ID Artikel: 271386 - Kajian Terakhir: 22 September 2011 - Revisi: 2.0

BAGAIMANA untuk: Instal Windows 2000 sertifikat layanan Offline akar sertifikat otoritas

Tampil berdampinganKlik disini untuk menampilkan sumber Inggris dan terjemahan oleh mesin secara berdampingan
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Tips SistemThis article applies to a different operating system than the one you are using. Article content that may not be relevant to you is disabled.

Pada Halaman ini

Perbesar semua | Perkecil semua

RINGKASAN

Artikel ini menjelaskan cara mengatur akar offline sertifikasi authority (CA) dengan CA bawahan online.

Di CA hirarki, semua percaya mengalir dari akar. Untuk alasan ini, akar CA adalah CA terpenting dalam hirarki. Jika akar CA terganggu, maka setiap sertifikat dalam hirarki juga dikompromikan. Anda dapat memaksimalkan keamanan root dengan menjaga akar CA terputus dari jaringan dan menggunakan Subordinate CAs untuk masalah sertifikat CAs lain bawahan atau pelanggan.

CATATAN: Untuk langkah-langkah di artikel ini, satu server harus ditetapkan sebagai akar offline CA, dan server lain harus ditetapkan sebagai online CDP yang baru.

Untuk mengkonfigurasi akar offline CA, menginstal sertifikat Layanan sebagai root berdiri sendiri CA. Akar perusahaan memerlukan akses ke Active Directory yang tidak tersedia jika server terputus dari jaringan. Anda tidak harus menginstal perusahaan akar pada offline domain controller.

CATATAN: Untuk informasi lebih lanjut tentang instalasi Windows 2000 sertifikat Layanan, lihat "Menginstal dan mengkonfigurasi sertifikasi authority" topik dalam berkas Bantuan Windows 2000.

Kembali ke atas

Menciptakan URL Online

Akar CA secara berkala menerbitkan daftar pencabutan sertifikat (CRL). Program memeriksa CRL semua CAs dalam rantai sertifikat dari entitas akhir ke akar hirarki untuk memutuskan apakah atau tidak untuk mempercayai sertifikat tertentu. Lokasi CRL selalu termasuk dalam sertifikat di lapangan disebut CRL distribusi titik (CDP). Dalam hal ini kasus, akar CA dalam hirarki sedang offline, sehingga akar sertifikat harus diubah untuk mencakup CDP yang dapat diakses oleh pengguna di jaringan.

CA dapat mempublikasikan CRL yang berbagi file (FILE://), web URL (HTTP://), atau di Lightweight Directory Access Protocol (LDAP) direktori (LDAP: / /). Untuk klien untuk memeriksa CRL untuk akar offline, satu atau lebih online URL harus dikonfigurasi dan ditempatkan dalam sertifikat yang dikeluarkan oleh CA.

Untuk BERKAS: dan HTTP: URL:, lakukan langkah-langkah berikut:
  1. Pilih jaringan server harus online CDP sumber. Ini server harus memiliki Internet Information Services (IIS) diaktifkan.
  2. Membuat folder pada server dan berbagi keluar, memungkinkan pengguna memiliki akses baca.
  3. Menambahkan folder ke IIS dengan menciptakan virtual direktori.
  4. Pada akar offline, menyalin isi %SystemRoot%\System32\Certsrv\CertEnroll folder ke disket.
  5. Ambil floppy disk ke online server dan memindahkan isi ke folder yang dibuat sebelumnya.
  6. Merekam universal penamaan Konvensi (UNC) jalan untuk berbagi titik, serta HTTP URL untuk direktori virtual IIS.
Untuk LDAP: URL, menggunakan utilitas Resource Kit Dsstore.exe untuk mempublikasikan CRL ke Active Directory, dengan melakukan langkah-langkah berikut:
  1. Pada prompt perintah, mengubah ke direktori sebelumnya dibuat. Itu harus berisi .crl dan .crt berkas disalin dari offline akar.
  2. Untuk mempublikasikan CRL, gunakan perintah berikut:
    dsstore DC = MyForestRoot, DC = com - addcrl MyCAsCRLFile.crl MyCAsName CAServerName
    CATATAN: Nama dibedakan sebelumnya (DN) adalah domain akar hutan, bahkan jika CA diinstal pada sebuah server di domain anak. Juga, DN komponen pengidentifikasi (DC =) harus dikapitalisasi. Akhirnya, jika salah parameter berisi spasi, sertakan mereka dalam tanda kutip.
  3. Merekam LDAP: jalan kembali oleh perintah. Jalan ini perlu ditambahkan untuk CDP dalam sertifikat yang dikeluarkan oleh CA offline di langkah-langkah berikut.
  4. Untuk menerbitkan sertifikat root CAs untuk aktif Direktori, gunakan perintah berikut:
    dsstore DC = MyForestRoot, DC = com - addroot MyCAsCRTFile.crt MyCAsName
    CATATAN: DN sebelumnya adalah domain akar di hutan, bahkan jika CA diinstal pada sebuah server di domain anak. Juga, DN komponen pengidentifikasi (DC =) harus dikapitalisasi. Akhirnya, jika salah satu dari parameter berisi spasi, menyertakan mereka dalam tanda kutip.
  5. Merekam LDAP: jalan kembali oleh perintah. Jalan ini perlu ditambahkan ke otoritas informasi akses (AIA) dalam sertifikat dikeluarkan oleh CA offline dalam langkah-langkah berikut.

