Partager via


Instructions pour l’activation de l’ouverture de session de carte à puce avec des autorités de certification tierces

Cet article fournit des instructions sur l’activation de l’ouverture de session avec des autorités de certification tierces.

Numéro de base de connaissances d’origine : 281245

Résumé

Vous pouvez activer un processus d’ouverture de session de carte à puce avec Microsoft Windows 2000 et une autorité de certification non-Microsoft en suivant les instructions de cet article. La prise en charge limitée de cette configuration est décrite plus loin dans cet article.

Plus d’informations

Spécifications

L’authentification par carte à puce auprès d’Active Directory nécessite que les stations de travail de carte à puce, Active Directory et les contrôleurs de domaine Active Directory soient configurés correctement. Active Directory doit approuver une autorité de certification pour authentifier les utilisateurs en fonction des certificats de cette autorité de certification. Les stations de travail de carte à puce et les contrôleurs de domaine doivent être configurés avec des certificats correctement configurés.

Comme pour toute implémentation pKI, toutes les parties doivent approuver l’autorité de certification racine à laquelle les chaînes d’autorité de certification émettrices. Les contrôleurs de domaine et les stations de travail de carte à puce approuvent cette racine.

Configuration d’Active Directory et de contrôleur de domaine

  • Obligatoire : Active Directory doit disposer de l’autorité de certification émettrice tierce dans le magasin NTAuth pour authentifier les utilisateurs auprès d’Active Directory.
  • Obligatoire : les contrôleurs de domaine doivent être configurés avec un certificat de contrôleur de domaine pour authentifier les utilisateurs de carte à puce.
  • Facultatif : Active Directory peut être configuré pour distribuer l’autorité de certification racine tierce au magasin d’autorité de certification racine approuvé de tous les membres du domaine à l’aide de la stratégie de groupe.

Exigences relatives au certificat et à la station de travail de carte à puce

  • Obligatoire : toutes les exigences de carte à puce décrites dans la section « Instructions de configuration » doivent être remplies, y compris la mise en forme de texte des champs. L’authentification par carte à puce échoue si elle n’est pas remplie.
  • Obligatoire : la carte à puce et la clé privée doivent être installées sur la carte à puce.

Instructions de configuration

  1. Exportez ou téléchargez le certificat racine tiers. L’obtention du certificat racine tiers varie selon le fournisseur. Le certificat doit être au format X.509 codé en Base64.

  2. Ajoutez l’autorité de certification racine tierce aux racines approuvées dans un objet de stratégie de groupe Active Directory. Pour configurer la stratégie de groupe dans le domaine Windows 2000 pour distribuer l’autorité de certification tierce au magasin racine approuvé de tous les ordinateurs de domaine :

    1. Cliquez sur Démarrer, pointez sur Programmes, puis sur Outils d’administration, et cliquez sur Utilisateurs et ordinateurs Active Directory.
    2. Dans le volet gauche, recherchez le domaine dans lequel la stratégie à modifier est appliquée.
    3. Cliquez avec le bouton droit sur le domaine, puis cliquez sur Propriétés.
    4. Cliquez sur l’onglet Stratégie de groupe.
    5. Cliquez sur l’objet de stratégie de groupe de stratégie de domaine par défaut, puis cliquez sur Modifier. Une nouvelle fenêtre s’ouvre.
    6. Dans le volet gauche, développez les éléments suivants :
      • Ordinateur configuration
      • Paramètres Windows
      • Paramètres de sécurité
      • Stratégie de clé publique
    7. Cliquez avec le bouton droit sur Autorités de certification racines approuvées.
    8. Sélectionnez Toutes les tâches, puis cliquez sur Importer.
    9. Suivez les instructions de l’Assistant pour importer le certificat.
    10. Cliquez sur OK.
    11. Fermez la fenêtre stratégie de groupe.
  3. Ajoutez l’autorité de certification tierce à la banque NTAuth dans Active Directory.

    Le certificat d’ouverture de session de carte à puce doit être émis à partir d’une autorité de certification qui se trouve dans le magasin NTAuth. Par défaut, les autorités de certification Microsoft Enterprise sont ajoutées au magasin NTAuth.

