguintes itens:
      • Configuração do computador
      • Definições do Windows
      • Definições de segurança
      • Política de chave pública
    7. Clique com o botão direito do rato autoridades de certificação de raiz fidedigna .
    8. Seleccione Todas as tarefas e, em seguida, clique em Importar .
    9. Siga as instruções no Assistente para importar o certificado.
    10. Clique em OK .
    11. Feche a janela Política de grupo .
  3. Adicione fabricantes emitir a AC no arquivo NTAuth do Active Directory.

    Tem de ser emitido o certificado de início de sessão do smart card a partir de uma AC no arquivo NTAuth. Por predefinição, as AC empresariais Microsoft são adicionadas pelo arquivo NTAuth.
    • Se a AC que emitiu o certificado de início de sessão de smart card ou o domínio controlador de certificados não está correctamente registada no arquivo NTAuth, o processo de início de sessão de smart card não funciona. A resposta correspondente é "Não é possível verificar as credenciais".
    • O arquivo NTAuth estiver localizado no contentor de configuração para a floresta. Por exemplo, uma localização de exemplo é o seguinte:
      LDAP://Server1.Name.com/CN=NTAuthCertificates,CN=Public chave Services, CN = Services, CN = Configuration, DC = nome, DC = com
    • Por predefinição, este arquivo é criado quando instala uma AC empresarial da Microsoft. O objecto também é possível criar manualmente utilizando ADSIedit.msc nas ferramentas de suporte do Windows 2000 ou utilizar o LDIFDE.Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
      295663  (http://support.microsoft.com/kb/295663/ ) Como importar certificados de autoridade de certificação (AC) de certificação de terceiros para o arquivo NTAuth Enterprise
    • O atributo relevante é cACertificate, que é um cadeia, lista de valor múltiplo de mensagens em fila com codificação ASN certificados de octeto.

      Depois de colocar a AC de outros fabricantes no arquivo NTAuth, políticas de grupo baseadas no domínio coloca uma chave de registo (thumbprint do certificado) na seguinte localização em todos os computadores no domínio:
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      Esta é actualizada de oito em oito horas em estações de trabalho (o típica política de grupo Impulso intervalo).
  4. Pedir e instalar um certificado de controlador de domínio na controladores de domínio. Cada controlador de domínio que irá autenticar utilizadores de smart card deve ter um certificado de controlador de domínio.

    Se instalar uma AC empresarial da Microsoft numa floresta do Active Directory, todos os controladores de domínio inscrever automaticamente um certificado de controlador de domínio. Para obter mais informações sobre os requisitos para certificados de controlador de domínio a partir de uma AC de outros fabricantes, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    291010  (http://support.microsoft.com/kb/291010/ ) Requisitos para certificados de controlador de domínio a partir de uma AC de outros fabricantes
    Nota : O certificado de controlador de domínio é utilizado para (Secure Sockets Layer) autenticação, protocolo simples de transporte de correio (SMTP) encriptação, assinatura de chamada de procedimento remoto (RPC) e o processo de início de sessão cartão Smart Card. Utilizar uma AC não Microsoft para emitir um certificado para um controlador de domínio pode causar um comportamento inesperado ou resultados não suportados. Um certificado incorrectamente formatado ou um certificado com o nome do requerente em falta poderão causar estas ou outras capacidades deixasse de responder.
  5. Pedir um certificado smart card da AC de outros fabricantes.

    Inscrever um certificado da AC de outros fabricantes que cumpra os requisitos estabelecidos. Método de inscrição varia consoante o fornecedor de AC.

