在 Windows 域控制器上使用 Yubikey 進行智能卡身份驗證以進行 Windows 登錄

我有一個 Yubikey 5 NFC，我正在嘗試在測試台上配置它以進行 Windows 登錄身份驗證。我似乎無法獲得註冊 Yubikey 的證書。我遵循了 Yubikey 智能卡部署指南，但似乎沒有按預期工作。

到目前為止，我有：

• 創建域控制器 (Windows Server 2012 R2) 並使用 Active Directory 和證書頒發機構對其進行配置
• 我創建了一個 Windows 10 工作站並將其連接到域控制器
• 為智能卡身份驗證配置的 CA
• 確認智能卡迷你驅動程序已正確安裝在 Windows 10 上
• 為自我註冊創建了智能卡登錄模板
• 發布模板並將其添加到 GPO“預設域策略”

當我以新使用者身份登錄 Windows 10 機器時，它會提示使用者配置證書。註冊證書嚮導創建證書並將其頒發給 MMC –> 控制台根目錄 –> 證書 - 目前使用者 –> 個人 –> 證書

它不要求提供 Yubikey PIN，它只是完成了設置嚮導。我似乎無法獲得前往 Yubikey 的證書。我嘗試了一種解決方法，即導出證書和私鑰，然後手動將其添加到 Yubikey 上的插槽中，但是當我將其插入 Windows 10 機器時，嘗試使用智能卡登錄時出現錯誤，提示“否在此智能卡上找到了有效的證書。請嘗試其他智能卡或聯繫您的管理員”。

任何幫助或指導將不勝感激！

您是否消除了Yubico 知識庫中故障排除“在此智能卡上未找到有效證書”一文中描述的三個潛在原因？

1. YubiKey 是使用其中一種 PIV 工具註冊的，並且電腦安裝了 YubiKey 智能卡 Minidriver v3.3。
2. 證書鏈不受信任。
3. 證書上的使用屬性不允許智能卡登錄。

引用自：https://serverfault.com/questions/952194