Kembali ke atas

Memodifikasi kebijakan CA

Ketika online lokasi dibuat, CA kebijakan harus diubah untuk mencakup jalan baru untuk CDP dan AIA di semua masa depan sertifikat yang dikeluarkan.

Menambahkan CDP

Untuk menambah CDP sertifikat root CA, melakukan berikut langkah-langkah:
  1. Menentukan fully qualified domain name (FQDN) masa depan CA bawahan. Ini adalah nama server dalam Nama Domain Service (DNS). Sebagai contoh, jika Server2 dalamCompany.com Zona DNS, FQDN untuk komputer adalah Server2.Company.com.
  2. Pada akar CA, klik Mulai, arahkan ke Program, arahkan ke Alat administratif, lalu klik Otoritas sertifikat.
  3. Klik kanan akar CA dan klik Properti.
  4. Klik Kebijakan modul tab dan klik Mengkonfigurasi.
  5. Klik X.509 ekstensi tab.
Di bagian CRL distribusi poin, tiga lokasi yang terdaftar secara default, masing-masing dapat diakses oleh protokol yang berbeda: LDAP, HTTP, atau SMB. Menambah lokasi CDP pada online server yang dapat diakses oleh HTTP protokol, lakukan langkah-langkah berikut:
  1. Klik Tambahkan CDP.
  2. Dalam Tambahkan URL kotak dialog, ketik berikut
    http://FQDN/VirtualDir/%CA_NAME%%CRL_SUFFIX%.CRL
    di mana FQDN sepenuhnya memenuhi syarat nama domain online server dan VirtualDir adalah direktori virtual IIS sebelumnya dibuat. % CA_NAME % dan CA_SUFFIX % yang diganti parameter yang digunakan oleh sertifikat layanan dan tidak harus diubah.

  3. Pastikan kotak centang di samping jalur baru dipilih.
Menambah lokasi CDP pada server online yang dapat diakses oleh SMB protokol, lakukan langkah-langkah berikut:
  1. Klik Tambahkan CDP.
  2. Dalam Tambahkan URL kotak dialog, ketik berikut ini:
    file://\\FQDN/FileShare/%CA_NAME%%CRL_SUFFIX%.CRL
    Di mana FQDN sepenuhnya memenuhi syarat nama domain online server dan FileShare adalah sharepoint sebelumnya dibuat. % CA_NAME % dan CA_SUFFIX % yang diganti parameter yang digunakan oleh Sertifikat layanan dan tidak harus diubah.

  3. Pastikan kotak centang di samping jalur baru dipilih.
Menambah lokasi CDP dalam Active Directory yang dapat diakses oleh LDAP protokol, lakukan langkah-langkah berikut:
  1. Klik Tambahkan CDP.
  2. Dalam Tambahkan URL kotak dialog, ketik lintasan LDAP kembali oleh utilitas Dsstore Ketika CRL telah diterbitkan ke Active Directory.
  3. Pastikan kotak centang di samping jalur baru dipilih.
Kotak centang di samping jalan yang menunjuk ke offline CA dapat dihapus, tapi lokasi tidak dapat dihapus. Jalan dicentang tidak termasuk dalam sertifikat yang diterbitkan.

Menambahkan AIA

Bagian AIA berisi lokasi di mana dapat sertifikat CA Download, jika diperlukan. Lokasi ini juga termasuk dalam sebuah field di sertifikat yang dikeluarkan oleh CA. Oleh karena itu, setidaknya salah satu jalur ini harus dapat diakses dari jaringan.

Untuk menambah lokasi AIA online Server dapat diakses oleh cara dari HTTP, lakukan langkah-langkah berikut:
  1. Klik Tambahkan AIA.
  2. Dalam Tambahkan AIA kotak dialog, ketik berikut ini:
    http://FQDN/VirtualDir/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.CRT
    Di mana FQDN sepenuhnya memenuhi syarat nama domain online server dan VirtualDir adalah direktori virtual IIS sebelumnya dibuat. % SERVER_DNS_NAME %, CA_NAME % dan CERT_SUFFIX % parameter diganti dan harus tidak dapat diubah. Garis bawah antara % SERVER_DNS_NAME % dan CA_NAME % harus disertakan.

