Compartir a través de


Directrices para habilitar el inicio de sesión de tarjeta inteligente con entidades de certificación de terceros

En este artículo se proporcionan algunas directrices para habilitar el inicio de sesión de tarjeta inteligente con entidades de certificación de terceros.

Número de KB original: 281245

Resumen

Puede habilitar un proceso de inicio de sesión de tarjeta inteligente con Microsoft Windows 2000 y una entidad de certificación (CA) que no sea de Microsoft siguiendo las instrucciones de este artículo. La compatibilidad limitada con esta configuración se describe más adelante en este artículo.

Más información

Requisitos

La autenticación de tarjeta inteligente en Active Directory requiere que las estaciones de trabajo de tarjeta inteligente, Active Directory y los controladores de dominio de Active Directory se configuren correctamente. Active Directory debe confiar en una entidad de certificación para autenticar a los usuarios en función de los certificados de esa entidad de certificación. Tanto las estaciones de trabajo de tarjeta inteligente como los controladores de dominio deben configurarse con certificados configurados correctamente.

Al igual que con cualquier implementación de PKI, todas las partes deben confiar en la CA raíz a la que se encadena la ENTIDAD de certificación emisora. Tanto los controladores de dominio como las estaciones de trabajo de tarjeta inteligente confían en esta raíz.

Configuración del controlador de dominio y Active Directory

  • Obligatorio: Active Directory debe tener la entidad de certificación emisora de terceros en el almacén NTAuth para autenticar a los usuarios en Active Directory.
  • Obligatorio: los controladores de dominio deben configurarse con un certificado de controlador de dominio para autenticar a los usuarios de tarjetas inteligentes.
  • Opcional: Active Directory se puede configurar para distribuir la entidad de certificación raíz de terceros al almacén de ca raíz de confianza de todos los miembros del dominio mediante la directiva de grupo.

Requisitos de certificados y estaciones de trabajo de tarjeta inteligente

  • Obligatorio: se deben cumplir todos los requisitos de tarjeta inteligente descritos en la sección "Instrucciones de configuración", incluido el formato de texto de los campos. Se produce un error en la autenticación con tarjeta inteligente si no se cumplen.
  • Obligatorio: la tarjeta inteligente y la clave privada deben instalarse en la tarjeta inteligente.

Instrucciones de configuración

  1. Exporte o descargue el certificado raíz de terceros. La obtención del certificado raíz de entidad varía según el proveedor. El certificado debe estar en formato X.509 codificado en Base64.

  2. Agregue la entidad de certificación raíz de terceros a las raíces de confianza en un objeto de directiva de grupo de Active Directory. Para configurar la directiva de grupo en el dominio de Windows 2000 para distribuir la entidad de certificación de terceros al almacén raíz de confianza de todos los equipos de dominio:

    1. Haga clic en Inicio, apunte a Programas, apunte a Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.
    2. En el panel izquierdo, busque el dominio en el que se aplica la directiva que desea editar.
    3. Haga clic con el botón derecho en el dominio y, a continuación, haga clic en Propiedades.
    4. Haga clic en la pestaña Directiva de grupo.
    5. Haga clic en el objeto Directiva de grupo Directiva de dominio predeterminada y, a continuación, haga clic en Editar. Se abre una nueva ventana.
    6. En el panel izquierdo, expanda los siguientes elementos:
      • Configuración del equipo
      • Configuración de Windows
      • Security Settings (Configuración de seguridad)
      • Directiva de clave pública
    7. Haga clic con el botón derecho en Entidades de certificación raíz de confianza.
    8. Seleccione Todas las tareas y, a continuación, haga clic en Importar.
    9. Siga las instrucciones del asistente para importar el certificado.
    10. Haga clic en Aceptar.
    11. Cierre la ventana Directiva de grupo.
  3. Agregue el tercero que emite la ENTIDAD de certificación al almacén NTAuth en Active Directory.

