Para habilitar o login usando a autenticação por certificado, certificados raiz e intermediários devem ser carregados no Directories Management.

Os certificados são copiados para o armazenamento de certificados local no computador do usuário. Os certificados no armazenamento de certificados local estão disponíveis para todos os navegadores em execução no computador do usuário, com algumas exceções e, portanto, estão disponíveis para uma instância do Directories Management no navegador.

Para autenticação via cartão inteligente, quando um usuário inicia uma conexão com uma instância do Directories Management, o serviço Directories Management envia uma lista de autoridades de certificação (CA) confiáveis para o navegador. O navegador verifica a lista de CAs confiáveis com base nos certificados de usuário disponíveis, seleciona um certificado adequado e solicita que o usuário insira um PIN de cartão inteligente. Se vários certificados de usuário válidos estiverem disponíveis, o navegador solicitará que o usuário selecione um certificado.

Se um usuário não puder se autenticar, a CA raiz e a CA intermediária talvez não estejam configuradas corretamente, ou o serviço não foi reiniciado depois que as essas CAs foram carregadas no servidor. Nesses casos, o navegador não pode mostrar os certificados instalados, o usuário não pode selecionar o certificado correto, e a autenticação por certificado falha.