Condividi tramite

Linee guida per l'abilitazione dell'accesso tramite smart card con autorità di certificazione di terze parti

  • Articolo

Questo articolo fornisce alcune linee guida per l'abilitazione dell'accesso tramite smart card con autorità di certificazione di terze parti.

Numero KB originale: 281245

Riepilogo

È possibile abilitare un processo di accesso tramite smart card con Microsoft Windows 2000 e un'autorità di certificazione (CA) non Microsoft seguendo le linee guida riportate in questo articolo. Il supporto limitato per questa configurazione è descritto più avanti in questo articolo.

Ulteriori informazioni

Requisiti

L'autenticazione tramite smart card in Active Directory richiede che le workstation smart card, Active Directory e i controller di dominio Active Directory siano configurati correttamente. Active Directory deve considerare attendibile un'autorità di certificazione per autenticare gli utenti in base ai certificati di tale CA. Sia le workstation smartcard che i controller di dominio devono essere configurati con certificati configurati correttamente.

Come per qualsiasi implementazione PKI, tutte le parti devono considerare attendibile la CA radice a cui le catene CA emittente. I controller di dominio e le workstation smart card considerano attendibile questa radice.

Configurazione di Active Directory e controller di dominio

  • Obbligatorio: Active Directory deve disporre della CA emittente di terze parti nell'archivio NTAuth per autenticare gli utenti in Active Directory.
  • Obbligatorio: i controller di dominio devono essere configurati con un certificato del controller di dominio per autenticare gli utenti di smart card.
  • Facoltativo: Active Directory può essere configurato per distribuire la CA radice di terze parti all'archivio CA radice attendibile di tutti i membri di dominio usando Criteri di gruppo.

Requisiti del certificato e della workstation smart card

  • Obbligatorio: tutti i requisiti della smart card descritti nella sezione "Istruzioni di configurazione" devono essere soddisfatti, inclusa la formattazione del testo dei campi. L'autenticazione tramite smart card ha esito negativo se non vengono soddisfatte.
  • Obbligatorio: la smart card e la chiave privata devono essere installate nella smart card.

Istruzioni di configurazione

  1. Esportare o scaricare il certificato radice di terze parti. La modalità di recupero del certificato radice di entità varia in base al fornitore. Il certificato deve essere in formato X.509 con codifica Base64.

  2. Aggiungere la CA radice di terze parti alle radici attendibili in un oggetto Criteri di gruppo di Active Directory. Per configurare Criteri di gruppo nel dominio di Windows 2000 per distribuire la CA di terze parti all'archivio radice attendibile di tutti i computer di dominio:

    1. Fare clic sul pulsante Start, scegliere Programmi, Strumenti di amministrazione e infine Utenti e computer di Active Directory.
    2. Nel riquadro sinistro individuare il dominio in cui vengono applicati i criteri da modificare.
    3. Fare clic con il pulsante destro del mouse sul dominio, quindi scegliere Proprietà.
    4. Fare clic sulla scheda Criteri di gruppo.
    5. Fare clic sull'oggetto Criteri di gruppo Criteri di dominio predefinito e quindi su Modifica. Si apre una nuova finestra.
    6. Nel riquadro sinistro espandere gli elementi seguenti:
      • Configurazione computer
      • Impostazioni di Windows
      • Impostazioni di sicurezza
      • Criteri chiave pubblica
    7. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili.
    8. Selezionare Tutte le attività e quindi fare clic su Importa.
    9. Seguire le istruzioni della procedura guidata per importare il certificato.
    10. Scegliere OK.
    11. Chiudere la finestra Criteri di gruppo.

  3. Aggiungere la terza parte che emette la CA all'archivio NTAuth in Active Directory.

    Il certificato di accesso della smart card deve essere rilasciato da una CA che si trova nell'archivio NTAuth. Per impostazione predefinita, le ca Microsoft Enterprise vengono aggiunte all'archivio NTAuth.

    • Se la CA che ha emesso il certificato di accesso della smart card o i certificati del controller di dominio non viene registrata correttamente nell'archivio NTAuth, il processo di accesso della smart card non funziona. La risposta corrispondente è "Impossibile verificare le credenziali".

    • L'archivio NTAuth si trova nel contenitore Di configurazione per la foresta. Ad esempio, un percorso di esempio è il seguente: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

    • Per impostazione predefinita, questo archivio viene creato quando si installa una CA Microsoft Enterprise. L'oggetto può anche essere creato manualmente usando ADSIedit.msc negli strumenti di supporto di Windows 2000 o tramite LDIFDE. Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:

      295663 Come importare certificati di autorità di certificazione (CA) di terze parti nell'archivio ENTERPRISE NTAuth

    • L'attributo pertinente è cACertificate, ovvero un elenco ottetto di certificati con codifica ASN.