    El certificado de inicio de sesión de tarjeta inteligente debe emitirse desde una ENTIDAD de certificación que se encuentra en el almacén NTAuth. De forma predeterminada, las CA de Microsoft Enterprise se agregan al almacén NTAuth.

    • Si la ENTIDAD de certificación que emitió el certificado de inicio de sesión de tarjeta inteligente o los certificados del controlador de dominio no se publica correctamente en el almacén NTAuth, el proceso de inicio de sesión de tarjeta inteligente no funciona. La respuesta correspondiente es "No se pueden comprobar las credenciales".

    • El almacén NTAuth se encuentra en el contenedor de configuración del bosque. Por ejemplo, una ubicación de ejemplo es la siguiente: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • De forma predeterminada, este almacén se crea al instalar una ENTIDAD de certificación de Microsoft Enterprise. El objeto también se puede crear manualmente mediante ADSIedit.msc en las herramientas de soporte técnico de Windows 2000 o mediante LDIFDE. Para más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

      295663 Importación de certificados de entidad de certificación (CA) de terceros en el almacén de Enterprise NTAuth

    • El atributo pertinente es cACertificate, que es una lista octeto String, con varios valores de certificados codificados por ASN.

      Después de colocar la entidad de certificación de terceros en el almacén NTAuth, la directiva de grupo basada en dominio coloca una clave del Registro (una huella digital del certificado) en la siguiente ubicación en todos los equipos del dominio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Se actualiza cada ocho horas en estaciones de trabajo (el intervalo típico de pulso de directiva de grupo).

  4. Solicite e instale un certificado de controlador de dominio en los controladores de dominio. Cada controlador de dominio que va a autenticar a los usuarios de tarjetas inteligentes debe tener un certificado de controlador de dominio.

    Si instala una CA empresarial de Microsoft en un bosque de Active Directory, todos los controladores de dominio se inscriben automáticamente para un certificado de controlador de dominio. Para obtener más información sobre los requisitos de los certificados de controlador de dominio de una entidad de certificación de terceros, haga clic en el número de artículo siguiente para ver el artículo de Microsoft Knowledge Base:

    291010 Requisitos para certificados de controlador de dominio de una CA de terceros

    Nota:

    El certificado de controlador de dominio se usa para la autenticación de capa de sockets seguros (SSL), el cifrado del Protocolo de transferencia de correo simple (SMTP), la firma de llamada a procedimiento remoto (RPC) y el proceso de inicio de sesión de tarjeta inteligente. El uso de una ENTIDAD de certificación que no es de Microsoft para emitir un certificado a un controlador de dominio puede provocar un comportamiento inesperado o resultados no admitidos. Un certificado con formato incorrecto o un certificado con el nombre del firmante ausente puede provocar que estas u otras funcionalidades deje de responder.

  5. Solicite un certificado de tarjeta inteligente de la entidad de certificación de terceros.

    Inscríbase para un certificado de la entidad de certificación de terceros que cumpla los requisitos indicados. El método para la inscripción varía según el proveedor de ca.

    El certificado de tarjeta inteligente tiene requisitos de formato específicos:

    • La ubicación del punto de distribución de CRL (CDP) (donde CRL es la lista de revocación de certificación) debe rellenarse, en línea y estar disponible. Por ejemplo:

      [1]CRL Distribution Point  
      Distribution Point Name:  
      Full Name:  
      URL=http://server1.name.com/CertEnroll/caname.crl
      
    • Uso de clave = Firma digital

    • Restricciones básicas [Subject Type=End Entity, Path Length Constraint=None] (Opcional)

    • Uso mejorado de claves =

      • Autenticación de cliente (1.3.6.1.5.5.7.3.2)
        (El OID de autenticación de cliente) solo es necesario si se usa un certificado para la autenticación SSL).
      • Inicio de sesión de tarjeta inteligente (1.3.6.1.4.1.311.20.2.2)
    • Nombre alternativo del firmante = Otro nombre: nombre principal= (UPN). Por ejemplo:
      UPN = user1@name.com
      El OID OtherName de UPN es: "1.3.6.1.4.1.311.20.2.3"
      El valor de UPN OtherName: debe ser una cadena UTF8 codificada en ASN1.