    O certificado de smart card tem requisitos de formato específico:
    • A localização do ponto de distribuição de CRL (CDP) (em que CRL é a lista de revogação de certificação) tem de ser preenchida, online e disponível. Por exemplo:
      [1]Ponto de distribuição da CRL
      Nome do ponto de distribuição:
      Nome completo:
      URL=http://Server1.Name.com/CertEnroll/CAname.CRL
    • utilização de chaves = assinatura digital
    • restrições básicas [Tipo de assunto = Terminar entidade, limitação do comprimento do caminho = nenhum] (Opcional)
    • melhorada a utilização de chaves =
      • Autenticação de cliente (1.3.6.1.5.5.7.3.2)
        (A cliente autenticação OID) é apenas necessário se um certificado é utilizado para autenticação SSL.)
      • Início de sessão de Smart Card (1.3.6.1.4.1.311.20.2.2)
    • nome alternativo de assunto = outro nome: nome principal = (UPN). Por exemplo:
      UPN = user1@name.com
      O OID de OtherName UPN é: "1.3.6.1.4.1.311.20.2.3"
      O valor de UPN OtherName: tem de ser codificado ASN1 UTF8 cadeia
    • Assunto = nome distinto do utilizador. Este campo é uma extensão obrigatória, mas a população deste campo é opcional.
  6. Existem dois tipos predefinidos de chaves privadas. Estas chaves são Only(AT_SIGNATURE) de assinatura e Exchange(AT_KEYEXCHANGE) chave . Certificados de início de sessão de Smart Card tem de ter um tipo de chave privado Chave Exchange(AT_KEYEXCHANGE) para início de sessão Smart Card funcionar correctamente.
  7. Instale controladores de smart card e software de estação de trabalho smart card.

    Certifique-se que o software de dispositivo e controlador de Leitor Smart Card adequado está instalado na estação de trabalho smart card. Isto varia consoante o fornecedor do leitor de smart card.
  8. Instale o certificado de smart card de outros fabricantes a estação de trabalho smart card.

    Se o smart card não foi já colocar em arquivo pessoal do utilizador de smart card no processo de inscrição no passo 4, terá de importar o certificado no arquivo pessoal do utilizador. Para o fazer:
    1. Abra a consola de gestão de Microsoft (MMC) que contenha o snap-in Certificados.
    2. Na árvore da consola, em pessoal , clique em certificados .
    3. No menu Todas as tarefas , clique em Importar para iniciar o assistente.
    4. Clique no ficheiro que contém os certificados que está a importar.

      Nota : Se o ficheiro que contém os certificados é um ficheiro Personal Information Exchange (PKCS # 12), escreva a palavra-passe que utilizou para encriptar privado chave, clique para seleccionar a caixa de verificação adequada se pretender que a chave privada seja exportável e, em seguida, activar protecção forte por chave privada (se pretender utilizar esta funcionalidade).

      Nota : para activar a protecção forte por chave privada, tem de utilizar o modo de visualização Arquivos lógicos de certificados.
    5. Seleccione a opção para colocar automaticamente o certificado num arquivo de certificados com base no tipo de certificado.
  9. Instale o certificado de smart card de outros fabricantes para o smart card. Como efectuar este procedimento varia de acordo com serviços criptográficos fornecedor (CSP, Cryptographic Service Provider) e pelo fornecedor de smart card. Consulte documentations do fornecedor para obter instruções.
  10. Inicie sessão na estação de trabalho com o smart card.

Possíveis problemas

Durante o início de sessão de smart card, a mensagem de erro mais comuns visualizada é:
O sistema não conseguiu iniciar a sessão. Não foi possível verificar as credenciais.
Esta é uma mensagem de erro genérico e pode ser o resultado de um ou mais das várias questões descritas abaixo.

Problemas de certificados e configuração

  • O controlador de domínio não tem nenhum certificado de controlador de domínio.
  • O campo de SubjAltName do certificado de smart card está formatado incorrectamente. Se as informações no campo SubjAltName apresentadas como hexadecimal dados não processados ASCII, a formatação de texto não é ASN1 / UTF-8.
  • O controlador de domínio tem um certificado caso contrário incorrecto ou incompleto.
  • Para cada uma das seguintes condições, tem de pedir um novo controlador certificado da domínio válido. Se o certificado de controlador de domínio válida expirar, poderá renovar o certificado de controlador de domínio, mas este processo é mais complexo e normalmente mais difícil do que se pedir um novo certificado de controlador de domínio.
    • O certificado de controlador de domínio expirou.
    • O controlador de domínio tem um certificado não fidedigno. Se o arquivo NTAuth não contém o certificado da autoridade (AC) de certificação do certificado de controlador de domínio emissão de AC, tem de adicioná-lo no arquivo NTAuth ou obter um certificado DC a partir de uma AC emissora cujo certificado reside no arquivo NTAuth.

