Главная » Linux

Windows logon with smart card

Содержание
  1. Интерактивный логотип: требовать смарт-карту — параметр политики безопасности Interactive logon: Require smart card — security policy setting
  2. Справочные материалы Reference
  3. Возможные значения Possible values
  4. Рекомендации Best practices
  5. Расположение Location
  6. Значения по умолчанию Default values
  7. Управление политикой Policy management
  8. Необходимость перезапуска Restart requirement
  9. Вопросы конфликтов политик Policy conflict considerations
  10. Групповая политика Group Policy
  11. Вопросы безопасности Security considerations
  12. Уязвимость Vulnerability
  13. Противодействие Countermeasure
  14. Возможное влияние Potential impact
  15. Interactive logon: Require smart card — security policy setting
  16. Reference
  17. Possible values
  18. Best practices
  19. Location
  20. Default values
  21. Policy management
  22. Restart requirement
  23. Policy conflict considerations
  24. Group Policy
  25. Security considerations
  26. Vulnerability
  27. Countermeasure
  28. Potential impact
  29. Рекомендации по включаемой проверке на использование смарт-карт в сторонних сертификационных органах
  30. Аннотация
  31. Дополнительные сведения
  32. Requirements
  33. Конфигурация Active Directory и контроллера домена
  34. Требования к сертификатам смарт-карт и рабочим станциям
  35. Инструкции по настройке конфигурации
  36. Возможные проблемы
  37. Проблемы с сертификатами и конфигурацией
  38. Проблемы при проверке отзыва
  39. Поддержка
  40. Дополнительные сведения

Интерактивный логотип: требовать смарт-карту — параметр политики безопасности Interactive logon: Require smart card — security policy setting

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности для интерактивного локала: требовать настройки политики безопасности смарт-карт. Describes the best practices, location, values, policy management, and security considerations for the Interactive logon: Require smart card security policy setting.

Чтобы применить эту политику, может потребоваться скачать шаблон ADMX для вашей версии Windows. You may need to download the ADMX template for your version of Windows to enable this policy to be applied.

Справочные материалы Reference

Интерактивный вход в систему: для настройки политики смарт-карт необходимо, чтобы пользователи входить на устройство с помощью смарт-карты. The Interactive logon: Require smart card policy setting requires users to log on to a device by using a smart card.

Требование использования пользователями длинных сложных паролей для проверки подлинности повышает безопасность сети, особенно если пользователям необходимо регулярно менять свои пароли. Requiring users to use long, complex passwords for authentication enhances network security, especially if the users must change their passwords regularly. Это требование снижает вероятность того, что злоумышленник сможет угадать пароль пользователя в результате атаки с помощью атак. This requirement reduces the chance that a malicious user will be able to guess a user’s password through a brute-force attack. Использование смарт-карт вместо паролей для проверки подлинности значительно повышает безопасность, так как в современных технологиях злоумышленнику практически невозможно представить другого пользователя. Using smart cards rather than passwords for authentication dramatically increases security because, with today’s technology, it is nearly impossible for a malicious user to impersonate another user. Смарт-карты, которым требуются пин-коды, обеспечивают двух факторовую проверку подлинности: пользователь, который пытается войти в систему, должен обладать смарт-картой и знать ее ПИН-код. Smart cards that require personal identification numbers (PINs) provide two-factor authentication: the user who attempts to log on must possess the smart card and know its PIN. Злоумышленнику, который захватывает трафик проверки подлинности между устройством пользователя и контроллером домена, будет трудно расшифровать трафик: даже в этом случае при следующем входе пользователя в сеть будет создан новый ключ сеанса для шифрования трафика между пользователем и контроллером домена. A malicious user who captures the authentication traffic between the user’s device and the domain controller will find it difficult to decrypt the traffic: even if they do, the next time the user logs on to the network, a new session key will be generated for encrypting traffic between the user and the domain controller.