    • Si l’autorité de certification qui a émis le certificat d’ouverture de session de carte à puce ou les certificats de contrôleur de domaine n’est pas correctement publiée dans le magasin NTAuth, le processus d’ouverture de session de carte à puce ne fonctionne pas. La réponse correspondante est « Impossible de vérifier les informations d’identification ».

    • Le magasin NTAuth se trouve dans le conteneur Configuration de la forêt. Par exemple, un exemple d’emplacement est le suivant : LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Par défaut, ce magasin est créé lorsque vous installez une autorité de certification Microsoft Enterprise. L’objet peut également être créé manuellement à l’aide d’ADSIedit.msc dans les outils de support Windows 2000 ou à l’aide de LDIFDE. Pour plus d’informations à ce sujet, cliquez sur le numéro de l’article suivant pour l’afficher dans la Base de connaissances Microsoft :

      295663 Comment importer des certificats d’autorité de certification tierce dans le magasin Enterprise NTAuth

    • L’attribut approprié est cACertificate, qui est une chaîne d’octets, liste à valeurs multiples de certificats encodés ASN.

      Après avoir placé l’autorité de certification tierce dans le magasin NTAuth, la stratégie de groupe basée sur le domaine place une clé de Registre (empreinte numérique du certificat) à l’emplacement suivant sur tous les ordinateurs du domaine :

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Il est actualisé toutes les huit heures sur les stations de travail (intervalle d’impulsion de stratégie de groupe classique).

  4. Demandez et installez un certificat de contrôleur de domaine sur le ou les contrôleurs de domaine. Chaque contrôleur de domaine qui va authentifier les utilisateurs de carte à puce doit avoir un certificat de contrôleur de domaine.

    Si vous installez une autorité de certification Microsoft Enterprise dans une forêt Active Directory, tous les contrôleurs de domaine s’inscrivent automatiquement pour un certificat de contrôleur de domaine. Pour plus d’informations sur les exigences relatives aux certificats de contrôleur de domaine d’une autorité de certification tierce, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    Configuration requise pour les certificats de contrôleur de domaine d’une autorité de certification tierce 291010

    Note

    Le certificat de contrôleur de domaine est utilisé pour l’authentification SSL (Secure Sockets Layer), le chiffrement SMTP (Simple Mail Transfer Protocol), la signature RPC (Remote Procedure Call) et le processus d’ouverture de session de carte à puce. L’utilisation d’une autorité de certification non-Microsoft pour émettre un certificat à un contrôleur de domaine peut entraîner un comportement inattendu ou des résultats non pris en charge. Un certificat mal mis en forme ou un certificat avec le nom de l’objet absent peut entraîner l’arrêt de réponse de ces fonctionnalités ou d’autres fonctionnalités.

  5. Demandez un certificat de carte à puce auprès de l’autorité de certification tierce.

    Inscrivez-vous à un certificat de l’autorité de certification tierce qui répond aux exigences indiquées. La méthode d’inscription varie selon le fournisseur de l’autorité de certification.

    Le certificat de carte à puce a des exigences de format spécifiques :

    • L’emplacement du point de distribution de la liste de révocation de certificats (CDP) (où la liste de révocation de certificats est la liste de révocation de certificats) doit être renseigné, en ligne et disponible. Par exemple :

      [1]CRL Distribution Point  
      Distribution Point Name:  
      Full Name:  
      URL=http://server1.name.com/CertEnroll/caname.crl
      
    • Utilisation de la clé = Signature numérique

    • Contraintes de base [Subject Type=End Entity, Path Length Constraint=None] (Facultatif)

    • Utilisation améliorée de la clé =

      • Authentification du client (1.3.6.1.5.5.7.3.2)
        (L’OID d’authentification du client) est obligatoire uniquement si un certificat est utilisé pour l’authentification SSL.)
      • Ouverture de session de carte à puce (1.3.6.1.4.1.311.20.2.2)
    • Autre nom de l’objet = Autre nom : Nom du principal = (UPN). Par exemple :
      UPN = user1@name.com
      L’OID OtherName UPN est : « 1.3.6.1.4.1.311.20.2.3 »
      Valeur OtherName UPN : doit être une chaîne UTF8 encodée ASN1

    • Subject = Nom unique de l’utilisateur. Ce champ est une extension obligatoire, mais la population de ce champ est facultative.

