Richtlinien zum Aktivieren der Smartcardanmeldung mit Zertifizierungsstellen von Drittanbietern
Dieser Artikel enthält einige Richtlinien zum Aktivieren der Smartcardanmeldung mit Zertifizierungsstellen von Drittanbietern.
Ursprüngliche KB-Nummer: 281245
Übersicht
Sie können einen Smartcard-Anmeldevorgang mit Microsoft Windows 2000 und einer Zertifizierungsstelle ohne Microsoft aktivieren, indem Sie die Richtlinien in diesem Artikel befolgen. Die eingeschränkte Unterstützung für diese Konfiguration wird weiter unten in diesem Artikel beschrieben.
Weitere Informationen
Anforderungen
Die Smartcard-Authentifizierung für Active Directory erfordert, dass Smartcardarbeitsstationen, Active Directory und Active Directory-Domänencontroller ordnungsgemäß konfiguriert werden. Active Directory muss einer Zertifizierungsstelle vertrauen, um Benutzer basierend auf Zertifikaten dieser Zertifizierungsstelle zu authentifizieren. Sowohl Smartcardarbeitsstationen als auch Domänencontroller müssen mit ordnungsgemäß konfigurierten Zertifikaten konfiguriert werden.
Wie bei jeder PKI-Implementierung müssen alle Parteien der Stammzertifizierungsstelle vertrauen, mit der die ausstellenden Zertifizierungsstelle ketten. Sowohl die Domänencontroller als auch die Smartcardarbeitsstationen vertrauen diesem Stamm.
Active Directory- und Domänencontrollerkonfiguration
- Erforderlich: Active Directory muss über die Drittanbieterzertifizierungsstelle im NTAuth-Speicher verfügen, um Benutzer bei Active Directory zu authentifizieren.
- Erforderlich: Domänencontroller müssen mit einem Domänencontrollerzertifikat konfiguriert werden, um Smartcardbenutzer zu authentifizieren.
- Optional: Active Directory kann so konfiguriert werden, dass die Stammzertifizierungsstelle des Drittanbieters mithilfe der Gruppenrichtlinie an den vertrauenswürdigen Stammzertifizierungsstellenspeicher aller Domänenmitglieder verteilt wird.
Smartcardzertifikat- und Arbeitsstationsanforderungen
- Erforderlich: Alle im Abschnitt "Konfigurationsanweisungen" beschriebenen Smartcardanforderungen müssen erfüllt sein, einschließlich der Textformatierung der Felder. Smartcardauthentifizierung schlägt fehl, wenn sie nicht erfüllt sind.
- Erforderlich: Der Smartcard und der private Schlüssel müssen auf der Smartcard installiert werden.
Konfigurationsanweisungen
Exportieren oder Herunterladen des Stammzertifikats eines Drittanbieters. Das Abrufen des Party-Stammzertifikats variiert je nach Anbieter. Das Zertifikat muss im Base64-codierten X.509-Format vorliegen.
Fügen Sie die Stammzertifizierungsstelle des Drittanbieters zu den vertrauenswürdigen Wurzeln in einem Active Directory-Gruppenrichtlinienobjekt hinzu. So konfigurieren Sie Gruppenrichtlinien in der Windows 2000-Domäne, um die Drittanbieter-Zertifizierungsstelle an den vertrauenswürdigen Stammspeicher aller Domänencomputer zu verteilen:
- Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.
- Suchen Sie im linken Bereich nach der Domäne, in der die Richtlinie, die Sie bearbeiten möchten, angewendet wird.
- Klicken Sie mit der rechten Maustaste auf die Domäne, und klicken Sie dann auf "Eigenschaften".
- Klicken Sie auf die Registerkarte Gruppenrichtlinie .
- Klicken Sie auf das Gruppenrichtlinienobjekt " Standarddomänenrichtlinie " und dann auf "Bearbeiten". Ein neues Fenster öffnet sich.