Возможные значения Possible values

  • Enabled Enabled
  • Отключено Disabled
  • Не определено Not defined

Рекомендации Best practices

  • Настройка интерактивного входа: требовать включения смарт-карты. Set Interactive logon: Require smart card to Enabled. Всем пользователям придется использовать смарт-карты для входа в сеть. All users will have to use smart cards to log on to the network. Это требование означает, что организация должна иметь надежную инфраструктуру открытых ключей (PKI) и предоставлять смарт-карты и средства чтения смарт-карт для всех пользователей. This requirement means that the organization must have a reliable public key infrastructure (PKI) in place, and provide smart cards and smart card readers for all users.

Расположение Location

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Значения по умолчанию Default values

В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики по типу сервера или объекту групповой политики (GPO). The following table lists the actual and effective default values for this policy, by server type or Group Policy Object (GPO). Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO Значение по умолчанию Default value
Default Domain Policy Default Domain Policy Не определено Not defined
Политика контроллера домена по умолчанию Default Domain Controller Policy Не определено Not defined
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings Отключено Disabled
Эффективные параметры по умолчанию для DC DC Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings Отключено Disabled
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings Отключено Disabled

Управление политикой Policy management

В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.

Необходимость перезапуска Restart requirement

Нет. None. Изменения этой политики становятся эффективными без перезапуска устройства, если они сохраняются локально или распространяются посредством групповой политики. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Вопросы конфликтов политик Policy conflict considerations

Групповая политика Group Policy

Этот параметр политики можно настроить с помощью консоли управления групповыми политиками (GPMC) для распространения через GOS. This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through GPOs. Если эта политика не содержится в распределенном GPO, эту политику можно настроить на локальном компьютере с помощью оснастки «Локализованная политика безопасности». If this policy is not contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пользователям может быть трудно выбрать надежные пароли, и даже надежные пароли будут уязвимы для атак с помощью атак с атакой, когда у злоумышленника достаточно времени и вычислительных ресурсов. It can be difficult to make users choose strong passwords, and even strong passwords are vulnerable to brute-force attacks if an attacker has sufficient time and computing resources.

Противодействие Countermeasure

Для пользователей с доступом к компьютерам, которые содержат конфиденциальные данные, выдав пользователям смарт-карты и настроив интерактивный вход: «Требовать включения параметра смарт-карты». For users with access to computers that contain sensitive data, issue smart cards to users and configure the Interactive logon: Require smart card setting to Enabled.

Возможное влияние Potential impact

Все пользователи устройства с этим параметром должны использовать смарт-карты для локального входа. All users of a device with this setting enabled must use smart cards to log on locally. Поэтому организация должна иметь надежную инфраструктуру открытых ключей (PKI), а также смарт-карты и считыватели смарт-карт для этих пользователей. So the organization must have a reliable public key infrastructure (PKI) as well as smart cards and smart card readers for these users. Эти требования являются значительными задачами, так как для планирования и развертывания этих технологий требуются опыт и ресурсы. These requirements are significant challenges because expertise and resources are required to plan for and deploy these technologies. Службы сертификатов Active Directory (AD CS) можно использовать для реализации сертификатов и управления ими. Active Directory Certificate Services (AD CS) can be used to implement and manage certificates. Вы можете использовать автоматическую регистрацию пользователей и устройств, а также обновление на клиенте. You can use automatic user and device enrollment and renewal on the client.

Interactive logon: Require smart card — security policy setting

Applies to

Describes the best practices, location, values, policy management, and security considerations for the Interactive logon: Require smart card security policy setting.

You may need to download the ADMX template for your version of Windows to enable this policy to be applied.

Reference

The Interactive logon: Require smart card policy setting requires users to log on to a device by using a smart card.

