スマート・カード/PIV 認証のトラブルシューティング

サブジェクトの別名または式の結果が、指定したOkta属性と一致することを確認します。メールまたはOktaユーザー名のいずれかにする必要があります。

発行者の証明書チェーン全体が正しい形式でアップロードされていることを確認します。PKI 証明書チェーンのフォーマットを参照してください。

ユーザーにアクティブ状態のアカウントがあることを確認します。パスワードのリセットはアクティブと見なされることに注意してください。ユーザー・アカウントのステータスについて。

キャッシュの問題を回避するため、常に最新のブラウザー・セッションを使用して開始してください。機能をテストする前に、すべてのブラウザー・ウィンドウを閉じます。

CRLエンドポイントのアクセシビリティをテストします。Oktaでは、PIVカード認証が機能するために、証明書失効リストの配布ポイントに永続的にアクセスする必要があります。このアクセス権は、エンド・ユーザーが提示している証明書が取り消されていないこと、期限切れでないこと、信頼できることをOktaが確認できるようにするために必要です。失効の確認は、PIV認証のセキュリティーを確保するための重要なプロセスです。通常、証明書失効リストはインターネット上で公開され、到達可能なHTTPの場所に投稿されますが、安全性の高い一部の環境では、失効エンドポイントが公開されていません。

CRLがOktaからアクセス可能な場所に投稿されていることを確認するには、次の手順を実行します。

1. クライアントのパブリックX.509証明書（.crlで終わる）から証明書失効リストのエンドポイントURLをコピーします。

2. CRLの エンドポイントURL をオフネットワーク・デバイスのブラウザーに貼り付けます。

3. CRLにアクセスできる場合は、.crlファイルが自動的にダウンロードされます。

4. URLが401エラーを返した場合、それは公開されていません。Oktaサービスでエンドポイントにアクセスできません。

詳細については、 Okta IPアドレス許可リストを参照してください。Okta IPがHTTP経由でCRL配布ポイントにアクセスできることを確認します。

失効の確認は、チェーン内のすべての証明書に対して行われます。PKIチェーンの中間証明書ごとに、このプロセスを繰り返す必要が生じる場合があります。

複数の証明書を使用している場合は、それらを1つのファイルにまとめてください。

1. 次のopensslコマンドを使用して、DERでエンコードされたルート証明書と中間証明書（拡張子が.cer、.crt）をPEMフォーマットに変換します：openssl x509 -inform der -in $input-cert-file-name -out $out-cert-file-name-with-pem-extension
2. 次のコマンドを使用して、すべてのPEM証明書を単一のファイルに連結します。ルート証明書は最後に来るようにします： cat $intermediate-cert-file-1 ... $intermediate-cert-file-N $root-cert-file-with-pem-extension > trust-chain.pem
3. スマート・カードIDプロバイダーの作成時にtrust-chain.pemをアップロードし、他のスマート・カードIDPが存在しないことを確認します。

ルート証明書が単一ファイル内の最後のPEM証明書になることを確認してください。