  3. Pastikan kotak centang di samping jalur baru dipilih.
Untuk menambahkan AIA lokasi pada server online dapat diakses dengan cara dari SMB, lakukan langkah-langkah berikut:
  1. Klik Tambahkan AIA.
  2. Dalam Tambahkan AIA kotak dialog, ketik berikut ini:
    file://\\FQDN/FileShare/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.CRT
    Di mana FQDN sepenuhnya memenuhi syarat nama domain online server dan FileShare adalah sharepoint sebelumnya dibuat. % SERVER_DNS_NAME %, CA_NAME % dan CERT_SUFFIX % yang diganti parameter dan tidak harus diubah. Garis bawah antara % SERVER_DNS_NAME % dan CA_NAME % harus disertakan.

  3. Pastikan kotak centang di samping jalur baru dipilih.
Menambah lokasi AIA di Active Directory yang dapat diakses oleh LDAP protokol, ikuti langkah berikut:
  1. Klik Tambahkan AIA.
  2. Dalam Tambahkan AIA kotak dialog, ketik lintasan LDAP kembali oleh utilitas Dsstore Ketika sertifikat root CA telah diterbitkan untuk aktif Direktori.
  3. Pastikan kotak centang di samping jalur baru dipilih.
Kotak centang di samping jalan yang menunjuk ke offline CA dapat dihapus, tapi lokasi tidak dapat dihapus. Jalur dicentang tidak termasuk dalam sertifikat yang diterbitkan.

Untuk menyelesaikan modifikasi kebijakan CA, lakukan langkah-langkah berikut:
  1. Klik Oke untuk menerima baru jalan CDP dan AIA.
  2. Klik Oke untuk menerima pesan informasi.
  3. Klik Oke.
  4. Berhenti dan restart Windows 2000 sertifikat Layanan.

Kembali ke atas

Mengkonfigurasi CA bawahan

Sebelum Anda menginstal CA bawahan akar offline CA, Anda harus menginstal sertifikat root CA ke toko terpercaya akar pada server. Untuk melakukannya, lakukan langkah-langkah berikut:
  1. Klik Mulai, klik Menjalankan, jenis MMC, kemudian tekan MASUKKAN.
  2. Di konsol manajemen Microsoft (MMC), klik Konsol, lalu klik Tambah/Hapus Snap-in.
  3. Klik Tambahkan.
  4. Dalam daftar snap-in, klik Sertifikat dan klik Tambahkan.
  5. Klik Account komputer dan klik Berikutnya.
  6. Klik Komputer lokal dan klik Menyelesaikan.
  7. Klik Tutup.
  8. Klik Oke.
  9. Klik dua kali Sertifikat, lalu klik Otoritas sertifikat terpercaya Root.
  10. Klik kanan Sertifikat folder, klik Semua tugas, lalu klik Impor.
  11. Ketika Wisaya impor sertifikat dimulai, klik Berikutnya.
  12. Memetakan huruf pengandar ke sharepoint mengandung disalin dari akar CA.
  13. Dalam Tipe file kotak, klik Sertifikat X.509 (*.cer, *.crt), dan kemudian mengubah untuk pengandar yang dipetakan sebelumnya dibuat.
  14. Klik RootCA.crtfile.
  15. Klik Berikutnya.
  16. Klik Berikutnya.
  17. Klik Menyelesaikan.
Server sekarang dikonfigurasi untuk mempercayai sertifikat yang dikeluarkan oleh akar offline CA.

Selanjutnya, menginstal sertifikat layanan baik sebagai bawahan berdiri sendiri atau perusahaan bawahan CA. Untuk langkah-langkah rinci pada prosedur ini, merujuk pada topik untuk menginstal CA bawahan di Berkas Bantuan Windows 2000. Untuk mengakses informasi ini dalam berkas Bantuan, klik Indeks tab dan jenis CAs, menginstal.

Jika baru subordinate CA mulai berhasil, online CDP dan AIA jalan memiliki telah berhasil dibuat.

Kembali ke atas

Pemeliharaan rutin

Klien sekarang harus mampu mengakses CRL untuk akar CA. Oleh default, sertifikat layanan menerbitkan CRL setiap minggu. Setiap CRL baru harus pindah ke lokasi online dan dipublikasikan ke Active Directory. Kegagalan untuk melakukan Hal ini dapat mengakibatkan rantai yang patah ketika CRL sebelumnya berakhir. Lihat topik mengenai CRL publikasi dalam berkas Bantuan Windows 2000 untuk informasi mengkonfigurasi publikasi. Untuk mengakses informasi ini dalam berkas Bantuan, klik Indeks tab dan jenis CRL, penerbitan.















Kembali ke atas
Kata kunci: 
kbenv kbhowtomaster kbmt KB271386 KbMtid
Kembali ke atas
Penerjemahan MesinPenerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:271386  (http://support.microsoft.com/kb/271386/en-us/ )
Kembali ke atas