Diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros
Este artigo fornece algumas diretrizes para habilitar o logon de cartão inteligente com autoridades de certificação de terceiros.
Número original do KB: 281245
Resumo
Você pode habilitar um processo de logon de cartão inteligente com o Microsoft Windows 2000 e uma autoridade de certificação (CA) que não seja da Microsoft seguindo as diretrizes deste artigo. O suporte limitado para essa configuração é descrito posteriormente neste artigo.
Mais informações
Requisitos
A autenticação de cartão inteligente no Active Directory requer que as estações de trabalho de cartão inteligente, o Active Directory e os controladores de domínio do Active Directory sejam configurados corretamente. O Active Directory deve confiar em uma autoridade de certificação para autenticar usuários com base em certificados dessa autoridade de certificação. As estações de trabalho de cartão inteligente e os controladores de domínio devem ser configurados com certificados configurados corretamente.
Como acontece com qualquer implementação de PKI, todas as partes devem confiar na CA raiz à qual a CA emissora é encadeada. Os controladores de domínio e as estações de trabalho de cartão inteligente confiam nessa raiz.
Configuração do Active Directory e do controlador de domínio
- Obrigatório: o Active Directory deve ter a autoridade de certificação emissora de terceiros no repositório NTAuth para autenticar usuários no Active Directory.
- Obrigatório: os controladores de domínio devem ser configurados com um certificado de controlador de domínio para autenticar usuários de cartão inteligente.
- Opcional: o Active Directory pode ser configurado para distribuir a autoridade de certificação raiz de terceiros para o repositório de autoridade de certificação raiz confiável de todos os membros do domínio usando a Política de Grupo.
Requisitos de certificado de cartão inteligente e estação de trabalho
- Obrigatório: todos os requisitos de cartão inteligente descritos na seção "Instruções de configuração" devem ser atendidos, incluindo a formatação de texto dos campos. A autenticação do cartão inteligente falhará se não for atendida.
- Obrigatório: o cartão inteligente e a chave privada devem estar instalados no cartão inteligente.
Instruções de configuração
Exporte ou baixe o certificado raiz de terceiros. A forma de obter o certificado raiz da parte varia de acordo com o fornecedor. O certificado deve estar no formato X.509 codificado em Base64.
Adicione a autoridade de certificação raiz de terceiros às raízes confiáveis em um objeto de Diretiva de Grupo do Active Directory. Para configurar a Diretiva de Grupo no domínio do Windows 2000 para distribuir a autoridade de certificação de terceiros para o repositório raiz confiável de todos os computadores do domínio:
- Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
- No painel esquerdo, localize o domínio no qual a política que você deseja editar é aplicada.
- Clique com o botão direito do mouse no domínio e clique em Propriedades.
- Clique na guia Política de Grupo.
- Clique no objeto Política de Grupo de Diretiva de Domínio Padrão e clique em Editar. Uma nova janela é aberta.
- No painel esquerdo, expanda os seguintes itens:
- Configurações do Computador
- Configurações do Windows
- Configurações de Segurança
- Política de Chave Pública
- Clique com o botão direito do mouse em Autoridades de certificação raiz confiáveis.
- Selecione Todas as Tarefas e clique em Importar.
- Siga as instruções do assistente para importar o certificado.
- Clique em OK.
- Feche a janela Política de Grupo.
Adicione o terceiro que emite a autoridade de certificação ao repositório NTAuth no Active Directory.
O certificado de logon do cartão inteligente deve ser emitido de uma autoridade de certificação que esteja no repositório NTAuth. Por padrão, as autoridades de certificação do Microsoft Enterprise são adicionadas ao repositório NTAuth.
Se a autoridade de certificação que emitiu o certificado de logon do cartão inteligente ou os certificados do controlador de domínio não for postada corretamente no repositório NTAuth, o processo de logon do cartão inteligente não funcionará. A resposta correspondente é "Não foi possível verificar as credenciais".
O repositório NTAuth está localizado no contêiner de configuração da floresta. Por exemplo, um local de exemplo é o seguinte: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
Por padrão, esse repositório é criado quando você instala uma autoridade de certificação do Microsoft Enterprise. O objeto também pode ser criado manualmente usando ADSIedit.msc nas ferramentas de suporte do Windows 2000 ou usando LDIFDE. Para obter mais informações, clique no número de artigo a seguir para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
295663 Como importar certificados de autoridade de certificação (CA) de terceiros para o repositório Enterprise NTAuth
O atributo relevante é cACertificate, que é uma cadeia de caracteres de octeto, uma lista de vários valores de certificados codificados em ASN.