    • Subject = Nombre distintivo del usuario. Este campo es una extensión obligatoria, pero el rellenado de este campo es opcional.

  6. Hay dos tipos predefinidos de claves privadas. Estas claves son Solo firma (AT_SIGNATURE) y Intercambio de claves (AT_KEYEXCHANGE)). Los certificados de inicio de sesión de tarjeta inteligente deben tener un tipo de clave privada de Intercambio de claves (AT_KEYEXCHANGE) para que el inicio de sesión de tarjeta inteligente funcione correctamente.

  7. Instale controladores de tarjeta inteligente y software en la estación de trabajo de tarjeta inteligente.

    Asegúrese de que el dispositivo de lector de tarjetas inteligentes y el software de controlador adecuados estén instalados en la estación de trabajo de tarjeta inteligente. Varía según el proveedor del lector de tarjetas inteligentes.

  8. Instale el certificado de tarjeta inteligente de terceros en la estación de trabajo de tarjeta inteligente.

    Si la tarjeta inteligente aún no se ha colocado en el almacén personal del usuario de tarjeta inteligente en el proceso de inscripción en el paso 4, debe importar el certificado en el almacén personal del usuario. Para ello:

    1. Abra microsoft Management Console (MMC) que contiene el complemento Certificados.

    2. En el árbol de consola, en Personal, haga clic en Certificados.

    3. En el menú Todas las tareas, haga clic en Importar para iniciar el Asistente para importación de certificados.

    4. Haga clic en el archivo que contiene los certificados que va a importar.

      Nota:

      Si el archivo que contiene los certificados es un archivo de intercambio de información personal (PKCS #12), escriba la contraseña que usó para cifrar la clave privada, haga clic para activar la casilla adecuada si desea que la clave privada se pueda exportar y, a continuación, active la protección segura de claves privadas (si desea usar esta característica).

      Nota:

      Para activar la protección segura de claves privadas, debe usar el modo de vista Almacenes de certificados lógicos.

    5. Seleccione la opción para colocar automáticamente el certificado en un almacén de certificados en función del tipo de certificado.

  9. Instale el certificado de tarjeta inteligente de terceros en la tarjeta inteligente. Esta instalación varía según el proveedor de servicios criptográficos (CSP) y el proveedor de tarjetas inteligentes. Consulte las documentación del proveedor para obtener instrucciones.

  10. Inicie sesión en la estación de trabajo con la tarjeta inteligente.

Posibles problemas

Durante el inicio de sesión de tarjeta inteligente, el mensaje de error más común que se ve es:

El sistema no pudo iniciar sesión. No se pudieron comprobar las credenciales.

Este mensaje es un error genérico y puede ser el resultado de uno o varios de los problemas siguientes.

Problemas de configuración y certificados

  • El controlador de dominio no tiene ningún certificado de controlador de dominio.

  • El campo SubjAltName del certificado de tarjeta inteligente tiene un formato incorrecto. Si la información del campo SubjAltName aparece como datos sin procesar Hexadecimal/ASCII, el formato de texto no es ASN1/UTF-8.

  • El controlador de dominio tiene un certificado incorrecto o incompleto.

  • Para cada una de las condiciones siguientes, debe solicitar un nuevo certificado de controlador de dominio válido. Si el certificado de controlador de dominio válido ha expirado, puede renovar el certificado de controlador de dominio, pero este proceso es más complejo y normalmente es más difícil que si solicita un nuevo certificado de controlador de dominio.

    • El certificado del controlador de dominio ha expirado.
    • El controlador de dominio tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de entidad de certificación (CA) de la entidad de certificación del certificado de controlador de dominio, debe agregarlo al almacén NTAuth o obtener un certificado de controlador de dominio de una ENTIDAD de certificación emisora cuyo certificado reside en el almacén NTAuth.

