Artigo: 271386 - Última revisão: terça-feira, 31 de Outubro de 2006 - Revisão: 3.1

COMO: Instalar um serviços de certificados autoridade de certificação raiz offline do Windows 2000

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo explica como configurar uma autoridade de certificação (AC) de raiz offline com uma AC subordinada online.

Numa AC hierarquia, todas as fidedignidades flui da raiz. Por este motivo, a AC de raiz é a AC mais importante na hierarquia. Se a AC de raiz estiver comprometida, todos os certificados na hierarquia também é comprometido. Pode maximizar a segurança da raiz manter a AC de raiz desligado da rede e utilizando as AC subordinadas para emitir certificados para outras AC subordinadas ou aos clientes.

Nota : para os passos descritos neste artigo, um servidor têm de ser designado como AC de raiz offline e outro servidor têm de ser designado como CDP online localização.

Para configurar a AC de raiz offline, instalar certificado serviços como uma AC de raiz autónoma. Uma raiz empresarial requer acesso ao Active Directory, que fica indisponível se o servidor está desligado da rede. Não deve instalar uma raiz de empresa num controlador de domínio offline.

NOTA: Para obter mais informações sobre como instalar os serviços de certificados do Windows 2000, consulte o "Instalar e configurar uma autoridade de certificação" tópico no ficheiro de ajuda do Windows 2000.

Voltar ao topo

Criar URL online

A AC de raiz publique periodicamente uma lista de revogação de certificados (CRL). Para todas as AC na cadeia de certificados de entidade final para a raiz da hierarquia para decidir se deve ou não confiar um determinado certificado os programas verificam as CRL. A localização da CRL é sempre incluída no certificado de um campo denominado ponto de distribuição de CRL (CDP). Neste caso, a AC de raiz na hierarquia é offline, para que o certificado de raiz deve ser modificado para incluir um CDP está acessível por utilizadores da rede.

Uma AC pode publicar o CRL numa partilha de ficheiro (File://), um URL (http://), web ou num directório (LIGHTWEIGHT Directory Access Protocol) (LDAP: / /). Para os clientes verificar a CRL para uma raiz offline, um ou mais URL online tem de ser configurado e colocada nos certificados emitidos pela AC.

Para o ficheiro: e HTTP: URL:, execute os seguintes passos:
  1. Seleccione um servidor de rede para ser a origem CDP online. Este servidor tem de ter serviços de informação Internet (IIS) activados.
  2. Crie uma pasta no servidor e partilhe-lo, activar os utilizadores tenham acesso de leitura.
  3. Adicione a pasta para o IIS, criando um directório virtual.
  4. Na raiz offline, copie o conteúdo da pasta %Systemroot%\System32\Certsrv\CertEnroll para uma disquete.
  5. Efectuar disquete para o servidor online e mova o conteúdo para a pasta previamente criada.
  6. Registe o caminho naming convention (UNC) universal para o ponto de partilha, bem como o URL de HTTP para o directório virtual do IIS.
Para o LDAP: URL, utilize o utilitário Resource Kit Dsstore.exe para publicar a CRL no Active Directory, efectuando os seguintes passos:
  1. Numa linha de comandos, alterar para o directório criado anteriormente. Já deve conter o ficheiro .CRL e .crt copiado de raiz offline.
  2. Para publicar a CRL, utilize o seguinte comando:
    dsstore DC = MyForestRoot, DC = com - addcrl MyCAsCRLFile.crl MyCAsName CAServerName
    NOTA: O nome distinto anterior (DN) é o domínio raiz da floresta, mesmo se a AC está instalada num servidor de um domínio subordinado. Além disso, o DN componente identificadores (DC =) tem de ser em maiúsculas. Finalmente, se qualquer um dos parâmetros contiver espaços, coloque-as entre aspas.
  3. Registar o LDAP: caminho devolvido pelo comando. Este caminho tem de ser adicionado ao CDP nos certificados emitidos pela AC offline nos passos seguintes.
  4. Para publicar o certificado de AC de raiz no Active Directory, utilize o seguinte comando:
    dsstore DC = MyForestRoot, DC = com - addroot MyCAsCRTFile.crt MyCAsName
    NOTA: O DN anterior é o domínio raiz da floresta, mesmo se a AC está instalada num servidor de um domínio subordinado. Além disso, os identificadores de componente DN (DC =) tem de ser em maiúsculas. Finalmente, se qualquer um dos parâmetros contiver espaços, coloque-as entre aspas.
  5. Registar o LDAP: caminho devolvido pelo comando. Este caminho tem de ser adicionado para acesso a informações de autoridade (AIA) nos certificados emitidos pela AC offline nos passos seguintes.