Requiring users to use long, complex passwords for authentication enhances network security, especially if the users must change their passwords regularly. This requirement reduces the chance that a malicious user will be able to guess a user’s password through a brute-force attack. Using smart cards rather than passwords for authentication dramatically increases security because, with today’s technology, it is nearly impossible for a malicious user to impersonate another user. Smart cards that require personal identification numbers (PINs) provide two-factor authentication: the user who attempts to log on must possess the smart card and know its PIN. A malicious user who captures the authentication traffic between the user’s device and the domain controller will find it difficult to decrypt the traffic: even if they do, the next time the user logs on to the network, a new session key will be generated for encrypting traffic between the user and the domain controller.

Possible values

  • Enabled
  • Disabled
  • Not defined

Best practices

  • Set Interactive logon: Require smart card to Enabled. All users will have to use smart cards to log on to the network. This requirement means that the organization must have a reliable public key infrastructure (PKI) in place, and provide smart cards and smart card readers for all users.

Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Default values

The following table lists the actual and effective default values for this policy, by server type or Group Policy Object (GPO). Default values are also listed on the policy’s property page.

Server type or GPO Default value
Default Domain Policy Not defined
Default Domain Controller Policy Not defined
Stand-Alone Server Default Settings Disabled
DC Effective Default Settings Disabled
Member Server Effective Default Settings Disabled
Client Computer Effective Default Settings Disabled

Policy management

This section describes features and tools that are available to help you manage this policy.

Restart requirement

None. Changes to this policy become effective without a device restart when they are saved locally or distributed through Group Policy.

Policy conflict considerations

Group Policy

This policy setting can be configured by using the Group Policy Management Console (GPMC) to be distributed through GPOs. If this policy is not contained in a distributed GPO, this policy can be configured on the local computer by using the Local Security Policy snap-in.

Security considerations

This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Vulnerability

It can be difficult to make users choose strong passwords, and even strong passwords are vulnerable to brute-force attacks if an attacker has sufficient time and computing resources.

Countermeasure

For users with access to computers that contain sensitive data, issue smart cards to users and configure the Interactive logon: Require smart card setting to Enabled.

Potential impact

All users of a device with this setting enabled must use smart cards to log on locally. So the organization must have a reliable public key infrastructure (PKI) as well as smart cards and smart card readers for these users. These requirements are significant challenges because expertise and resources are required to plan for and deploy these technologies. Active Directory Certificate Services (ADВ CS) can be used to implement and manage certificates. You can use automatic user and device enrollment and renewal on the client.

Рекомендации по включаемой проверке на использование смарт-карт в сторонних сертификационных органах

В этой статье приводится ряд рекомендаций по включаемой проверке на доступ к смарт-картам в сторонних сертификационных органах.

Исходная версия продукта: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер КБ: 281245

Аннотация

Вы можете включить процесс для работы с смарт-картой с помощью Microsoft Windows 2000 и не от корпорации Майкрософт, следуя рекомендациям в этой статье. Ограниченная поддержка этой конфигурации описана далее в этой статье.

Дополнительные сведения

Requirements

Проверка подлинности смарт-карт в Active Directory требует правильной настройки рабочих станций Смарт-карт, Active Directory и контроллеров домена Active Directory. Active Directory должен доверять центрам сертификации для проверки подлинности пользователей на основе сертификатов из этого ЦС. Рабочие станции смарт-карт и контроллеры домена должны быть настроены правильно настроенными сертификатами.

Как и в случае любой реализации PKI, все стороны должны доверять корневому ЦС, которому цепочек выдающих ЦС. Как контроллеры домена, так и рабочие станции смарт-карт доверяют этому корню.

Конфигурация Active Directory и контроллера домена

  • Обязательно: у Active Directory должен быть сторонний ЦС в хранилище NTAuth для проверки подлинности пользователей в Active Directory.
  • Обязательно: контроллеры домена должны быть настроены с помощью сертификата контроллера домена для проверки подлинности пользователей смарт-карт.
  • Необязательно: Active Directory можно настроить для распространения стороннее корневого ЦС в хранилище доверенных корневых ЦС всех членов домена с помощью групповой политики.