      Dopo aver inserito la CA di terze parti nell'archivio NTAuth, Criteri di gruppo basati su dominio inserisce una chiave del Registro di sistema (identificazione personale del certificato) nel percorso seguente in tutti i computer del dominio:

      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates

      Viene aggiornato ogni otto ore sulle workstation (intervallo tipico di impulsi di Criteri di gruppo).

  4. Richiedere e installare un certificato del controller di dominio nei controller di dominio. Ogni controller di dominio che eseguirà l'autenticazione degli utenti di smart card deve avere un certificato del controller di dominio.

    Se si installa una CA Microsoft Enterprise in una foresta Active Directory, tutti i controller di dominio vengono registrati automaticamente per un certificato del controller di dominio. Per altre informazioni sui requisiti per i certificati del controller di dominio da una CA di terze parti, fare clic sul numero di articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

    291010 Requisiti per i certificati del controller di dominio da una CA di terze parti

    Note

    Il certificato del controller di dominio viene usato per l'autenticazione SSL (Secure Sockets Layer), la crittografia SMTP (Simple Mail Transfer Protocol), la firma RPC (Remote Procedure Call) e il processo di accesso tramite smart card. L'uso di una CA non Microsoft per rilasciare un certificato a un controller di dominio può causare un comportamento imprevisto o risultati non supportati. Un certificato formattato in modo non corretto o un certificato con il nome soggetto assente può causare l'arresto di queste o altre funzionalità.

  5. Richiedere un certificato di smart card dalla CA di terze parti.

    Eseguire la registrazione per un certificato dalla CA di terze parti che soddisfa i requisiti indicati. Il metodo per la registrazione varia in base al fornitore della CA.

    Il certificato della smart card ha requisiti di formato specifici:

    • Il percorso del punto di distribuzione CRL (CDP) (dove CRL è l'elenco di revoche di certificazione) deve essere popolato, online e disponibile. Ad esempio:

      [1]CRL Distribution Point  
Distribution Point Name:  
Full Name:  
URL=http://server1.name.com/CertEnroll/caname.crl

    • Utilizzo chiavi = Firma digitale

    • Vincoli di base [Subject Type=End Entity, Path Length Constraint=None] (facoltativo)

    • Utilizzo chiavi avanzato =

      • Autenticazione client (1.3.6.1.5.5.7.3.2)
        L'OID di autenticazione client è obbligatorio solo se viene usato un certificato per l'autenticazione SSL.
      • Accesso smart card (1.3.6.1.4.1.311.20.2.2)

    • Nome alternativo soggetto = Altro nome: Nome entità= (UPN). Ad esempio:
      UPN = user1@name.com
      L'OID OtherName UPN è: "1.3.6.1.4.1.311.20.2.3"
      Valore UPN OtherName: deve essere una stringa UTF8 con codifica ASN1

    • Subject = Nome distinto dell'utente. Questo campo è un'estensione obbligatoria, ma la popolazione di questo campo è facoltativa.

  6. Esistono due tipi predefiniti di chiavi private. Queste chiavi sono Solo firma (AT_SIGNATURE) e Scambio di chiavi (AT_KEYEXCHANGE). I certificati di accesso tramite smart card devono avere un tipo di chiave privata Key Exchange(AT_KEYEXCHANGE) affinché l'accesso tramite smart card funzioni correttamente.

  7. Installare driver smart card e software nella workstation smart card.

    Assicurarsi che il software del lettore di smart card e del driver appropriato sia installato nella workstation smart card. Varia in base al fornitore del lettore di smart card.

  8. Installare il certificato smart card di terze parti nella workstation smart card.

    Se la smart card non è già stata inserita nell'archivio personale dell'utente smart card nel processo di registrazione nel passaggio 4, è necessario importare il certificato nell'archivio personale dell'utente. A questo scopo:

    1. Aprire Microsoft Management Console (MMC) che contiene lo snap-in Certificati.

    2. Nell'albero della console, in Personale, fare clic su Certificati.

    3. Scegliere Importa dal menu Tutte le attività per avviare l'Importazione guidata certificati.

    4. Fare clic sul file contenente i certificati da importare.

      Note

      Se il file contenente i certificati è un file PKCS #12 (Personal Information Exchange), digitare la password usata per crittografare la chiave privata, fare clic per selezionare la casella di controllo appropriata se si desidera che la chiave privata sia esportabile e quindi attivare la protezione con chiave privata avanzata (se si vuole usare questa funzionalità).

      Note

      Per attivare la protezione con chiave privata avanzata, è necessario usare la modalità di visualizzazione Archivi certificati logici.