- Erweitern Sie im linken Bereich die folgenden Elemente:
- Computerkonfiguration
- Windows-Einstellungen
- Security Settings (Sicherheitseinstellungen)
- Public Key-Richtlinie
- Klicken Sie mit der rechten Maustaste auf vertrauenswürdige Stammzertifizierungsstellen.
- Wählen Sie "Alle Vorgänge" aus, und klicken Sie dann auf "Importieren".
- Folgen Sie den Anweisungen im Assistenten, um das Zertifikat zu importieren.
- Klicken Sie auf OK.
- Schließen Sie das Gruppenrichtlinienfenster .
Fügen Sie den Drittanbieter hinzu, der die Zertifizierungsstelle im NTAuth-Speicher in Active Directory ausgibt.
Das Smartcard-Anmeldezertifikat muss von einer Zertifizierungsstelle ausgestellt werden, die sich im NTAuth-Speicher befindet. Microsoft Enterprise-Zertifizierungsstellen werden standardmäßig dem NTAuth-Speicher hinzugefügt.
Wenn die Zertifizierungsstelle, die das Smartcard-Anmeldezertifikat ausgestellt hat, oder die Domänencontrollerzertifikate nicht ordnungsgemäß im NTAuth-Speicher bereitgestellt werden, funktioniert der Smartcard-Anmeldevorgang nicht. Die entsprechende Antwort lautet "Die Anmeldeinformationen können nicht überprüft werden".
Der NTAuth-Speicher befindet sich im Konfigurationscontainer für die Gesamtstruktur. Ein Beispielspeicherort lautet z. B. wie folgt: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
Dieser Speicher wird standardmäßig erstellt, wenn Sie eine Microsoft Enterprise-Zertifizierungsstelle installieren. Das Objekt kann auch manuell mithilfe von ADSIedit.msc in den Windows 2000-Supporttools oder mithilfe von LDIFDE erstellt werden. Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:
295663 Importieren von Zertifizierungsstellenzertifikaten von Drittanbietern in den NTAuth-Unternehmensspeicher
Das relevante Attribut ist "cACertificate", eine Oktettzeichenfolge, eine liste mit mehreren Werten von ASN-codierten Zertifikaten.
Nachdem Sie die Drittanbieter-Zertifizierungsstelle im NTAuth-Speicher abgelegt haben, platziert die domänenbasierte Gruppenrichtlinie einen Registrierungsschlüssel (einen Fingerabdruck des Zertifikats) an folgendem Speicherort auf allen Computern in der Domäne:
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Es wird alle acht Stunden auf Arbeitsstationen aktualisiert (das typische Gruppenrichtlinienpulsintervall).
Fordern Sie ein Domänencontrollerzertifikat an, und installieren Sie es auf den Domänencontrollern. Jeder Domänencontroller, der Smartcardbenutzer authentifiziert, muss über ein Domänencontrollerzertifikat verfügen.
Wenn Sie eine Microsoft Enterprise-Zertifizierungsstelle in einer Active Directory-Gesamtstruktur installieren, registrieren sich alle Domänencontroller automatisch für ein Domänencontrollerzertifikat. Weitere Informationen zu den Anforderungen für Domänencontrollerzertifikate von einer Drittanbieterzertifizierungsstelle finden Sie in der Microsoft Knowledge Base auf der folgenden Artikelnummer:
291010 Anforderungen für Domänencontrollerzertifikate von einer Drittanbieterzertifizierungsstelle
Notiz
Das Domänencontrollerzertifikat wird für die SSL-Authentifizierung (Secure Sockets Layer), die SMTP-Verschlüsselung (Simple Mail Transfer Protocol), die RPC-Signatur (Remote Procedure Call) und den Anmeldevorgang der Smartcard verwendet. Die Verwendung einer nicht von Microsoft stammenden Zertifizierungsstelle zum Ausgeben eines Zertifikats an einen Domänencontroller kann zu unerwartetem Verhalten oder nicht unterstützten Ergebnissen führen. Ein falsch formatiertes Zertifikat oder ein Zertifikat mit dem fehlenden Antragstellernamen kann dazu führen, dass diese oder andere Funktionen nicht mehr reagieren.