Требования к сертификатам смарт-карт и рабочим станциям

  • Обязательно: должны быть выполнены все требования к смарт-картам, изложенные в разделе «Инструкции по настройке», включая форматирование текста полей. Если они не выполнены, проверка подлинности с смарт-картой не будет выполнены.
  • Обязательно: смарт-карта и закрытый ключ должны быть установлены на смарт-карту.

Инструкции по настройке конфигурации

Экспорт или скачивание стороного корневого сертификата. Получение корневого сертификата сторон зависит от поставщика. Сертификат должен быть в формате X.509 в коде Base64.

Добавьте сторонний корневой ЦС к доверенным корневым каталогам в объекте групповой политики Active Directory. Чтобы настроить групповую политику в домене Windows 2000 для распространения стороненного ЦС в надежное корневое хранилище всех компьютеров домена:

  1. Нажмите кнопку«Начните», выберите «Программы»,«Администрирование» и«Пользователи и компьютеры Active Directory».
  2. На левой области найдите домен, в котором применяется политика, которую необходимо изменить.
  3. Щелкните домен правой кнопкой мыши и выберите пункт Свойства.
  4. Перейдите на вкладку «Групповая политика».
  5. Щелкните объект групповой политики «Политика домена по умолчанию» и нажмите кнопку «Изменить». Откроется новое окно.
  6. В области слева разо расширении следующих элементов:
    • Конфигурация компьютера
    • Параметры Windows
    • Параметры безопасности
    • Политика открытых ключей
  7. Щелкните правой кнопкой мыши доверенные корневые органы сертификации.
  8. Выберите «Все задачи» и нажмите кнопку «Импорт».
  9. Следуйте инструкциям мастера, чтобы импортировать сертификат.
  10. Нажмите кнопку ОК.
  11. Закроем окно групповой политики.

Добавьте стороннее решение, выдавает ЦС, в хранилище NTAuth в Active Directory.

Сертификат для регистрации смарт-карты должен быть выдан ЦС, который находится в хранилище NTAuth. По умолчанию в хранилище NTAuth добавляются ЦС Microsoft Enterprise.

Если ЦС, выдавав сертификат для регистрации смарт-карты или контроллера домена, неправильно размещен в хранилище NTAuth, процесс регистрации смарт-карты не работает. Соответствующий ответ : «Не удается проверить учетные данные».

Хранилище NTAuth расположено в контейнере Configuration для леса. Например, пример расположения: LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com

По умолчанию это хранилище создается при установке корпоративного ЦС Майкрософт. Объект также можно создать вручную с помощью ADSIedit.msc в средствах поддержки Windows 2000 или с помощью LDIFDE. Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

295663. Импорт сертификатов сторонних ЦС в хранилище Enterprise NTAuth

Релевантным атрибутом является cACertificate, который является строкой октета, несколькими значениями списка сертификатов в коде ASN.

После того как вы поместите сторонний ЦС в хранилище NTAuth, доменная групповая политика помещает ключ реестра (отпечаток сертификата) в следующее расположение на всех компьютерах в домене:

Он обновляется каждые восемь часов на рабочих станциях (типичный интервал импульсной групповой политики).

Запрос и установка сертификата контроллера домена на контроллерах домена. Каждый контроллер домена, который будет проверку подлинности пользователей смарт-карт, должен иметь сертификат контроллера домена.

При установке центра сертификации Microsoft Enterprise в лесу Active Directory все контроллеры домена автоматически регистрируются на сертификат контроллера домена. Для получения дополнительных сведений о требованиях к сертификатам контроллера домена от стороннее ЦС щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

291010 Требования к сертификатам контроллера домена от стороне ЦС

Сертификат контроллера домена используется для проверки подлинности SSL, шифрования SMTP, подписи RPC и процесса регистрации смарт-карты. Использование ЦС от корпорации Майкрософт для выдачи сертификата контроллеру домена может привести к неожиданному поведению или неподтверждаемым результатам. Неправильно отформатированный сертификат или сертификат с отсутствующим именем субъекта может привести к тому, что эти или другие возможности перестанут отвечать.