      Se os controladores de domínio ou estações de trabalho do smart card não seja fidedigna a AC de raiz para o qual certificado o controlador de domínio ’s cadeias, em seguida, tem de configurar os computadores para confiar nessa AC de raiz.
    • O Smart Card tem um certificado não fidedigno. Se o arquivo NTAuth não contém o certificado da AC do certificado de smart card emissão de AC, tem de adicioná-lo no arquivo NTAuth ou obter um certificado de smart card de uma AC emissora cujo certificado reside no arquivo NTAuth.

      Se os controladores de domínio ou estações de trabalho do smart card não seja fidedigna a AC de raiz para o qual certificado de smart card ’s utilizador cadeias, em seguida, tem de configurar os computadores para confiar nessa AC de raiz.
    • O certificado do smart card não está instalado no arquivo de ’s utilizador na estação de trabalho. O certificado é armazenado no smart card tem de residir na estação de trabalho smart card no perfil do utilizador é iniciar sessão com smart card.

      Nota : não é necessário armazenar a chave privada no perfil ’s utilizador na estação de trabalho. Só é necessário ser armazenada no smart card.
    • O certificado de smart card correcto ou a chave privada não está instalado o smart card. O certificado de smart card válido deve ser instalado no smart card com a chave privada e o certificado deve corresponder um certificado armazenado no perfil ’s o utilizador de smart card na estação de trabalho smart card.
    • Não é possível obter o certificado do smart card do leitor de smart card. Isto pode ser um problema com o hardware do leitor de smart card ou software de controlador ’s o leitor de smart card. Verifique se pode utilizar software de ’s fornecedor de leitor de smart card para ver o certificado e chave privada no smart card.
    • O certificado de smart card expirou.
    • Sem nome principal de utilizador (UPN) está disponível a extensão SubjAltName do certificado de smart card.
    • O UPN no campo SubjAltName do certificado de smart card está formatado incorrectamente. Se as informações de SubjAltName aparecem como hexadecimal dados não processados ASCII, a formatação de texto não é ASN1 / UTF-8.
    • O Smart Card tem um certificado caso contrário incorrecto ou incompleto. Para cada uma destas condições, deve pedir um novo certificado de smart card válido e instalá-lo para o smart card e para o perfil de utilizador na estação de trabalho smart card. O certificado de smart card deve cumprir os requisitos descritos anteriormente neste artigo, que incluem um campo UPN formatado correctamente no campo SubjAltName.

      Se o certificado de smart card válido tiver expirado, também poderá renovar o certificado de smart card, mas isto é normalmente mais complexos e difícil de pedir um novo certificado de smart card.
    • O utilizador não tem um UPN definido na respectiva conta de utilizador do Active Directory. Conta o utilizador ’s no Active Directory tem de ter um UPN válido na propriedade userPrincipalName da conta de utilizador do Active Directory ’s o utilizador de smart card.
    • O UPN no certificado não coincide com o UPN definido na conta de utilizador do utilizador do Active Directory. Tem de corrigir o UPN smart card ou do utilizador ’s conta de utilizador do Active Directory re-issue o smart card de certificados para que o UPN valor no campo SubjAltName as correspondências UPN na conta de utilizador do Active Directory ’ utilizadores de smart card. Recomendamos que o smart card UPN correspondem o atributo userPrincipalName da conta de utilizador para ACs de outros fabricantes. No entanto, se o UPN no certificado “ UPN implict ” da conta (formato samAccountName@domain_FQDN), o UPN não é necessário que corresponder a propriedade userPrincipalName explicitamente.