Fordern Sie ein Smartcardzertifikat von der Drittanbieterzertifizierungsstelle an.
Registrieren Sie sich für ein Zertifikat von der Drittanbieterzertifizierungsstelle, das die angegebenen Anforderungen erfüllt. Die Methode für die Registrierung variiert je nach Anbieter der Zertifizierungsstelle.
Das Smartcardzertifikat weist spezifische Formatanforderungen auf:
Der CRL Distribution Point (CDP)-Speicherort (CRL ist die Zertifizierungssperrliste) muss ausgefüllt, online und verfügbar sein. Zum Beispiel:
[1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://server1.name.com/CertEnroll/caname.crl
Schlüsselverwendung = Digitale Signatur
Grundlegende Einschränkungen [Subject Type=End Entity, Path Length Constraint=None] (Optional)
Erweiterte Schlüsselverwendung =
- Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
(Das Clientauthentifizierungs-OID) ist nur erforderlich, wenn ein Zertifikat für die SSL-Authentifizierung verwendet wird.) - Smartcardanmeldung (1.3.6.1.4.1.311.20.2.2)
- Clientauthentifizierung (1.3.6.1.5.5.7.3.2)
Alternativer Antragstellername = Anderer Name: Prinzipalname= (UPN). Zum Beispiel:
UPN = user1@name.com
The UPN OtherName OID is: "1.3.6.1.4.1.311.20.2.3"
Der UPN OtherName-Wert: Muss ASN1-codierte UTF8-Zeichenfolge seinSubject = Distinguished name of user. Dieses Feld ist eine obligatorische Erweiterung, die Grundpopulation dieses Felds ist jedoch optional.
Es gibt zwei vordefinierte Typen privater Schlüssel. Diese Schlüssel sind "Signature Only(AT_SIGNATURE)" und "Key Exchange(AT_KEYEXCHANGE)". Smartcard-Anmeldezertifikate müssen über einen privaten Schlüsseltyp "Key Exchange(AT_KEYEXCHANGE)" verfügen, damit die Smartcardanmeldung ordnungsgemäß funktioniert.
Installieren Sie Smartcardtreiber und -software auf der Smartcardarbeitsstation.
Stellen Sie sicher, dass das entsprechende Smartcardlesergerät und die Treibersoftware auf der Smartcardarbeitsstation installiert sind. Dies variiert je nach Smartcardleseranbieter.
Installieren Sie das Smartcardzertifikat eines Drittanbieters auf der Smartcardarbeitsstation.
Wenn die Smartcard noch nicht im persönlichen Speicher des Smartcard-Benutzers im Registrierungsvorgang in Schritt 4 abgelegt wurde, müssen Sie das Zertifikat in den persönlichen Speicher des Benutzers importieren. Dazu gehen Sie wie folgt vor:
Öffnen Sie die Microsoft Management Console (MMC), die das Zertifikat-Snap-In enthält.
Klicken Sie in der Konsolenstruktur unter "Persönlich" auf "Zertifikate".
Klicken Sie im Menü "Alle Aufgaben" auf "Importieren", um den Zertifikatimport-Assistenten zu starten.
Klicken Sie auf die Datei mit den Zertifikaten, die Sie importieren.
Notiz
Wenn die Datei, die die Zertifikate enthält, eine PKCS #12-Datei (Personal Information Exchange) ist, geben Sie das Kennwort ein, das Sie zum Verschlüsseln des privaten Schlüssels verwendet haben, klicken Sie, um das entsprechende Kontrollkästchen zu aktivieren, wenn der private Schlüssel exportierbar sein soll, und aktivieren Sie dann den starken Privaten Schlüsselschutz (wenn Sie dieses Feature verwenden möchten).
Notiz
Um starken Schutz für private Schlüssel zu aktivieren, müssen Sie den Ansichtsmodus "Logische Zertifikatspeicher" verwenden.
Wählen Sie die Option aus, um das Zertifikat automatisch basierend auf dem Zertifikattyp in einem Zertifikatspeicher zu platzieren.