Запрос сертификата смарт-карты в стороннее ЦС.

Регистрация сертификата от стороне ЦС, который соответствует заявленным требованиям. Способ регистрации зависит от поставщика ЦС.

Сертификат смарт-карты имеет определенные требования к формату:

  • Расположение точки распространения СПИСКА отзыва сертификатов (CDP) (где CRL является списком отзыва сертификатов) должно быть заполнено, в сети и доступно. Например:

[1] Точка распространения CRL
Имя точки распространения:
Полное имя:
URL= https://server1.name.com/CertEnroll/caname.crl

Использование ключа = цифровая подпись

Основные ограничения [Subject Type=End Entity, Path Length Constraint=None] (необязательно)

Расширенное использование ключей =

  • Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
    (OID проверки подлинности клиента) требуется только в том случае, если сертификат используется для проверки подлинности SSL.)
  • Для логотипа смарт-карты (1.3.6.1.4.1.311.20.2.2)

Альтернативное имя субъекта = другое имя: имя субъекта = (UPN). Например:
UPN = user1@name.com
UpN OtherName OID: «1.3.6.1.4.1.311.20.2.3»
Значение upN OtherName: должно быть строкой UTF8 в коде ASN1

Тема = различается имя пользователя. Это поле является обязательным расширением, но это поле является необязательным.

Существует два предопределяемого типа закрытых ключей. Эти ключи: Signature Only(AT_SIGNATURE) и Key Exchange(AT_KEYEXCHANGE). Сертификаты для логотипа смарт-карты должны иметь тип закрытого ключа Key Exchange (AT_KEYEXCHANGE) для правильной работы при регистрации смарт-карты.

Установите драйверы и программное обеспечение смарт-карт на рабочей станции смарт-карт.

Убедитесь, что на рабочей станции смарт-карт установлено соответствующее устройство чтения смарт-карт и программное обеспечение драйверов. Он зависит от поставщика считываемой смарт-карты.

Установите сторонний сертификат смарт-карты на рабочей станции смарт-карт.

Если смарт-карта еще не была поставлена в личное хранилище пользователя смарт-карты в процессе регистрации на шаге 4, необходимо импортировать сертификат в личное хранилище пользователя. Для этого:

Откройте консоль управления (MMC), которая содержит оснастку «Сертификаты».

В дереве консоли в области «Личные» щелкните «Сертификаты».

В меню «Все задачи» щелкните «Импорт», чтобы запустить мастер импорта сертификатов.

Щелкните файл, содержащий импортируемые сертификаты.

Если файл, содержащий сертификаты, является файлом обмена личной информацией (PKCS #12), введите пароль, который использовался для шифрования закрытого ключа, щелкните, чтобы выбрать соответствующий контроль, если вы хотите, чтобы закрытый ключ был экспортируемым, а затем включив надувную защиту закрытого ключа (если вы хотите использовать эту функцию).

Чтобы включить надувную защиту закрытого ключа, необходимо использовать режим просмотра логических хранилищ сертификатов.

Выберите параметр автоматического хранения сертификата в хранилище сертификатов на основе типа сертификата.

Установите сторонний сертификат смарт-карты на смарт-карту. Эта установка зависит от поставщика служб шифрования (CSP) и поставщика смарт-карт. Инструкции см. в документации поставщика.

Войдите на рабочей станции с помощью смарт-карты.

Возможные проблемы

Во время логотипа смарт-карты чаще всего встречается сообщение об ошибке:

Системе не удалось войти в систему. Не удалось проверить ваши учетные данные.

Это сообщение является общей ошибкой и может быть результатом одной или более проблем ниже.

Проблемы с сертификатами и конфигурацией

Контроллер домена не имеет сертификата контроллера домена.