  6. Il existe deux types prédéfinis de clés privées. Ces clés sont Signature uniquement (AT_SIGNATURE) et Key Exchange(AT_KEYEXCHANGE). Les certificats d’ouverture de session de carte à puce doivent avoir un type de clé privée Exchange(AT_KEYEXCHANGE) pour que l’ouverture de session de carte à puce fonctionne correctement.

  7. Installez les pilotes et les logiciels de carte à puce sur la station de travail de carte à puce.

    Assurez-vous que le périphérique de lecteur de carte à puce et le logiciel de pilote appropriés sont installés sur la station de travail de carte à puce. Il varie selon le fournisseur de lecteurs de carte à puce.

  8. Installez le certificat de carte à puce tiers sur la station de travail de carte à puce.

    Si la carte à puce n’a pas déjà été placée dans le magasin personnel de la carte à puce dans le processus d’inscription à l’étape 4, vous devez importer le certificat dans le magasin personnel de l’utilisateur. Pour ce faire :

    1. Ouvrez la console MMC (Microsoft Management Console) qui contient le composant logiciel enfichable Certificats.

    2. Dans l’arborescence de la console, sous Personnel, cliquez sur Certificats.

    3. Dans le menu Toutes les tâches, cliquez sur Importer pour démarrer l’Assistant Importation de certificat.

    4. Cliquez sur le fichier qui contient les certificats que vous importez.

      Note

      Si le fichier qui contient les certificats est un fichier d’échange d’informations personnelles (PKCS #12), tapez le mot de passe que vous avez utilisé pour chiffrer la clé privée, cliquez pour activer la case à cocher appropriée si vous souhaitez que la clé privée soit exportable, puis activez la protection forte des clés privées (si vous souhaitez utiliser cette fonctionnalité).

      Note

      Pour activer une protection forte par clé privée, vous devez utiliser le mode d’affichage Magasins de certificats logiques.

    5. Sélectionnez l’option permettant de placer automatiquement le certificat dans un magasin de certificats en fonction du type de certificat.

  9. Installez le certificat de carte à puce tiers sur la carte à puce. Cette installation varie en fonction du fournisseur de services de chiffrement (CSP) et du fournisseur de cartes à puce. Consultez les documentations du fournisseur pour obtenir des instructions.

  10. Connectez-vous à la station de travail avec la carte à puce.

Problèmes possibles

Pendant l’ouverture de session de carte à puce, le message d’erreur le plus courant affiché est le suivant :

Le système n’a pas pu vous connecter. Vos informations d’identification n’ont pas pu être vérifiées.

Ce message est une erreur générique et peut être le résultat d’un ou plusieurs problèmes ci-dessous.

Problèmes de certificat et de configuration

  • Le contrôleur de domaine n’a pas de certificat de contrôleur de domaine.

  • Le champ SubjAltName du certificat de carte à puce est mal mis en forme. Si les informations contenues dans le champ SubjAltName apparaissent sous forme de données brutes Hexadecimal/ASCII, la mise en forme du texte n’est pas ASN1 / UTF-8.

  • Le contrôleur de domaine a un certificat incorrect ou incomplet.

  • Pour chacune des conditions suivantes, vous devez demander un nouveau certificat de contrôleur de domaine valide. Si votre certificat de contrôleur de domaine valide a expiré, vous pouvez renouveler le certificat du contrôleur de domaine, mais ce processus est plus complexe et généralement plus difficile que si vous demandez un nouveau certificat de contrôleur de domaine.

    • Le certificat du contrôleur de domaine a expiré.
    • Le contrôleur de domaine a un certificat non approuvé. Si le magasin NTAuth ne contient pas le certificat d’autorité de certification (CA) de l’autorité de certification émettrice du certificat de contrôleur de domaine, vous devez l’ajouter au magasin NTAuth ou obtenir un certificat DC auprès d’une autorité de certification émettrice dont le certificat réside dans le magasin NTAuth.

    Si les contrôleurs de domaine ou les stations de travail de carte à puce n’approuvent pas l’autorité de certification racine à laquelle les chaînes de certificats du contrôleur de domaine sont associées, vous devez configurer ces ordinateurs pour approuver cette autorité de certification racine.