Installieren Sie das Smartcardzertifikat eines Drittanbieters auf der Smartcard. Diese Installation variiert je nach Kryptografiedienstanbieter (CSP) und vom Smartcardanbieter. Anweisungen finden Sie in den Dokumentationen des Herstellers.
Melden Sie sich mit der Smartcard an der Arbeitsstation an.
Mögliche Probleme
Bei der Smartcardanmeldung wird die häufigste Fehlermeldung angezeigt:
Das System konnte Sie nicht anmelden. Ihre Anmeldeinformationen konnten nicht überprüft werden.
Diese Meldung ist ein allgemeiner Fehler und kann das Ergebnis eines oder mehrerer der folgenden Probleme sein.
Probleme mit Zertifikaten und Konfigurationen
Der Domänencontroller verfügt über kein Domänencontrollerzertifikat.
Das Feld "SubjAltName" des Smartcardzertifikats ist schlecht formatiert. Wenn die Informationen im Feld "SubjAltName" als Hexadezimal-/ASCII-Rohdaten angezeigt werden, ist die Textformatierung nicht ASN1 / UTF-8.
Der Domänencontroller verfügt über ein anderweitig falsch formatiertes oder unvollständiges Zertifikat.
Für jede der folgenden Bedingungen müssen Sie ein neues gültiges Domänencontrollerzertifikat anfordern. Wenn Ihr gültiges Domänencontrollerzertifikat abgelaufen ist, können Sie das Domänencontrollerzertifikat verlängern, dieser Vorgang ist jedoch komplexer und ist in der Regel schwieriger, als wenn Sie ein neues Domänencontrollerzertifikat anfordern.
- Das Domänencontrollerzertifikat ist abgelaufen.
- Der Domänencontroller verfügt über ein nicht vertrauenswürdiges Zertifikat. Wenn der NTAuth-Speicher nicht das Zertifizierungsstelle-Zertifikat der ausstellenden Zertifizierungsstelle des Domänencontrollerzertifikats enthält, müssen Sie es dem NTAuth-Speicher hinzufügen oder ein DC-Zertifikat von einer ausstellenden Zertifizierungsstelle abrufen, deren Zertifikat sich im NTAuth-Speicher befindet.
Wenn die Domänencontroller oder Smartcardarbeitsstationen nicht der Stammzertifizierungsstelle vertrauen, der die Zertifikatketten des Domänencontrollers zugeordnet sind, müssen Sie diese Computer so konfigurieren, dass sie dieser Stammzertifizierungsstelle vertrauen.
Die Smartcard verfügt über ein nicht vertrauenswürdiges Zertifikat. Wenn der NTAuth-Speicher nicht das Zertifizierungsstellenzertifikat der ausstellenden Zertifizierungsstelle des Smartcardzertifikats enthält, müssen Sie es dem NTAuth-Speicher hinzufügen oder ein Smartcardzertifikat von einer ausstellenden Zertifizierungsstelle abrufen, deren Zertifikat sich im NTAuth-Speicher befindet.
Wenn die Domänencontroller oder Smartcardarbeitsstationen der Stammzertifizierungsstelle nicht vertrauen, der die Smartcardzertifikatketten des Benutzers zugeordnet sind, müssen Sie diese Computer so konfigurieren, dass sie dieser Stammzertifizierungsstelle vertrauen.
Das Zertifikat der Smartcard ist nicht im Speicher des Benutzers auf der Arbeitsstation installiert. Das auf der Smartcard gespeicherte Zertifikat muss sich auf der Smartcardarbeitsstation im Profil des Benutzers befinden, der sich mit der Smartcard anmeldet.
Notiz
Sie müssen den privaten Schlüssel nicht im Profil des Benutzers auf der Arbeitsstation speichern. Es muss nur auf der Smartcard gespeichert werden.
Das richtige Smartcardzertifikat oder der private Schlüssel ist nicht auf der Smartcard installiert. Das gültige Smartcardzertifikat muss auf der Smartcard mit dem privaten Schlüssel installiert werden, und das Zertifikat muss mit einem Zertifikat übereinstimmen, das im Smartcard-Benutzerprofil auf der Smartcardarbeitsstation gespeichert ist.
