Para habilitar el inicio de sesión mediante la autenticación de certificado, se deben cargar los certificados raíz e intermedios en el de Directories Management.

Los certificados se copian en el almacén de certificados local del equipo del usuario. Los certificados del almacén de certificados local están disponibles en todos los navegadores que se ejecuten en el equipo del usuario, excepto en algunos casos, y por lo tanto están disponibles para una instancia de Directories Management en el navegador.

Para la autenticación de tarjeta inteligente, cuando un usuario inicia una conexión con la instancia de Directories Management, el servicio de Directories Management envía una lista de entidades de certificación (CA) de confianza al navegador. El navegador coteja la lista de CA de confianza con los certificados de usuario disponibles, selecciona uno adecuado y después solicita al usuario que proporcione un PIN de tarjeta inteligente. Si se dispone de varios certificados de usuario, el navegador solicita al usuario que seleccione uno.

Si un usuario no se puede autenticar, es posible que la CA raíz y las intermedias no estén configuradas correctamente, o bien que el servicio no se haya reiniciado después de que las CA raíz e intermedias se cargaran en el servidor. En estos casos, el navegador no puede mostrar los certificados instalados, el usuario no puede seleccionar el correcto y, por tanto, la autenticación de certificado genera un error.