Вход SmatrCard в Windows Server 2008 R2 Enterprise

Я создал тестовый домен, ЦС и выпустил сертификат с этим ЦС. Еще у меня есть полнофункциональный CSP. Для входа в систему Windows предлагает смарт-карту в качестве опции входа. Однако, когда я вставляю карту, после нескольких секунд взаимодействия с картой я получаю сообщение «Действительные сертификаты не найдены». Я сделал домашнее задание, прочитав тонны документации MS и вообще все, что предлагал Google. Поскольку у меня больше нет вариантов, я пытаюсь здесь.

Добавлено после публикации: сертификат был создан на основе шаблона входа со смарт-картой.


authentication cryptography smartcard windows-server-2008 digital-certificate
person Community    schedule 17.02.2012    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Вот несколько вещей, которые я бы проверил:

  • сертификат аутентификации утверждает идентификатор входа в систему смарт-карты Windows в EKU.
  • сертификат аутентификации имеет UPN в альтернативном имени субъекта (не обязательно для Windows 7 / server 2008).
  • использование ключа сертификата аутентификации - это цифровая подпись.
  • на контроллере домена правильно установлена ​​цепочка сертификатов.

Как была выпущена карта?

* Последующие действия * Как сертификаты попали на карту? AFAIK, в Windows нет встроенного управления картами, поэтому необходима внешняя система управления картами для загрузки сертификатов на карту в любом апплете карты, который вы используете. Можете ли вы подробнее рассказать о карте, которую вы пытаетесь использовать?

* Дополнительная информация * Эта ссылка может показаться вам интересной; это для карт PIV, но те же идеи, вероятно, применимы и к вашей ситуации - в статье описывается установка тестовой лаборатории для смарт-карт. В частности, проверьте, какие сертификаты поступают в какие хранилища доверия. http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=9427

person emsworth    schedule 17.02.2012
comment
Сертификат содержит OID для аутентификации клиента (1.3.6.1.5.5.7.3.2) и для входа со смарт-картой (1.3.6.1.4.1.311.20.2.2). Альтернативное имя субъекта содержит: Другое имя: Имя участника = [email protected] (кстати, moose - это пользователь с правами администратора на mydomain.com). Использование ключа: цифровая подпись, шифрование ключа (a0). Что вы имеете в виду под тем, как была выпущена карта ?? - person ; 17.02.2012
comment
Концептуально, чего вы пытаетесь достичь? Я прочитал ваш вопрос как: выдача сертификата из тестового ЦС, загрузка сертификата на смарт-карту / токен и использование этой карты для двухфакторной аутентификации в вашем тестовом домене. Похоже, что вы выпустили сертификат, как вы планируете поместить этот сертификат на смарт-карту? Это может быть довольно специфичным для производителя. - person emsworth; 17.02.2012
comment
Сертификат и закрытый ключ находятся на карте. Эта часть истории решена. Я попытался удалить сертификат из хранилища сертификатов. Как только я вставляю карту, CSP обращается к ней. Одна из вещей, которые он запрашивает с карты, - это сертификат. Как только Windows получает сертификат, он снова сохраняется в хранилище сертификатов в разделе (Личные- ›Сертификаты). На карте всего один сертификат. - person ; 17.02.2012
comment
По идее, я хотел бы войти в Windows Server со смарт-картой. - person ; 17.02.2012
comment
Действительных сертификатов не найдено; могло ли случиться так, что сертификаты на карте были вне срока их действия (от даты вступления в силу до даты истечения срока действия)? Можно ли сгенерировать цепочку сертификатов к доверенному сертификату в хранилище сертификатов. - person Maarten Bodewes; 30.10.2012

arrow_upward
0
arrow_downward

Вы можете найти коммерческое программное обеспечение, автоматизирующее процесс привязки, но не бесплатное. Таким образом, вам не придется проверять тонны поддержки KB.

Вы можете взглянуть на эту демонстрацию (http://www.youtube.com/watch?v=OkMGXr-bls0), чтобы увидеть один из этих инструментов в действии.

person user1973764    schedule 13.01.2013