Depois de colocar a autoridade de certificação de terceiros no repositório NTAuth, a Diretiva de Grupo baseada em domínio coloca uma chave do Registro (uma impressão digital do certificado) no seguinte local em todos os computadores do domínio:
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Ele é atualizado a cada oito horas nas estações de trabalho (o intervalo de pulso típico da Diretiva de Grupo).
Solicite e instale um certificado de controlador de domínio no(s) controlador(es) de domínio. Cada controlador de domínio que autenticará usuários de cartão inteligente deve ter um certificado de controlador de domínio.
Se você instalar uma autoridade de certificação do Microsoft Enterprise em uma floresta do Active Directory, todos os controladores de domínio se registrarão automaticamente para obter um certificado de controlador de domínio. Para obter mais informações sobre os requisitos para certificados de controlador de domínio de uma autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
291010 Requisitos para certificados de controlador de domínio de uma autoridade de certificação de terceiros
Observação
O certificado do controlador de domínio é usado para autenticação SSL (Secure Sockets Layer), criptografia SMTP (Simple Mail Transfer Protocol), assinatura RPC (Chamada de Procedimento Remoto) e processo de logon de cartão inteligente. Usar uma autoridade de certificação que não seja da Microsoft para emitir um certificado para um controlador de domínio pode causar comportamento inesperado ou resultados sem suporte. Um certificado formatado incorretamente ou um certificado com o nome da entidade ausente pode fazer com que esses ou outros recursos parem de responder.
Solicite um certificado de cartão inteligente da autoridade de certificação de terceiros.
Inscreva-se para obter um certificado da autoridade de certificação de terceiros que atenda aos requisitos declarados. O método de inscrição varia de acordo com o fornecedor da autoridade de certificação.
O certificado de cartão inteligente tem requisitos de formato específicos:
O local do Ponto de Distribuição de CRL (CDP) (onde CRL é a Lista de Revogação de Certificação) deve ser preenchido, online e disponível. Por exemplo:
[1]CRL Distribution Point Distribution Point Name: Full Name: URL=http://server1.name.com/CertEnroll/caname.crl
Uso da chave = Assinatura digital
Restrições básicas [Tipo de assunto=Entidade final, Restrição de comprimento do caminho=Nenhum] (opcional)
Uso aprimorado de chave =
- Autenticação de cliente (1.3.6.1.5.5.7.3.2)
(O OID de autenticação do cliente) só será necessário se um certificado for usado para autenticação SSL.) - Logon de cartão inteligente (1.3.6.1.4.1.311.20.2.2)
- Autenticação de cliente (1.3.6.1.5.5.7.3.2)
Nome alternativo da entidade = outro nome: Nome da entidade = (UPN). Por exemplo:
UPN = user1@name.com
O OID UPN OtherName é: "1.3.6.1.4.1.311.20.2.3"
O valor UPN OtherName: deve ser uma cadeia de caracteres UTF8 codificada em ASN1Assunto = Nome distinto do usuário. Esse campo é uma extensão obrigatória, mas a população desse campo é opcional.
Existem dois tipos predefinidos de chaves privadas. Essas chaves são Somente Assinatura(AT_SIGNATURE) e Troca de Chave(AT_KEYEXCHANGE). Os certificados de logon de cartão inteligente devem ter um tipo de chave privada Key Exchange(AT_KEYEXCHANGE) para que o logon de cartão inteligente funcione corretamente.
Instale drivers e software de cartão inteligente na estação de trabalho de cartão inteligente.
Certifique-se de que o dispositivo leitor de cartão inteligente e o software de driver apropriados estejam instalados na estação de trabalho do cartão inteligente. Isso varia de acordo com o fornecedor do leitor de cartão inteligente.
Instale o certificado de cartão inteligente de terceiros na estação de trabalho de cartão inteligente.
Se o cartão inteligente ainda não tiver sido colocado no repositório pessoal do usuário do cartão inteligente no processo de inscrição na etapa 4, você deverá importar o certificado para o repositório pessoal do usuário. Para fazer isso:
Abra o MMC (Console de Gerenciamento Microsoft) que contém o snap-in Certificados.
Na árvore de console, em Pessoal, clique em Certificados.
No menu Todas as Tarefas, clique em Importar para iniciar o Assistente de Importação de Certificado.
Clique no arquivo que contém os certificados que você está importando.
Observação
Se o arquivo que contém os certificados for um arquivo PKCS #12 (Personal Information Exchange), digite a senha usada para criptografar a chave privada, clique para marcar a caixa de seleção apropriada se quiser que a chave privada seja exportável e ative a proteção de chave privada forte (se quiser usar esse recurso).