Das Zertifikat der Smartcard kann nicht vom Smartcardleser abgerufen werden. Es kann ein Problem mit der Smartcardleserhardware oder der Treibersoftware des Smartcardlesers sein. Stellen Sie sicher, dass Sie die Software des Smartcardlesers verwenden können, um das Zertifikat und den privaten Schlüssel auf der Smartcard anzuzeigen.
Das Smartcardzertifikat ist abgelaufen.
In der SubjAltName-Erweiterung des Smartcardzertifikats ist kein Benutzerprinzipalname (User Principal Name, UPN) verfügbar.
Der UPN im Feld "SubjAltName" des Smartcardzertifikats ist schlecht formatiert. Wenn die Informationen im SubjAltName als Hexadezimal-/ASCII-Rohdaten angezeigt werden, ist die Textformatierung nicht ASN1 / UTF-8.
Die Smartcard weist ein andernfalls falsch formatiertes oder unvollständiges Zertifikat auf. Für jede dieser Bedingungen müssen Sie ein neues gültiges Smartcardzertifikat anfordern und auf der Smartcard und im Profil des Benutzers auf der Smartcard-Arbeitsstation installieren. Das Smartcardzertifikat muss die anforderungen erfüllen, die weiter oben in diesem Artikel beschrieben werden, einschließlich eines ordnungsgemäß formatierten UPN-Felds im Feld "SubjAltName".
Wenn Ihr gültiges Smartcardzertifikat abgelaufen ist, können Sie auch das Smartcardzertifikat verlängern, das komplexer und schwieriger ist als das Anfordern eines neuen Smartcardzertifikats.
Der Benutzer verfügt nicht über einen UPN, der in ihrem Active Directory-Benutzerkonto definiert ist. Das Konto des Benutzers in Active Directory muss über einen gültigen UPN in der Eigenschaft "userPrincipalName" des Active Directory-Benutzerkontos des Smartcardbenutzers verfügen.
Der UPN im Zertifikat stimmt nicht mit dem UPN überein, der im Active Directory-Benutzerkonto des Benutzers definiert ist. Korrigieren Sie den UPN im Active Directory-Benutzerkonto des Smartcardbenutzers, oder führen Sie das Smartcardzertifikat erneut aus, damit der UPN-Wert im Feld "SubjAltName" dem UPN im Active Directory-Benutzerkonto der Smartcardbenutzer entspricht. Es wird empfohlen, dass der UpN der Smartcard mit dem Benutzerkonto-Attribut "userPrincipalName" für CAs von Drittanbietern übereinstimmt. Wenn der UPN im Zertifikat jedoch der implizite UPN des Kontos ist (Format samAccountName@domain_FQDN), muss der UPN nicht explizit mit der UserPrincipalName-Eigenschaft übereinstimmen.
Probleme bei der Sperrüberprüfung
Wenn die Sperrüberprüfung fehlschlägt, wenn der Domänencontroller das Smartcard-Anmeldezertifikat überprüft, verweigert der Domänencontroller die Anmeldung. Der Domänencontroller gibt möglicherweise die zuvor erwähnte Fehlermeldung oder die folgende Fehlermeldung zurück:
Das System konnte Sie nicht anmelden. Das für die Authentifizierung verwendete Smartcardzertifikat war nicht vertrauenswürdig.
Notiz
Wenn Sie die Zertifikatsperrliste (Certificate Revocation List, CRL), eine ungültige CRL, ein widerrufenes Zertifikat und den Sperrstatus "unbekannt" nicht finden und herunterladen, werden alle als Sperrfehler betrachtet.
Die Sperrüberprüfung muss sowohl vom Client als auch vom Domänencontroller erfolgreich sein. Stellen Sie sicher, dass Folgendes zutrifft:
Die Sperrüberprüfung ist nicht deaktiviert.
