ID do artigo: 271386 - Última revisão: terça-feira, 31 de outubro de 2006 - Revisão: 3.1

COMO: Instalar um serviços de certificados do Windows 2000 CA raiz offline

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

Este artigo explica como configurar uma autoridade de certificação (CA) raiz off-line com uma autoridade de certificação subordinada on-line.

Em uma autoridade de certificação hierarquia, todas as confianças flui da raiz. Por esse motivo, a CA raiz é a autoridade de certificação mais importante na hierarquia de. Se a CA raiz for comprometida, todos os certificados na hierarquia também é comprometido. Você pode maximizar a segurança da raiz, manter a CA raiz desconectada da rede e usando autoridades de certificação subordinadas para emitir certificados para outras autoridades de certificação subordinadas ou para os clientes.

Observação : para as etapas neste artigo, um servidor deve ser designado como a CA raiz offline e outro servidor deve ser designado como o CDP on-line local.

Para configurar a CA raiz offline, instalar certificado Services como uma autoridade de certificação raiz autônoma. Uma raiz corporativa exige acesso ao Active Directory, que não estará disponível se o servidor está desconectado da rede. Você não deve instalar uma raiz corporativa em um controlador de domínio off-line.

Observação: Para obter mais informações sobre instalando os serviços de certificados do Windows 2000, consulte o "Instalando e configurando uma autoridade de certificação" tópico no arquivo de Ajuda do Windows 2000.

Voltar para o início

Criando URLs online

A CA raiz periodicamente publica uma lista de certificados revogados (CRL). Programas verificam as CRLs de todas as CAs da cadeia de certificados de entidade final para a raiz da hierarquia para decidir se deve ou não confiar em um determinado certificado. O local da CRL é sempre incluído no certificado em um campo denominado o CDP (ponto de distribuição de CRL). Nesse caso, a CA raiz na hierarquia é off-line, para que o certificado raiz deve ser modificado para incluir um CDP que seja acessível pelos usuários na rede.

Uma autoridade de certificação pode publicar a CRL para um compartilhamento de arquivo (File://), uma URL (http://), web ou em um diretório (LIGHTWEIGHT Directory Access Protocol) (LDAP: / /). Para clientes verificar a CRL de uma raiz offline, uma ou mais URLs on-line devem ser configurados e colocados em certificados emitidos pela autoridade de certificação.

Para o arquivo: e HTTP: URLs:, execute as seguintes etapas:
  1. Selecione um servidor de rede para ser a origem CDP on-line. Este servidor deve ter Internet Information Services (IIS) ativado.
  2. Crie uma pasta no servidor e compartilhá-lo fora, permitindo que os usuários têm acesso de leitura.
  3. Adicione a pasta para o IIS, criando um diretório virtual.
  4. Na raiz off-line, copie o conteúdo da pasta %Systemroot%\System32\Certsrv\CertEnroll para um disquete.
  5. Coloque o disquete para o servidor on-line e mova o conteúdo para a pasta criada anteriormente.
  6. Registre o caminho convenção universal de nomenclatura (UNC) para o ponto de compartilhamento, bem como a URL de HTTP para o diretório virtual do IIS.
Para o LDAP: URL, use o utilitário Dsstore.exe do Resource Kit para publicar a CRL para o Active Directory, executando as seguintes etapas:
  1. Em um prompt de comando, altere para o diretório criado anteriormente. Ele já deve conter o arquivo .CRL e .crt copiado de raiz offline.
  2. Para publicar a CRL, use o seguinte comando:
    dsstore DC = MyForestRoot, DC = com - addcrl MyCAsCRLFile.crl MyCAsName CAServerName
    Observação: O anterior nome distinto (DN) é o domínio raiz da floresta, mesmo se a autoridade de certificação estiver instalada em um servidor em um domínio filho. Além disso, o DN identificadores de componente (DC =) deve estar em letras maiúsculas. Finalmente, se qualquer um dos parâmetros contiver espaços, coloque-as entre aspas.
  3. Registrar o LDAP: caminho retornado pelo comando. Esse caminho precisa ser adicionado ao CDP de certificados emitidos pela autoridade de certificação off-line nas etapas a seguir.
  4. Para publicar o certificado de raiz de autoridades de certificação para o Active Directory, use o comando a seguir:
    dsstore DC = MyForestRoot, DC = com - addroot MyCAsCRTFile.crt MyCAsName
    Observação: O DN anterior é o domínio raiz da floresta, mesmo se a autoridade de certificação estiver instalada em um servidor em um domínio filho. Além disso, os identificadores de componente DN (DC =) deve estar em letras maiúsculas. Finalmente, se qualquer um dos parâmetros contiver espaços, coloque-as entre aspas.
  5. Registrar o LDAP: caminho retornado pelo comando. Esse caminho precisa ser adicionado para AIA (acesso a informações da autoridade) em certificados emitidos pela autoridade de certificação off-line nas etapas a seguir.