  • La carte à puce a un certificat non approuvé. Si le magasin NTAuth ne contient pas le certificat d’autorité de certification de l’autorité de certification émettrice du certificat de carte à puce, vous devez l’ajouter au magasin NTAuth ou obtenir un certificat de carte à puce auprès d’une autorité de certification émettrice dont le certificat réside dans le magasin NTAuth.

    Si les contrôleurs de domaine ou les stations de travail de carte à puce n’approuvent pas l’autorité de certification racine à laquelle les chaînes de certificats de carte à puce de l’utilisateur, vous devez configurer ces ordinateurs pour approuver cette autorité de certification racine.

  • Le certificat de la carte à puce n’est pas installé dans le magasin de l’utilisateur sur la station de travail. Le certificat stocké sur la carte à puce doit résider sur la station de travail de carte à puce dans le profil de l’utilisateur qui se connecte avec la carte à puce.

    Note

    Vous n’avez pas besoin de stocker la clé privée dans le profil de l’utilisateur sur la station de travail. Il n’est nécessaire de stocker que sur la carte à puce.

  • Le certificat de carte à puce approprié ou la clé privée n’est pas installé sur la carte à puce. Le certificat de carte à puce valide doit être installé sur la carte à puce avec la clé privée et le certificat doit correspondre à un certificat stocké dans le profil de l’utilisateur de carte à puce sur la station de travail de carte à puce.

  • Le certificat de la carte à puce ne peut pas être récupéré à partir du lecteur de carte à puce. Il peut s’agir d’un problème avec le matériel du lecteur de carte à puce ou le logiciel de pilote du lecteur de carte à puce. Vérifiez que vous pouvez utiliser le logiciel du fournisseur de cartes à puce pour afficher le certificat et la clé privée sur la carte à puce.

  • Le certificat de carte à puce a expiré.

  • Aucun nom d’utilisateur principal (UPN) n’est disponible dans l’extension SubjAltName du certificat de carte à puce.

  • L’UPN dans le champ SubjAltName du certificat de carte à puce est mal formaté. Si les informations contenues dans SubjAltName s’affichent sous forme de données brutes Hexadecimal/ASCII, la mise en forme du texte n’est pas ASN1 / UTF-8.

  • La carte à puce a un certificat incorrect ou incomplet. Pour chacune de ces conditions, vous devez demander un nouveau certificat de carte à puce valide et l’installer sur la carte à puce et dans le profil de l’utilisateur sur la station de travail de carte à puce. Le certificat de carte à puce doit répondre aux exigences décrites précédemment dans cet article, qui incluent un champ UPN correctement mis en forme dans le champ SubjAltName.

    Si votre certificat de carte à puce valide a expiré, vous pouvez également renouveler le certificat de carte à puce, ce qui est plus complexe et plus difficile que la demande d’un nouveau certificat de carte à puce.

  • L’utilisateur n’a pas d’UPN défini dans son compte d’utilisateur Active Directory. Le compte de l’utilisateur dans Active Directory doit avoir un UPN valide dans la propriété userPrincipalName du compte d’utilisateur Active Directory de la carte à puce.

  • L’UPN dans le certificat ne correspond pas à l’UPN défini dans le compte d’utilisateur Active Directory de l’utilisateur. Corrigez l’UPN dans le compte d’utilisateur Active Directory de l’utilisateur Active Directory de la carte à puce ou rééditez le certificat de carte à puce afin que la valeur UPN dans le champ SubjAltName corresponde à l’UPN dans le compte d’utilisateur Active Directory des utilisateurs de carte à puce. Nous vous recommandons de faire correspondre l’UPN de carte à puce à l’attribut de compte d’utilisateur userPrincipalName pour les autorités de certification tierces. Toutefois, si l’UPN dans le certificat est l’UPN implicite du compte (format samAccountName@domain_FQDN), l’UPN ne doit pas correspondre explicitement à la propriété userPrincipalName.

Problèmes de vérification de la révocation

Si la vérification de révocation échoue lorsque le contrôleur de domaine valide le certificat d’ouverture de session de carte à puce, le contrôleur de domaine refuse l’ouverture de session. Le contrôleur de domaine peut renvoyer le message d’erreur mentionné précédemment ou le message d’erreur suivant :

Le système n’a pas pu vous connecter. Le certificat de carte à puce utilisé pour l’authentification n’a pas été approuvé.