    5. Selezionare l'opzione per inserire automaticamente il certificato in un archivio certificati in base al tipo di certificato.

  9. Installare il certificato di smart card di terze parti nella smart card. Questa installazione varia in base al provider di servizi di crittografia (CSP) e al fornitore di smart card. Per istruzioni, vedere la documentazione del fornitore.

  10. Accedere alla workstation con la smart card.

Possibili problemi

Durante l'accesso tramite smart card, viene visualizzato il messaggio di errore più comune:

Impossibile accedere al sistema. Impossibile verificare le credenziali.

Questo messaggio è un errore generico e può essere il risultato di uno o più dei problemi seguenti.

Problemi di certificato e configurazione

  • Il controller di dominio non dispone di alcun certificato del controller di dominio.

  • Il campo SubjAltName del certificato smart card non è formattato. Se le informazioni nel campo SubjAltName appaiono come dati non elaborati esadecimali/ASCII, la formattazione del testo non è ASN1 / UTF-8.

  • Il controller di dominio ha un certificato in formato non valido o incompleto.

  • Per ognuna delle condizioni seguenti, è necessario richiedere un nuovo certificato di controller di dominio valido. Se il certificato del controller di dominio valido è scaduto, è possibile rinnovare il certificato del controller di dominio, ma questo processo è più complesso e in genere più difficile rispetto a se si richiede un nuovo certificato del controller di dominio.

    • Il certificato del controller di dominio è scaduto.
    • Il controller di dominio ha un certificato non attendibile. Se l'archivio NTAuth non contiene il certificato dell'autorità di certificazione (CA) della CA emittente del certificato del controller di dominio, è necessario aggiungerlo all'archivio NTAuth o ottenere un certificato del controller di dominio da una CA emittente il cui certificato risiede nell'archivio NTAuth.

    Se i controller di dominio o le workstation smart card non considerano attendibile la CA radice a cui è concatenato il certificato del controller di dominio, è necessario configurare tali computer per considerare attendibile tale CA radice.

  • La smart card ha un certificato non attendibile. Se l'archivio NTAuth non contiene il certificato CA della CA emittente del certificato smart card, è necessario aggiungerlo all'archivio NTAuth o ottenere un certificato di smart card da una CA emittente il cui certificato risiede nell'archivio NTAuth.

    Se i controller di dominio o le workstation smart card non considerano attendibile la CA radice a cui è concatenato il certificato smart card dell'utente, è necessario configurare tali computer per considerare attendibile tale CA radice.

  • Il certificato della smart card non è installato nell'archivio dell'utente nella workstation. Il certificato archiviato nella smart card deve risiedere nella workstation smart card nel profilo dell'utente che accede con la smart card.

    Note

    Non è necessario archiviare la chiave privata nel profilo dell'utente nella workstation. È necessario archiviarlo solo sulla smart card.

  • Il certificato di smart card o la chiave privata corretti non è installato nella smart card. Il certificato di smart card valido deve essere installato nella smart card con la chiave privata e il certificato deve corrispondere a un certificato archiviato nel profilo dell'utente della smart card nella workstation smart card.

  • Il certificato della smart card non può essere recuperato dal lettore di smart card. Può trattarsi di un problema con l'hardware del lettore smart card o il software driver del lettore smart card. Verificare che sia possibile usare il software del fornitore del lettore di smart card per visualizzare il certificato e la chiave privata sulla smart card.

  • Il certificato della smart card è scaduto.

  • Nessun nome dell'entità utente (UPN) è disponibile nell'estensione SubjAltName del certificato smart card.

  • Il nome UPN nel campo SubjAltName del certificato smart card non è formattato. Se le informazioni in SubjAltName sono visualizzate come dati non elaborati esadecimali/ASCII, la formattazione del testo non è ASN1 / UTF-8.

  • La smart card ha un certificato altrimenti non valido o incompleto. Per ognuna di queste condizioni, è necessario richiedere un nuovo certificato di smart card valido e installarlo nella smart card e nel profilo dell'utente nella workstation smart card. Il certificato smart card deve soddisfare i requisiti descritti in precedenza in questo articolo, che includono un campo UPN formattato correttamente nel campo SubjAltName.

    Se il certificato di smart card valido è scaduto, è anche possibile rinnovare il certificato smart card, che è più complesso e difficile rispetto alla richiesta di un nuovo certificato di smart card.

  • L'utente non dispone di un UPN definito nell'account utente di Active Directory. L'account dell'utente in Active Directory deve avere un UPN valido nella proprietà userPrincipalName dell'account utente active Directory dell'utente della smart card.