Voltar para o início

Modificar a diretiva de autoridade de certificação

Quando os locais on-line são criados, a diretiva de autoridade de certificação deve ser modificada para incluir novos caminhos de CDP e AIA em todos os certificados futuros que são emitidos.

Adicionando um CDP

Para adicionar um CDP ao certificado da CA raiz, execute as seguintes etapas:
  1. Determine o nome domínio totalmente qualificado (FQDN) da futura autoridade de certificação subordinada. Este é o nome completo do servidor no nome do domínio (DNS). Por exemplo, se for Server2 na zona Company.com no DNS, o FQDN do computador é Server2.Company.com.
  2. Na CA raiz, clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e clique em Autoridade de certificação .
  3. Clique a CA raiz com o botão direito do mouse e clique em Propriedades .
  4. Clique na guia Módulo de diretiva e clique em Configurar .
  5. Clique na guia Extensões X.509 .
Na seção pontos de distribuição da CRL, os três locais estão listados por padrão, cada um é acessível por protocolos diferentes: LDAP, HTTP ou SMB. Para adicionar um local CDP no servidor online acessível por HTTP de protocolo, execute as seguintes etapas:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , digite o seguinte
    http:// FQDN /VirtualDir/%CA_NAME%%CRL_SUFFIX%.crl
    onde FQDN é o nome de domínio totalmente qualificado do servidor online e VirtualDir é o diretório virtual IIS criado anteriormente. CA_NAME % e % CA_SUFFIX % são parâmetros substituíveis usados pelos serviços de certificados e não devem ser modificados.

  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
Para adicionar um local CDP no servidor online acessível pelo protocolo SMB, execute as seguintes etapas:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , digite o seguinte:
    File://\\ FQDN /FileShare/%CA_NAME%%CRL_SUFFIX%.crl
    Onde FQDN é o nome de domínio totalmente qualificado do servidor online e FileShare é sharepoint criado anteriormente. CA_NAME % e % CA_SUFFIX % são parâmetros substituíveis usados pelos serviços de certificados e não devem ser modificados.

  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
Para adicionar um local CDP no Active Directory acessível pelo protocolo LDAP, execute as seguintes etapas:
  1. Clique em Adicionar CDP .
  2. Na caixa de diálogo Adicionar URL , digite o caminho LDAP retornado pelo utilitário Dsstore quando a lista tivesse sido publicada no Active Directory.
  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
As caixas de seleção ao lado dos caminhos apontando para a autoridade de certificação off-line pode ser limpo, mas os locais não devem ser excluídos. Os caminhos não-verificados não são incluídos nos certificados publicados.

Adicionando uma AIA

A seção AIA contém locais onde o certificado da autoridade de certificação pode ser baixado, se necessário. Esses locais também estão incluídos em um campo de certificados emitidos pela autoridade de certificação. Portanto, pelo menos um desses caminhos deve ser acessível da rede.

Para adicionar um local AIA no servidor on-line podem ser acessado por meio de HTTP, execute as seguintes etapas:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , digite o seguinte:
    http:// FQDN /VirtualDir/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt
    Onde FQDN é o nome de domínio totalmente qualificado do servidor online e VirtualDir é o diretório virtual IIS criado anteriormente. SERVER_DNS_NAME %, CA_NAME % e % CERT_SUFFIX % são parâmetros substituíveis e não devem ser modificados. O sublinhado entre SERVER_DNS_NAME % e % CA_NAME % deve ser incluído.

