我的林中的域控制器运行良好(正如故事通常所发生的那样)。
然后,突然间,我无法使用智能卡登录。相反,我看到了以下消息:
系统无法让您登录。无法确定用于智能卡身份验证的域控制器证书的吊销状态。
我真的不知道这里发生了什么。为了快速解决问题,我从客户端和 DC 的 CA 中删除了颁发智能卡证书的根证书。然后从相关 DC 导入了新导出的证书。同样的问题。
我在微软论坛和 HP 支持文档中发现了许多相关文章。每篇文章都没有提供太多帮助,因为显然它们只是一条通用错误消息。
话虽如此,其他智能卡(由其他 DC 发行)工作正常。所以我不知道这个有什么问题。
答案1
当您看到该特定错误消息时,这意味着您登录的工作站无法访问颁发 DC 证书的 CA 的 CRL。您需要确保为 DC 证书发布的 CRL 可访问且有效。
我正在寻找一些链接发送给您,以进一步充实该问题,并会在找到它们后编辑答案。
编辑- 以下是一些有用的链接:
CAC 登录疑难解答- 这是迄今为止我发现的最权威的智能卡登录错误消息及其修复列表。
为什么 Kerberos 智能卡登录需要公钥证书、私钥和证书颁发机构 (CA)?- 智能卡登录和 PKI 交互的最简洁概述。