Observação
Para ativar a proteção de chave privada forte, você deve usar o modo de exibição Repositórios de Certificados Lógicos.
Selecione a opção para colocar automaticamente o certificado em um repositório de certificados com base no tipo de certificado.
Instale o certificado de cartão inteligente de terceiros no cartão inteligente. Essa instalação varia de acordo com o CSP (Provedor de Serviços de Criptografia) e o fornecedor do cartão inteligente. Consulte a documentação do fornecedor para obter instruções.
Faça logon na estação de trabalho com o cartão inteligente.
Possíveis problemas
Durante o logon do cartão inteligente, a mensagem de erro mais comum vista é:
O sistema não pôde fazer logon. Suas credenciais não puderam ser verificadas.
Esta mensagem é um erro genérico e pode ser o resultado de um ou mais dos problemas abaixo.
Problemas de certificado e configuração
O controlador de domínio não tem certificado de controlador de domínio.
O campo SubjAltName do certificado de cartão inteligente está mal formatado. Se as informações no campo SubjAltName aparecerem como dados brutos hexadecimais/ASCII, a formatação do texto não será ASN1/UTF-8.
O controlador de domínio tem um certificado malformado ou incompleto.
Para cada uma das condições a seguir, você deve solicitar um novo certificado de controlador de domínio válido. Se o certificado de controlador de domínio válido tiver expirado, você poderá renovar o certificado do controlador de domínio, mas esse processo é mais complexo e normalmente mais difícil do que se você solicitar um novo certificado de controlador de domínio.
- O certificado do controlador de domínio expirou.
- O controlador de domínio tem um certificado não confiável. Se o repositório NTAuth não contiver o certificado de autoridade de certificação (CA) da CA emissora do certificado do controlador de domínio, você deverá adicioná-lo ao repositório NTAuth ou obter um certificado DC de uma CA emissora cujo certificado resida no repositório NTAuth.
Se os controladores de domínio ou estações de trabalho de cartão inteligente não confiarem na autoridade de certificação raiz à qual o certificado do controlador de domínio é encadeado, você deverá configurar esses computadores para confiar nessa autoridade de certificação raiz.
O cartão inteligente tem um certificado não confiável. Se o repositório NTAuth não contiver o certificado de autoridade de certificação da autoridade de certificação emissora do certificado de cartão inteligente, você deverá adicioná-lo ao repositório NTAuth ou obter um certificado de cartão inteligente de uma autoridade de certificação emissora cujo certificado resida no repositório NTAuth.
Se os controladores de domínio ou estações de trabalho de cartão inteligente não confiarem na autoridade de certificação raiz à qual o certificado de cartão inteligente do usuário é encadeado, você deverá configurar esses computadores para confiar nessa autoridade de certificação raiz.
O certificado do cartão inteligente não está instalado no repositório do usuário na estação de trabalho. O certificado armazenado no cartão inteligente deve residir na estação de trabalho do cartão inteligente no perfil do usuário que está fazendo logon com o cartão inteligente.
Observação
Você não precisa armazenar a chave privada no perfil do usuário na estação de trabalho. Só é necessário que seja armazenado no cartão inteligente.
O certificado de cartão inteligente ou a chave privada correta não está instalado no cartão inteligente. O certificado de cartão inteligente válido deve ser instalado no cartão inteligente com a chave privada e o certificado deve corresponder a um certificado armazenado no perfil do usuário do cartão inteligente na estação de trabalho do cartão inteligente.
O certificado do cartão inteligente não pode ser recuperado do leitor de cartão inteligente. Pode ser um problema com o hardware do leitor de cartão inteligente ou com o software do driver do leitor de cartão inteligente. Verifique se você pode usar o software do fornecedor do leitor de cartão inteligente para exibir o certificado e a chave privada no cartão inteligente.
O certificado do cartão inteligente expirou.
Nenhum nome UPN (nome UPN) está disponível na extensão SubjAltName do certificado de cartão inteligente.
O UPN no campo SubjAltName do certificado de cartão inteligente está mal formatado. Se as informações no SubjAltName aparecerem como dados brutos hexadecimais/ASCII, a formatação do texto não será ASN1/UTF-8.
O cartão inteligente tem um certificado malformado ou incompleto. Para cada uma dessas condições, você deve solicitar um novo certificado de cartão inteligente válido e instalá-lo no cartão inteligente e no perfil do usuário na estação de trabalho do cartão inteligente. O certificado de cartão inteligente deve atender aos requisitos descritos anteriormente neste artigo, que incluem um campo UPN formatado corretamente no campo SubjAltName.
Se o seu certificado de cartão inteligente válido expirou, você também pode renovar o certificado de cartão inteligente, o que é mais complexo e difícil do que solicitar um novo certificado de cartão inteligente.