Die Sperrüberprüfung für die integrierten Sperranbieter kann nicht deaktiviert werden. Wenn ein benutzerdefinierter installierbarer Sperranbieter installiert ist, muss er aktiviert sein.
Jedes Zertifizierungsstellenzertifikat mit Ausnahme der Stammzertifizierungsstelle in der Zertifikatkette enthält eine gültige CDP-Erweiterung im Zertifikat.
Die CRL verfügt über ein Feld "Nächstes Update", und die CRL ist auf dem neuesten Stand. Sie können überprüfen, ob die CRL online im CDP ist und gültig ist, indem Sie sie aus Internet Explorer herunterladen. Sie sollten in der Lage sein, die CRL von einem der HTTP-CDPs (HyperText Transport Protocol) oder FTP-CDPs (File Transfer Protocol) in Internet Explorer sowohl von den Smartcardarbeitsstationen als auch von den Domänencontrollern herunterzuladen und anzuzeigen.
Stellen Sie sicher, dass jedes eindeutige HTTP- und FTP-CDP, das von einem Zertifikat in Ihrem Unternehmen verwendet wird, online und verfügbar ist.
So überprüfen Sie, ob eine CRL online ist und über ein FTP- oder HTTP-CDP verfügbar ist:
- Um das betreffende Zertifikat zu öffnen, doppelklicken Sie auf die .cer Datei, oder doppelklicken Sie im Speicher auf das Zertifikat.
- Klicken Sie auf die Registerkarte "Details", und wählen Sie das Feld "CRL-Verteilungspunkt " aus.
- Markieren Sie im unteren Bereich den vollständigen FTP- oder HTTP Uniform Resource Locator (URL), und kopieren Sie ihn.
- Öffnen Sie Internet Explorer, und fügen Sie die URL in die Adressleiste ein.
- Wenn Sie die Eingabeaufforderung erhalten, wählen Sie die Option zum Öffnen der CRL aus.
- Stellen Sie sicher, dass das Feld "Nächste Aktualisierung" in der CRL vorhanden ist und die Uhrzeit im Feld "Nächstes Update" nicht übergeben wurde.
Um herunterzuladen oder zu überprüfen, ob ein LDAP-CDP (Lightweight Directory Access Protocol) gültig ist, müssen Sie ein Skript oder eine Anwendung schreiben, um die CRL herunterzuladen. Nachdem Sie die CRL heruntergeladen und geöffnet haben, stellen Sie sicher, dass das Feld "Nächstes Update" in der CRL vorhanden ist und die Uhrzeit im Feld "Nächstes Update" nicht übergeben wurde.
Unterstützung
Microsoft Product Support Services unterstützt den Smartcard-Anmeldevorgang der Drittanbieter-Zertifizierungsstelle nicht, wenn festgestellt wird, dass mindestens eins der folgenden Elemente zum Problem beiträgt:
- Falsches Zertifikatformat.
- Der Zertifikatstatus oder der Sperrstatus sind von der Drittanbieter-Zertifizierungsstelle nicht verfügbar.
- Probleme bei der Zertifikatregistrierung von einer Drittanbieterzertifizierungsstelle.
- Die Drittanbieterzertifizierungsstelle kann nicht in Active Directory veröffentlicht werden.
- Ein Drittanbieter-CSP.
Weitere Informationen
Der Clientcomputer überprüft das Zertifikat des Domänencontrollers. Der lokale Computer lädt daher eine CRL für das Domänencontrollerzertifikat in den CRL-Cache herunter.
Der Offlineanmeldungsprozess umfasst keine Zertifikate, nur zwischengespeicherte Anmeldeinformationen.
Um zu erzwingen, dass der NTAuth-Speicher sofort auf einem lokalen Computer aufgefüllt wird, anstatt auf die nächste Gruppenrichtlinienverteilung zu warten, führen Sie den folgenden Befehl aus, um ein Gruppenrichtlinienupdate zu initiieren:
dsstore.exe -pulse
Sie können auch die Smartcardinformationen in Windows Server 2003 und windows XP mithilfe des Befehls Certutil.exe -scinfo abbilden.