Note

L’échec de la recherche et du téléchargement de la liste de révocation de certificats (CRL), une liste de révocation de certificats non valide, un certificat révoqué et un état de révocation « inconnu » sont tous considérés comme des échecs de révocation.

La vérification de révocation doit réussir à partir du client et du contrôleur de domaine. Vérifiez que les valeurs suivantes sont remplies :

  • La vérification de la révocation n’est pas désactivée.

    La vérification de la révocation pour les fournisseurs de révocation intégrés ne peut pas être désactivée. Si un fournisseur de révocation installable personnalisé est installé, il doit être activé.

  • Chaque certificat d’autorité de certification à l’exception de l’autorité de certification racine de la chaîne de certificats contient une extension CDP valide dans le certificat.

  • La liste de révocation de certificats a un champ Mise à jour suivante et la liste de révocation de certificats est à jour. Vous pouvez vérifier que la liste de révocation de certificats est en ligne sur le CDP et valide en la téléchargeant à partir d’Internet Explorer. Vous devez être en mesure de télécharger et d’afficher la liste de révocation de certificats à partir de l’un des cdPs HTTP (HyperText Transport Protocol) ou FTP (File Transfer Protocol) dans Internet Explorer à partir des stations de travail de carte à puce et du ou des contrôleurs de domaine.

Vérifiez que chaque CDP HTTP et FTP unique utilisé par un certificat dans votre entreprise est en ligne et disponible.

Pour vérifier qu’une liste de révocation de certificats est en ligne et disponible à partir d’un protocole FTP ou HTTP CDP :

  1. Pour ouvrir le certificat en question, double-cliquez sur le fichier .cer ou double-cliquez sur le certificat dans le magasin.
  2. Cliquez sur l’onglet Détails, puis sélectionnez le champ Point de distribution de liste de révocation de certificats.
  3. Dans le volet inférieur, mettez en surbrillance le FTP complet ou l’URL (Uniform Resource Locator) HTTP et copiez-le.
  4. Ouvrez Internet Explorer et collez l’URL dans la barre d’adresses.
  5. Lorsque vous recevez l’invite, sélectionnez l’option permettant d’ouvrir la liste de révocation de certificats.
  6. Assurez-vous qu’il existe un champ De mise à jour suivante dans la liste de révocation de certificats et que l’heure du champ Mise à jour suivante n’a pas été passée.

Pour télécharger ou vérifier qu’un CDP (Lightweight Directory Access Protocol) est valide, vous devez écrire un script ou une application pour télécharger la liste de révocation de certificats. Après avoir téléchargé et ouvert la liste de révocation de certificats, assurez-vous qu’il existe un champ De mise à jour suivante dans la liste de révocation de certificats et que l’heure du champ Mise à jour suivante n’a pas réussi.

Support

Microsoft Product Support Services ne prend pas en charge le processus d’ouverture de session de carte à puce de l’autorité de certification tierce s’il est déterminé qu’un ou plusieurs des éléments suivants contribuent au problème :

  • Format de certificat incorrect.
  • État du certificat ou état de révocation non disponible à partir de l’autorité de certification tierce.
  • Problèmes d’inscription de certificat à partir d’une autorité de certification tierce.
  • L’autorité de certification tierce ne peut pas publier sur Active Directory.
  • Fournisseur de solutions Cloud tiers.

Informations supplémentaires

L’ordinateur client vérifie le certificat du contrôleur de domaine. L’ordinateur local télécharge donc une liste de révocation de certificats pour le certificat du contrôleur de domaine dans le cache de la liste de révocation de certificats.

Le processus d’ouverture de session hors connexion n’implique pas de certificats, mais uniquement des informations d’identification mises en cache.

Pour forcer le magasin NTAuth à être immédiatement renseigné sur un ordinateur local au lieu d’attendre la propagation de la stratégie de groupe suivante, exécutez la commande suivante pour lancer une mise à jour de stratégie de groupe :

  dsstore.exe -pulse  

Vous pouvez également vider les informations de carte à puce dans Windows Server 2003 et Windows XP à l’aide de la commande Certutil.exe -scinfo.