Поле SubjAltName сертификата смарт-карты имеет плохое форматирование. Если информация в поле SubjAltName отображается как необработанные данные (hexadecimal / ASCII), форматирование текста не является ASN1 / UTF-8.

Контроллер домена имеет неправильно отформатированной или неполный сертификат.

Для каждого из следующих условий необходимо запросить новый действительный сертификат контроллера домена. Если срок действия действительного сертификата контроллера домена истек, вы можете обновить сертификат контроллера домена, но этот процесс сложнее, чем при запросе нового сертификата контроллера домена.

  • Срок действия сертификата контроллера домена истек.
  • Контроллер домена имеет неподтверченный сертификат. Если хранилище NTAuth не содержит сертификата ЦС, выдаваемого сертификатом контроллера домена, его необходимо добавить в хранилище NTAuth или получить сертификат DC от выдаваемого ЦС, сертификат которого находится в хранилище NTAuth.

Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому ЦС, которому цепочек сертификатов контроллера домена, необходимо настроить эти компьютеры для доверия корневому ЦС.

Смарт-карта имеет неподтверченный сертификат. Если хранилище NTAuth не содержит сертификат ЦС выдаваемого ЦС смарт-карты, его необходимо добавить в хранилище NTAuth или получить сертификат смарт-карты от выдаваемого ЦС, сертификат которого находится в хранилище NTAuth.

Если контроллеры домена или рабочие станции смарт-карт не доверяют корневому ЦС, которому цепочек сертификатов смарт-карт пользователя, необходимо настроить эти компьютеры для доверия корневому ЦС.

Сертификат смарт-карты не устанавливается в хранилище пользователя на рабочей станции. Сертификат, хранимый на смарт-карте, должен находиться на рабочей станции смарт-карты в профиле пользователя, который входит с помощью смарт-карты.

Закрытый ключ не нужно хранить в профиле пользователя на рабочей станции. Он необходим только для хранения в смарт-карточке.

Правильный сертификат смарт-карты или закрытый ключ не устанавливается на смарт-карту. Действительный сертификат смарт-карты должен быть установлен на смарт-карту с закрытым ключом, а сертификат должен соответствовать сертификату, хранямуся в профиле пользователя смарт-карты на рабочей станции смарт-карт.

Сертификат смарт-карты невозможно получить из считыватели смарт-карт. Это может быть проблемой с оборудованием для чтения смарт-карт или программой драйвера устройства чтения смарт-карт. Убедитесь, что вы можете использовать программное обеспечение поставщика средства чтения смарт-карт для просмотра сертификата и закрытого ключа смарт-карты.

Срок действия сертификата смарт-карты истек.

В расширении SubjAltName сертификата смарт-карты имя-имя пользователя не доступно.

Имя upN в поле SubjAltName сертификата смарт-карты имеет плохое форматирование. Если информация в SubjAltName отображается как необработанные данные hexadecimal / ASCII, форматирование текста не является ASN1 / UTF-8.

Смарт-карта имеет неправильно отформатированное или неполное сертификат. Для каждого из этих условий необходимо запросить новый действительный сертификат смарт-карты и установить его на смарт-карту и в профиль пользователя на рабочей станции смарт-карты. Сертификат смарт-карты должен соответствовать требованиям, описанным выше в этой статье, включая правильно отформатированные поля имени upN в поле SubjAltName.

Если срок действия действительного сертификата смарт-карты истек, вы также можете обновить сертификат смарт-карты, что сложнее, чем запрос нового сертификата смарт-карты.

Имя пользователя не определено в учетной записи пользователя Active Directory. Учетная запись пользователя в Active Directory должна иметь действительное имя-пользователя в свойстве userPrincipalName учетной записи пользователя Active Directory смарт-карты.