Voltar ao topo

Modificar a política da AC

Quando são criadas as localizações online, a política da AC tem de ser modificada para incluir os caminhos de novos para o CDP e AIA existentes em todas as futuros certificados emitidos.

Adicionar um CDP

Para adicionar um CDP o certificado da AC raiz, execute os seguintes passos:
  1. Determine o nome domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) da AC subordinada futura. Este é o nome completo do servidor o nome de domínio de serviço (DNS). Por exemplo, se Server2 está na zona Company.com no DNS, o FQDN para esse computador é Server2.Company.com.
  2. Na AC raiz, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em Autoridade de certificação .
  3. Clique com o botão direito do rato a AC de raiz e clique em Propriedades .
  4. Clique no separador ' Módulo de política e clique em Configurar .
  5. Clique no separador Extensões X.509 .
Na secção pontos de distribuição da CRL, três localizações estão listadas por predefinição, cada um é acessível através de diferentes protocolos: LDAP, HTTP ou SMB. Para adicionar uma localização de CDP no servidor online acessível por HTTP protocolo, execute os seguintes passos:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , escreva o seguinte
    http:// FQDN /VirtualDir/%CA_NAME%%CRL_SUFFIX%.crl
    em que FQDN é o nome de domínio totalmente qualificado do servidor online e VirtualDir é o directório virtual do IIS previamente criado. CA_NAME % e % CA_SUFFIX são parâmetros substituíveis utilizados pelos serviços de certificados e não devem ser modificados.

  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
Para adicionar uma localização de CDP no servidor online acessível por protocolo SMB, execute os seguintes passos:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , escreva o seguinte:
    File://\\ FQDN /FileShare/%CA_NAME%%CRL_SUFFIX%.crl
    Em que FQDN é o nome de domínio totalmente qualificado do servidor online e partilha de ficheiros é sharepoint criado anteriormente. CA_NAME % e % CA_SUFFIX são parâmetros substituíveis utilizados pelos serviços de certificados e não devem ser modificados.

  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
Para adicionar uma localização de CDP no Active Directory acessível por protocolo LDAP, execute os seguintes passos:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , escreva o caminho LDAP devolvido pelo utilitário Dsstore quando a CRL tinha sido publicada no Active Directory.
  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
As caixas de verificação junto aos caminhos apontando para a AC offline poderão ser eliminadas, mas as localizações não devem ser eliminadas. Os caminhos não verificados não estão incluídos nos certificados publicados.

Adicionar uma AIA

A secção AIA contém localizações onde o certificado da AC pode ser transferido, se necessário. Estas localizações também estão incluídas num campo nos certificados emitidos pela AC. Por conseguinte, pelo menos uma destes caminhos deve estar acessível a partir da rede.

Para adicionar uma localização de AIA no servidor online acessível através de HTTP, execute os seguintes passos:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , escreva o seguinte:
    http:// FQDN /VirtualDir/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt
    Em que FQDN é o nome de domínio totalmente qualificado do servidor online e VirtualDir é o directório virtual do IIS previamente criado. SERVER_DNS_NAME %, CA_NAME % CERT_SUFFIX % parâmetros substituíveis e não tem de ser modificado. O carácter de sublinhado entre SERVER_DNS_NAME % e % CA_NAME deve ser incluído.