    Si los controladores de dominio o las estaciones de trabajo de tarjeta inteligente no confían en la CA raíz a la que se encadena el certificado del controlador de dominio, debe configurar esos equipos para que confíen en esa ENTIDAD de certificación raíz.

  • La tarjeta inteligente tiene un certificado que no es de confianza. Si el almacén NTAuth no contiene el certificado de ENTIDAD de certificación de la entidad de certificación emisora del certificado de tarjeta inteligente, debe agregarlo al almacén NTAuth o obtener un certificado de tarjeta inteligente de una ENTIDAD de certificación emisora cuyo certificado reside en el almacén NTAuth.

    Si los controladores de dominio o las estaciones de trabajo de tarjeta inteligente no confían en la CA raíz a la que se encadena el certificado de tarjeta inteligente del usuario, debe configurar esos equipos para que confíen en esa ENTIDAD de certificación raíz.

  • El certificado de la tarjeta inteligente no está instalado en el almacén del usuario en la estación de trabajo. El certificado almacenado en la tarjeta inteligente debe residir en la estación de trabajo de tarjeta inteligente en el perfil del usuario que inicia sesión con la tarjeta inteligente.

    Nota:

    No es necesario almacenar la clave privada en el perfil del usuario en la estación de trabajo. Solo es necesario almacenarse en la tarjeta inteligente.

  • El certificado de tarjeta inteligente o la clave privada correctos no están instalados en la tarjeta inteligente. El certificado de tarjeta inteligente válido debe instalarse en la tarjeta inteligente con la clave privada y el certificado debe coincidir con un certificado almacenado en el perfil del usuario de tarjeta inteligente en la estación de trabajo de tarjeta inteligente.

  • El certificado de la tarjeta inteligente no se puede recuperar del lector de tarjetas inteligentes. Puede ser un problema con el hardware del lector de tarjetas inteligentes o el software de controlador del lector de tarjetas inteligentes. Compruebe que puede usar el software del proveedor del lector de tarjetas inteligentes para ver el certificado y la clave privada en la tarjeta inteligente.

  • El certificado de tarjeta inteligente ha expirado.

  • No hay ningún nombre principal de usuario (UPN) disponible en la extensión SubjAltName del certificado de tarjeta inteligente.

  • El UPN en el campo SubjAltName del certificado de tarjeta inteligente tiene un formato incorrecto. Si la información de SubjAltName aparece como datos sin formato Hexadecimal o ASCII, el formato de texto no es ASN1 /UTF-8.

  • La tarjeta inteligente tiene un certificado incorrecto o incompleto. Para cada una de estas condiciones, debe solicitar un nuevo certificado de tarjeta inteligente válido e instalarlo en la tarjeta inteligente y en el perfil del usuario en la estación de trabajo de tarjeta inteligente. El certificado de tarjeta inteligente debe cumplir los requisitos descritos anteriormente en este artículo, que incluyen un campo UPN con formato correcto en el campo SubjAltName.

    Si el certificado de tarjeta inteligente válido ha expirado, también puede renovar el certificado de tarjeta inteligente, que es más complejo y difícil que solicitar un nuevo certificado de tarjeta inteligente.

  • El usuario no tiene un UPN definido en su cuenta de usuario de Active Directory. La cuenta del usuario en Active Directory debe tener un UPN válido en la propiedad userPrincipalName de la cuenta de usuario de Active Directory del usuario de tarjeta inteligente.

  • El UPN del certificado no coincide con el UPN definido en la cuenta de usuario de Active Directory del usuario. Corrija el UPN en la cuenta de usuario de Active Directory del usuario de tarjeta inteligente o vuelva a emitir el certificado de tarjeta inteligente para que el valor upn del campo SubjAltName coincida con el UPN en la cuenta de usuario de Active Directory de los usuarios de tarjeta inteligente. Se recomienda que el UPN de tarjeta inteligente coincida con el atributo userPrincipalName de la cuenta de usuario para ca de terceros. Sin embargo, si el UPN del certificado es el "UPN implícito" de la cuenta (formato samAccountName@domain_FQDN), el UPN no tiene que coincidir explícitamente con la propiedad userPrincipalName.

