Início / server / Perguntas / 1162648
Accepted
Lalaman S
Asked: 2024-07-17 16:34:56 +0800 CST

O certificado de cartão inteligente usado para autenticação não era confiável - Windows Server

  • 772

Novo no teste de autenticação de cartão inteligente no ambiente de domínio do Windows

Segui o guia de Yubikey para permitir o uso de cartões inteligentes para login no servidor Windows. Também fiz a opção de autoinscrição para que os clientes possam se inscrever na opção de certificado de chave inteligente.

A princípio diz que o servidor de revogação estava offline (durante o cadastramento), porém, isso ocorre porque no meu CDP (CRL Distribution Point) não coloquei um endereço de servidor para que os clientes pudessem recuperar a lista crl. Depois de fazer isso (é acessível a partir de todos os clientes e pode ser baixado) e resolvível, isso me permitiu inscrever um certificado.

No entanto, quando tento fazer login novamente usando um cartão inteligente, aparece a mensagem "O certificado do cartão inteligente usado para autenticação não era confiável"

Verifiquei meus logs de eventos, especificamente segurança e CAPI2, mas nada corresponde ao login específico do cartão inteligente. Achei que precisava adicionar manualmente o certificado dos certificados emitidos aos certificados do computador e aos certificados do usuário, mas ainda assim não funcionou. Perdi algumas configurações ou algo assim?

#Edit 1 Estou usando uma hierarquia PKI de duas camadas. Usando aproximadamente este guia https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831348(v=ws.11)

windows

1 respostas

  1. Best Answer

    Fiz funcionar. A CA raiz offline deve ter um CDP configurado para que a CA subordinada tenha um CDP. Isso é necessário conforme indicado no site da Microsoft

    Cada certificado de CA, exceto a CA raiz na cadeia de certificados, contém uma extensão CDP válida no certificado.

    O que fiz foi adicionar um CDP na CA raiz que aponta para a pasta do servidor IIS da CA subordinada. Algo assimhttp://app1.test.local/pki/<CaName><CRLNameSuffix>.crl

    Em seguida, publiquei a CRL acessando certsrv>Certificado revogado>clique com o botão direito em Todas as tarefas>publicar. Em seguida, pego os arquivos CRL recém-publicados (dois deles) que por padrão devem estar localizados em C:\Windows\System32\CertSrv\CertEnroll e os transferi manualmente para a pasta pki da CA subordinada que está hospedada no IIS

    Então você pode manter sua CA raiz offline até a próxima atualização da CRL. Você poderá definir o próximo período de atualização da CRL por mais de um ano se sua autoridade de certificação subordinada não mudar.

    Obrigado @GregAskew e @garethTheRed pelo link. Foi útil.

    • 0

relate perguntas