Имя пользователя-пользователя в сертификате не совпадает с иным и заданным в учетной записи пользователя Active Directory. Исправляя имя пользователя-пользователя смарт-карты в учетной записи пользователя Active Directory смарт-карты или повторно выдав сертификат смарт-карты, чтобы значение имени upN в поле SubjAltName совпадало с ИП в учетной записи пользователя Active Directory пользователей смарт-карт. Мы рекомендуем, чтобы имя участника-пользователя смарт-карты совпадает с атрибутом учетной записи пользователя userPrincipalName для сторонних ЦС. Тем не менее, если имя пользователя в сертификате является «неявным upN» учетной записи (формат), имя-имя пользователя не нужно явно соответствовать свойству samAccountName@domain_FQDN userPrincipalName.

Проблемы при проверке отзыва

Если не удается проверить отзыв, когда контроллер домена проверяет сертификат для регистрации смарт-карты, контроллер домена отказано в его регистрации. Контроллер домена может вернуть сообщение об ошибке, упомянутое выше, или следующее сообщение об ошибке:

Системе не удалось войти в систему. Сертификат смарт-карты, используемый для проверки подлинности, не является доверенным.

Не удается найти и скачать список отзыва сертификатов (CRL), недопустимый CRL, отозванный сертификат и состояние отзыва «неизвестно» считаются сбоями отзыва.

Проверка отзыва должна быть успешной как у клиента, так и у контроллера домена. Убедитесь, что верно следующее:

Проверка отзыва не отключена.

Невозможно отключить проверку отзыва для встроенных поставщиков отзыва. Если установлен настраиваемый устанавливаемый поставщик отзыва, он должен быть включен.

Каждый сертификат ЦС, кроме корневого ЦС в цепочке сертификатов, содержит допустимый расширение CDP в сертификате.

CrL имеет поле следующего обновления, а CRL обновлен. Вы можете проверить, что CRL находится в сети cdP и действителен, скачав его из Internet Explorer. Вы должны иметь возможность скачивать и просматривать CRL из любых CDP hyperText Transport Protocol (HTTP) или FTP в Internet Explorer как с рабочих станций смарт-карт, так и с контроллеров домена.

Убедитесь, что каждая уникальная CDP HTTP и FTP, используемая сертификатом на предприятии, доступна в сети и доступна.

Чтобы убедиться, что CRL доступен в сети и доступен из FTP или HTTP CDP:

  1. Чтобы открыть сертификат, дважды щелкните CER-файл или дважды щелкните сертификат в хранилище.
  2. Перейдите на вкладку «Сведения» и выберите поле точки распространения CRL.
  3. В нижней области выделите полный URL-адрес FTP или HTTP и скопируйте его.
  4. Откройте Internet Explorer и в paste the URL-адрес в адресной панели.
  5. При отобралении запроса выберите параметр «Открыть CRL».
  6. Убедитесь, что в CRL есть поле «Следующее обновление», а время в поле «Следующее обновление» не прошло.

Чтобы скачать или убедиться, что cdP LDAP действительна, необходимо написать сценарий или приложение для скачивания CRL. После загрузки и открытия CRL убедитесь, что в CRL есть поле «Следующее обновление», а время в поле «Следующее обновление» не прошло.

Поддержка

Службы поддержки продуктов Майкрософт не поддерживают процесс для сторонних ЦС, если определено, что в проблему вносится один или несколько из следующих элементов:

  • Неправильный формат сертификата.
  • Статус сертификата или статус отзыва не доступен в стороном ЦС.
  • Проблемы регистрации сертификатов от стороного ЦС.
  • Сторонний ЦС не может опубликовать данные в Active Directory.
  • Сторонний CSP.

Дополнительные сведения

Клиентский компьютер проверяет сертификат контроллера домена. Поэтому локальный компьютер загружает crL для сертификата контроллера домена в кэш CRL.

Процесс автономного входа не включает сертификаты, а только кэшные учетные данные.

Чтобы принудительно заполнить хранилище NTAuth на локальном компьютере вместо ожидания следующего распространения групповой политики, запустите следующую команду, чтобы инициировать обновление групповой политики:

Читайте также:  Msi theme windows 10
Оцените статью
© 2024 Советы по настройке компьютера