Problemas de comprobación de revocación

Si se produce un error en la comprobación de revocación cuando el controlador de dominio valida el certificado de inicio de sesión de tarjeta inteligente, el controlador de dominio deniega el inicio de sesión. El controlador de dominio puede devolver el mensaje de error mencionado anteriormente o el siguiente mensaje de error:

El sistema no pudo iniciar sesión. El certificado de tarjeta inteligente usado para la autenticación no era de confianza.

Nota:

No encontrar y descargar la lista de revocación de certificados (CRL), una CRL no válida, un certificado revocado y un estado de revocación de "desconocido" se consideran errores de revocación.

La comprobación de revocación debe realizarse correctamente tanto del cliente como del controlador de dominio. Asegúrese de que lo siguiente es true:

  • La comprobación de revocación no está desactivada.

    No se puede desactivar la comprobación de revocación de los proveedores de revocación integrados. Si se instala un proveedor de revocación instalable personalizado, debe activarse.

  • Cada certificado de ENTIDAD de certificación excepto la ca raíz de la cadena de certificados contiene una extensión CDP válida en el certificado.

  • La CRL tiene un campo Siguiente actualización y la CRL está actualizada. Puede comprobar que la CRL está en línea en el CDP y que es válida si la descarga de Internet Explorer. Debería poder descargar y ver la CRL desde cualquiera de los CDP del Protocolo de transporte de Hipertexto (HTTP) o del Protocolo de transferencia de archivos (FTP) en Internet Explorer desde las estaciones de trabajo de tarjeta inteligente y los controladores de dominio.

Compruebe que cada CDP HTTP y FTP único que use un certificado de su empresa esté en línea y esté disponible.

Para comprobar que una CRL está en línea y está disponible en un CDP FTP o HTTP:

  1. Para abrir el certificado en cuestión, haga doble clic en el archivo .cer o haga doble clic en el certificado del almacén.
  2. Haga clic en la pestaña Detalles y seleccione el campo Punto de distribución crL.
  3. En el panel inferior, resalte el ftp completo o el localizador uniforme de recursos HTTP (URL) y cópielo.
  4. Abra Internet Explorer y pegue la dirección URL en la barra de direcciones.
  5. Cuando reciba el mensaje, seleccione la opción Abrir la CRL.
  6. Asegúrese de que hay un campo Siguiente actualización en la CRL y la hora en el campo Siguiente actualización no ha pasado.

Para descargar o comprobar que un CDP ligero del Protocolo de acceso a directorios (LDAP) es válido, debe escribir un script o una aplicación para descargar la CRL. Después de descargar y abrir la CRL, asegúrese de que hay un campo Siguiente actualización en la CRL y la hora en el campo Siguiente actualización no ha pasado.

Soporte

Los Servicios de soporte técnico de productos de Microsoft no admiten el proceso de inicio de sesión de tarjetas inteligentes de entidad de certificación de terceros si se determina que uno o varios de los siguientes elementos contribuyen al problema:

  • Formato de certificado incorrecto.
  • El estado del certificado o el estado de revocación no están disponibles en la entidad de certificación de terceros.
  • Problemas de inscripción de certificados de una entidad de certificación de terceros.
  • La entidad de certificación de terceros no puede publicar en Active Directory.
  • Un CSP de terceros.

Información adicional

El equipo cliente comprueba el certificado del controlador de dominio. Por lo tanto, el equipo local descarga una CRL para el certificado del controlador de dominio en la caché CRL.

El proceso de inicio de sesión sin conexión no implica certificados, solo credenciales almacenadas en caché.

Para forzar que el almacén NTAuth se rellene inmediatamente en un equipo local en lugar de esperar a la siguiente propagación de directiva de grupo, ejecute el siguiente comando para iniciar una actualización de directiva de grupo:

  dsstore.exe -pulse  

También puede volcar la información de la tarjeta inteligente en Windows Server 2003 y en Windows XP mediante el comando Certutil.exe -scinfo.