Problemas de verificação de revogação

Se a verificação de revogação falhar quando o controlador de domínio valida o certificado de início de sessão do smart card, o controlador de domínio impede o início de sessão. O controlador de domínio poderá devolver a mensagem de erro mencionados anteriormente ou a seguinte mensagem de erro:
O sistema não conseguiu iniciar a sessão. O certificado de smart card utilizado para autenticação não era fidedigno.
Nota : falhas na localizar e transferir a lista de revogação de certificados (CRL), uma CRL inválida, um certificado revogado e um estado de revogação de "desconhecido" são todos considerados falhas de revogação.

A verificação de revogação tem êxito de cliente e o controlador de domínio. Certifique-se que seguintes são verdadeiras:
  • Verificação de revogação não está desactivada.

    Revogação verificar a revogação incorporada fornecedores não podem ser desactivadas. Se um fornecedor de revogação instaláveis personalizado estiver instalado, deve estar activada.
  • Cada certificado da AC, excepto a AC de raiz na cadeia de certificados contém uma extensão CDP válida no certificado.
  • A CRL tem um campo próxima actualização e a CRL está actualizada. Pode verificar que a CRL está online com o CDP e válido, transferindo-o partir do Internet Explorer. Poderá transferir e visualizar a CRL a partir de quaisquer o protocolo HTTP (HyperText Transport Protocol) ou CDP do protocolo de transferência de ficheiros (FTP, File Transfer Protocol) no Internet Explorer de estações smart card e os controladores de domínio.
Verifique se cada HTTP exclusivo e CDP de FTP é utilizado por um certificado na sua empresa está online e disponível.

Para verificar se uma CRL está online e disponível de um FTP ou HTTP CDP:
  1. Para abrir o certificado em questão, faça duplo clique no ficheiro .cer ou faça duplo clique no certificado no arquivo.
  2. Clique no separador Detalhes , desloque-se para baixo e seleccione o campo de Ponto de distribuição da CRL .
  3. No painel inferior, realce o FTP completo ou URL (Uniform Resource Locator) HTTP e copiá-lo.
  4. Abra o Internet Explorer e cole o URL na barra endereço .
  5. Quando receber o pedido, seleccione a opção para Abrir a CRL.
  6. Certifique-se que existe um campo Próxima actualização da CRL e o tempo no campo Próxima actualização não tenha passado.
Para transferir ou verificar se um LIGHTWEIGHT Directory Access Protocol () CDP é válido, tem de escrever um script ou uma aplicação para transferir a CRL. Depois de transferir e abrir a CRL, certifique-se que existe um campo Próxima actualização da CRL e o tempo no campo próxima actualização não tenha passado.

Suporte

Suporte técnico da Microsoft não suporta o processo de início de sessão de outros fabricantes AC cartão Smart Card se é determinado que um ou mais dos seguintes itens contribuem para o problema:
  • Formato de certificado incorrecto.
  • Estado do certificado ou estado de revogação não disponível a partir de AC de terceiros.
  • Problemas de inscrição para certificados a partir de uma AC de outros fabricantes.
  • A AC de outros fabricantes não pode publicar no Active Directory.
  • Um CSP de outros fabricantes.

Obter informações adicionais

O computador cliente verifica o certificado do controlador de domínio. O computador local, por isso, transfere uma CRL para o certificado de controlador de domínio na cache de CRL.

O processo de início de sessão offline não envolve certificados, apenas as credenciais em cache.

Para forçar o arquivo NTAuth imediatamente de ser preenchido num computador local em vez de aguardar que a propagação de política de grupo seguinte, execute o seguinte comando para iniciar uma actualização de política de grupo:
dsstore.exe - Impulso

Também pode copiar informações do cartão Smart Card no Windows Server 2003 e no Windows XP utilizando o comando certutil.exe - scinfo .


A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Standard without Hyper-V
Palavras-chave: 
kbmt kbenv kbinfo kbtool KB281245 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 281245  (http://support.microsoft.com/kb/281245/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft