智慧卡登入依賴於使用者主體名稱 (UPN),因此,在 View 中使用智慧卡進行驗證之使用者和管理員的 Active Directory 帳戶都必須有一個有效的 UPN。

執行這項作業的原因和時機

如果智慧卡使用者所在的網域不同於核發根憑證的來源網域,則您必須將使用者的 UPN 設定為包含在信任的 CA 的根憑證中的主體別名 (SAN)。如果您的根憑證是從智慧卡使用者目前網域中的伺服器核發,則您不需要修改使用者的 UPN。

備註︰

即使憑證是從相同的網域核發,您可能還是必須為內建的 Active Directory 帳戶設定 UPN。包括 Administrator 在內的內建帳戶預設都沒有設定 UPN。

先決條件

  • 透過檢視憑證內容來取得包含在信任的 CA 的根憑證中的 SAN。

  • 如果您的 Active Directory 伺服器上沒有出現 ADSI Edit 公用程式,請從 Microsoft 網站下載並安裝適當的 Windows 支援工具。

程序

  1. 在 Active Directory 伺服器上,啟動 ADSI Edit 公用程式。
  2. 在左窗格中,展開使用者所在的網域,然後按兩下 CN=Users
  3. 在右窗格中,以滑鼠右鍵按一下使用者,然後按一下內容
  4. 按兩下 userPrincipalName 屬性,然後輸入信任的 CA 憑證的 SAN 值。
  5. 按一下確定來儲存屬性設定。