O usuário não tem um UPN definido em sua conta de usuário do Active Directory. A conta do usuário no Active Directory deve ter um UPN válido na propriedade userPrincipalName da conta de usuário do Active Directory do usuário do cartão inteligente.
O UPN no certificado não corresponde ao UPN definido na conta de usuário do Active Directory do usuário. Corrija o UPN na conta de usuário do Active Directory do usuário do cartão inteligente ou emita novamente o certificado de cartão inteligente para que o valor UPN no campo SubjAltName corresponda ao UPN na conta de usuário do Active Directory dos usuários do cartão inteligente. Recomendamos que o UPN do cartão inteligente corresponda ao atributo de conta de usuário userPrincipalName para CAs de terceiros. No entanto, se o UPN no certificado for o "UPN implícito" da conta (formato samAccountName@domain_FQDN), o UPN não precisará corresponder explicitamente à propriedade userPrincipalName.
Problemas de verificação de revogação
Se a verificação de revogação falhar quando o controlador de domínio validar o certificado de logon do cartão inteligente, o controlador de domínio negará o logon. O controlador de domínio pode retornar a mensagem de erro mencionada anteriormente ou a seguinte mensagem de erro:
O sistema não pôde fazer logon. O certificado de cartão inteligente usado para autenticação não era confiável.
Observação
Deixar de localizar e baixar a CRL (Lista de Certificados Revogados), uma CRL inválida, um certificado revogado e um status de revogação de "desconhecido" são considerados falhas de revogação.
A verificação de revogação deve ser bem-sucedida do cliente e do controlador de domínio. Certifique-se de que o seguinte seja verdadeiro:
A verificação de revogação não está desativada.
A verificação de revogação para os provedores de revogação internos não pode ser desativada. Se um provedor de revogação instalável personalizado estiver instalado, ele deverá ser ativado.
Cada certificado de CA, exceto a CA raiz na cadeia de certificados, contém uma extensão CDP válida no certificado.
A CRL tem um campo Next Update e a CRL está atualizada. Você pode verificar se a CRL está online na CDP e é válida baixando-a do Internet Explorer. Você deve ser capaz de baixar e exibir a CRL de qualquer uma das CDPs HTTP (HyperText Transport Protocol) ou FTP (File Transfer Protocol) no Internet Explorer a partir das estações de trabalho de cartão inteligente e dos controladores de domínio.
Verifique se cada CDP HTTP e FTP exclusiva usada por um certificado em sua empresa está online e disponível.
Para verificar se uma CRL está online e disponível em uma CDP FTP ou HTTP:
- Para abrir o Certificado em questão, clique duas vezes no arquivo .cer ou clique duas vezes no certificado no repositório.
- Clique na guia Detalhes e selecione o campo Ponto de Distribuição de CRL.
- No painel inferior, realce o FTP completo ou HTTP Uniform Resource Locator (URL) e copie-o.
- Abra o Internet Explorer e cole a URL na barra de endereços.
- Ao receber o prompt, selecione a opção Abrir a CRL.
- Verifique se há um campo Próxima atualização na CRL e se o tempo no campo Próxima atualização não passou.
Para baixar ou verificar se uma CDP LDAP (Lightweight Directory Access Protocol) é válida, você deve escrever um script ou um aplicativo para baixar a CRL. Depois de baixar e abrir a CRL, verifique se há um campo Próxima atualização na CRL e se o tempo no campo Próxima atualização não passou.
Suporte
O Atendimento Microsoft não oferece suporte ao processo de logon de cartão inteligente de CA de terceiros se for determinado que um ou mais dos seguintes itens contribuem para o problema:
- Formato de certificado impróprio.
- O status do certificado ou o status de revogação não estão disponíveis na autoridade de certificação de terceiros.
- Problemas de registro de certificado de uma autoridade de certificação de terceiros.
- A autoridade de certificação de terceiros não pode publicar no Active Directory.
- Um CSP de terceiros.
Informações adicionais
O computador cliente verifica o certificado do controlador de domínio. Portanto, o computador local baixa uma CRL para o certificado do controlador de domínio no cache da CRL.
O processo de logon offline não envolve certificados, apenas credenciais armazenadas em cache.
Para forçar o repositório NTAuth a ser preenchido imediatamente em um computador local em vez de aguardar a próxima propagação da Diretiva de Grupo, execute o seguinte comando para iniciar uma atualização da Diretiva de Grupo:
dsstore.exe -pulse
Você também pode despejar as informações do cartão inteligente no Windows Server 2003 e no Windows XP usando o comando Certutil.exe -scinfo.