  • L'UPN nel certificato non corrisponde all'UPN definito nell'account utente di Active Directory dell'utente. Correggere l'UPN nell'account utente Active Directory dell'utente della smart card o riemettere nuovamente il certificato di smart card in modo che il valore UPN nel campo SubjAltName corrisponda all'UPN nell'account utente di Active Directory degli utenti di smart card. È consigliabile che l'UPN della smart card corrisponda all'attributo dell'account utente userPrincipalName per ca di terze parti. Tuttavia, se l'UPN nel certificato è l'UPN "implicito" dell'account (formato samAccountName@domain_FQDN), l'UPN non deve corrispondere in modo esplicito alla proprietà userPrincipalName.

Problemi di controllo delle revoche

Se il controllo della revoca non riesce quando il controller di dominio convalida il certificato di accesso della smart card, il controller di dominio nega l'accesso. Il controller di dominio può restituire il messaggio di errore indicato in precedenza o il messaggio di errore seguente:

Impossibile accedere al sistema. Il certificato di smart card usato per l'autenticazione non è attendibile.

Note

Non è possibile trovare e scaricare l'elenco di revoche di certificati (CRL), un CRL non valido, un certificato revocato e uno stato di revoca "sconosciuto" sono tutti considerati errori di revoca.

Il controllo di revoca deve avere esito positivo sia dal client che dal controller di dominio. Verificare che siano soddisfatte le condizioni seguenti:

  • Il controllo delle revoche non è disattivato.

    Non è possibile disattivare il controllo di revoca per i provider di revoche predefiniti. Se è installato un provider di revoche installabile personalizzato, deve essere attivato.

  • Ogni certificato CA, ad eccezione della CA radice nella catena di certificati, contiene un'estensione CDP valida nel certificato.

  • Il CRL include un campo Next Update (Aggiornamento successivo) e cRL è aggiornato. È possibile verificare che il CRL sia online presso il CDP e valido scaricandolo da Internet Explorer. Dovrebbe essere possibile scaricare e visualizzare il CRL da uno o più CDP (HyperText Transport Protocol) o FTP (File Transfer Protocol) in Internet Explorer dalle workstation smart card e dai controller di dominio.

Verificare che ogni cdp HTTP e FTP univoco usato da un certificato nell'organizzazione sia online e disponibile.

Per verificare che un CRL sia online e disponibile da un cdp FTP o HTTP:

  1. Per aprire il certificato in questione, fare doppio clic sul file .cer oppure fare doppio clic sul certificato nell'archivio.
  2. Fare clic sulla scheda Dettagli e selezionare il campo Punto di distribuzione CRL.
  3. Nel riquadro inferiore evidenziare l'URL (UNIFORM Resource Locator) FTP o HTTP completo e copiarlo.
  4. Aprire Internet Explorer e incollare l'URL nella barra degli indirizzi.
  5. Quando si riceve il prompt, selezionare l'opzione Apri CRL.
  6. Assicurarsi che sia presente un campo Next Update (Aggiornamento successivo) nel CRL e che l'ora nel campo Next Update (Aggiornamento successivo) non sia passata.

Per scaricare o verificare che un cdp ldap (Lightweight Directory Access Protocol) sia valido, è necessario scrivere uno script o un'applicazione per scaricare il CRL. Dopo aver scaricato e aperto il CRL, assicurarsi che sia presente un campo Next Update (Aggiornamento successivo) nell'elenco CRL e che l'ora nel campo Next Update (Aggiornamento successivo) non sia passata.

Supporto

Il Servizio Supporto Tecnico Clienti Microsoft non supporta il processo di accesso tramite smart card ca di terze parti se è determinato che uno o più degli elementi seguenti contribuiscono al problema:

  • Formato del certificato non corretto.
  • Stato del certificato o stato di revoca non disponibile dalla CA di terze parti.
  • Problemi di registrazione dei certificati da una CA di terze parti.
  • La CA di terze parti non può pubblicare in Active Directory.
  • Provider di servizi di configurazione di terze parti.

Informazioni aggiuntive

Il computer client controlla il certificato del controller di dominio. Il computer locale scarica quindi un CRL per il certificato del controller di dominio nella cache CRL.

Il processo di accesso offline non prevede certificati, ma solo credenziali memorizzate nella cache.

Per forzare il popolamento immediato dell'archivio NTAuth in un computer locale invece di attendere la successiva propagazione di Criteri di gruppo, eseguire il comando seguente per avviare un aggiornamento di Criteri di gruppo:

  dsstore.exe -pulse

È anche possibile eseguire il dump delle informazioni sulle smart card in Windows Server 2003 e in Windows XP usando il comando Certutil.exe -scinfo.