  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
Para adicionar uma localização de AIA no servidor online acessível através de SMB, execute os seguintes passos:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , escreva o seguinte:
    File://\\ FQDN /FileShare/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt
    Em que FQDN é o nome de domínio totalmente qualificado do servidor online e partilha de ficheiros é sharepoint criado anteriormente. SERVER_DNS_NAME %, CA_NAME % CERT_SUFFIX % parâmetros substituíveis e não tem de ser modificado. O carácter de sublinhado entre SERVER_DNS_NAME % e % CA_NAME deve ser incluído.

  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
Para adicionar uma localização de AIA no Active Directory acessível por protocolo LDAP, siga estes passos:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , escreva o caminho LDAP devolvido pelo utilitário Dsstore quando o certificado da AC raiz tinha sido publicado no Active Directory.
  3. Verifique se a caixa de verificação junto a novo caminho está seleccionada.
As caixas de verificação junto aos caminhos apontando para a AC offline poderão ser eliminadas, mas as localizações não devem ser eliminadas. Os caminhos não verificados não estão incluídos nos certificados publicados.

Para concluir a modificação da política de AC, execute os seguintes passos:
  1. Clique em OK para aceitar os caminhos CDP e AIA existentes novos.
  2. Clique em OK para aceitar a mensagem informativa.
  3. Clique em OK .
  4. Pare e reinicie os serviços de certificados do Windows 2000.

Voltar ao topo

Configurar uma AC subordinada

Antes de instalar uma AC subordinada à AC de raiz offline, tem de instalar certificado da AC raiz no arquivo de raiz fidedigna no servidor. Para efectuar este procedimento, execute os seguintes passos:
  1. Clique em Iniciar , clique em Executar , escreva MMC e, em seguida, prima ENTER .
  2. Na consola de gestão Microsoft (MMC), clique em Consola de e, em seguida, clique em Adicionar/remover Snap-in .
  3. Clique em Adicionar .
  4. Na lista de snap-ins, clique em certificados e clique em Adicionar .
  5. Clique em Conta de computador e clique em seguinte .
  6. Clique em Computador Local e clique em Concluir .
  7. Clique em Fechar .
  8. Clique em OK .
  9. Faça duplo clique em certificados e clique em Autoridades de certificação de raiz fidedigna .
  10. Clique com o botão direito do rato na pasta de certificados , clique em Todas as tarefas e, em seguida, clique em Importar .
  11. Quando inicia o Assistente para importar certificados, clique em seguinte .
  12. Mapear uma letra de unidade para o sharepoint que contém copia a AC de raiz.
  13. Na caixa Ficheiros do tipo , clique em Certificados X.509 (*.cer, *.crt) e altere a unidade mapeada previamente criada.
  14. Clique em RootCA.crt ficheiro.
  15. Clique em seguinte .
  16. Clique em seguinte .
  17. Clique em Concluir .
O servidor está agora configurado para confiar em qualquer certificado emitido pela AC de raiz offline.

Em seguida, instale Serviços de certificados como uma subordinada autónoma ou de uma AC empresarial subordinada. Para passos detalhados sobre este procedimento, consulte os tópicos para instalar uma AC subordinada no ficheiro Ajuda do Windows 2000. Para aceder a estas informações no ficheiro de ajuda, clique no separador índice remissivo e escreva AC, instalar .

Se o novo subordinada AC é iniciado com êxito, os caminhos CDP e AIA existentes online tem sido criados com êxito.

Voltar ao topo

Manutenção de rotina

Clientes deverão agora conseguir aceder a CRL para a AC raiz. Por predefinição, serviços de certificados publica uma CRL todas as semanas. Cada nova CRL deve ser movido para a localização online e publicada no Active Directory. Falha ao efectuar este procedimento pode resultar numa cadeia quebrada quando expira a CRL anterior. Consulte os tópicos sobre a publicação de CRL no ficheiro de ajuda do Windows 2000 para obter informações sobre a configuração de publicação. Para aceder a estas informações no ficheiro de ajuda, clique no separador índice remissivo e escreva CRL, publicar .















Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP2
Voltar ao topo
Palavras-chave: 
kbmt kbenv kbhowtomaster KB271386 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271386  (http://support.microsoft.com/kb/271386/en-us/ )
Voltar ao topo