  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
Para adicionar um local AIA no servidor on-line podem ser acessado por meio de SMB, execute as seguintes etapas:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , digite o seguinte:
    File://\\ FQDN /FileShare/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt
    Onde FQDN é o nome de domínio totalmente qualificado do servidor online e FileShare é sharepoint criado anteriormente. SERVER_DNS_NAME %, CA_NAME % e % CERT_SUFFIX % são parâmetros substituíveis e não devem ser modificados. O sublinhado entre SERVER_DNS_NAME % e % CA_NAME % deve ser incluído.

  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
Para adicionar um local AIA no Active Directory acessível pelo protocolo LDAP, execute estas etapas:
  1. Clique em Adicionar AIA .
  2. Na caixa de diálogo Adicionar AIA , digite o caminho LDAP retornado pelo utilitário Dsstore quando o certificado da autoridade de certificação raiz tinha sido publicado do Active Directory.
  3. Verifique se que a caixa de seleção ao lado de novo caminho está marcada.
As caixas de seleção ao lado dos caminhos apontando para a autoridade de certificação off-line pode ser limpo, mas os locais não devem ser excluídos. Os caminhos não-verificados não são incluídos nos certificados publicados.

Para concluir a modificação da diretiva de autoridade de certificação, execute as seguintes etapas:
  1. Clique em OK para aceitar os caminhos CDP e AIA novos.
  2. Clique em OK para aceitar a mensagem informativa.
  3. Clique em OK .
  4. Pare e reinicie os serviços de certificados do Windows 2000.

Voltar para o início

Configurando uma autoridade de certificação subordinada

Antes de instalar uma autoridade de certificação subordinada para a CA raiz off-line, você deve instalar certificado da autoridade de certificação raiz no armazenamento raiz confiável no servidor. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite MMC e, em seguida, pressione ENTER .
  2. No console de gerenciamento Microsoft (MMC), clique em console e clique em Adicionar/remover Snap-in .
  3. Clique em Adicionar .
  4. Na lista de snap-ins, clique em certificados e clique em Adicionar .
  5. Clique em Conta de computador e clique em Avançar .
  6. Clique em Computador Local e clique em Concluir .
  7. Clique em Fechar .
  8. Clique em OK .
  9. Clique duas vezes em certificados e, em seguida, clique em Autoridades de certificação raiz confiáveis .
  10. Clique com o botão direito na pasta certificados , clique em Todas as tarefas e, em seguida, clique em Importar .
  11. Quando o Assistente para importação de certificados iniciar, clique em Avançar .
  12. Mapear uma letra de unidade para o sharepoint que contém é copiado da autoridade de certificação raiz.
  13. Na caixa Arquivos do tipo , clique em Certificados X.509 (*.cer, *.crt) e, em seguida, altere para a unidade mapeada criada anteriormente.
  14. Clique em RootCA.crt arquivo.
  15. Clique em Avançar .
  16. Clique em Avançar .
  17. Clique em Concluir .
O servidor agora é configurado para confiar em qualquer certificado emitido pela autoridade de certificação raiz off-line.

Instale em seguida, os serviços de certificado como uma subordinada autônoma ou uma autoridade de certificação subordinada. Para obter etapas detalhadas sobre este procedimento, consulte os tópicos para instalar uma autoridade de certificação subordinada no arquivo Ajuda do Windows 2000. Para acessar essas informações no arquivo de Ajuda, clique na guia índice e digite autoridades de certificação, instalando .

Se o novo subordinadas início de autoridade de certificação com êxito, os caminhos CDP e AIA on-line foram criados com êxito.

Voltar para o início

Manutenção de rotina

Os clientes agora devem conseguir acessar a CRL para a CA raiz. Por padrão, serviços de certificados publica uma CRL a cada semana. Cada nova lista deve ser movida para o local on-line e publicada no Active Directory. Falha ao fazer isso pode resultar em uma cadeia interrompida quando a CRL anterior expira. Consulte os tópicos sobre publicação de CRL no arquivo de Ajuda do Windows 2000 para obter mais informações sobre a configuração publicação. Para acessar essas informações no arquivo de Ajuda, clique na guia índice e digite CRLs, publicação .















Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP2
Voltar para o início
Palavras-chave: 
kbmt kbenv kbhowtomaster KB271386 KbMtpt
Voltar para o início
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 271386  (http://support.microsoft.com/kb/271386/en-us/ )
Voltar para o início