Makale numarası: 271386 - Son Gözden Geçirme: 31 Ekim 2006 Salı - Gözden geçirme: 3.1

NASıL YAPıLıR: Windows 2000 Sertifika Hizmetleri Çevrimdışı kök sertifika yetkilisi yükleme

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Bu makalede, bir çevrimdışı kök sertifika yetkilisi (CA) ile bir çevrimiçi sertifika CA'sı ayarlama yöntemi açıklanır.

Bir CA, hiyerarşi, tüm güvenleri kökünden akar. Bu nedenle, hiyerarşideki en önemli CA kök CA'sı var. Kök CA tehlikeye atıldığında, sonra her sertifika sıradüzeninde de tehlikeye. Kök CA'dan kök CA'YA, ağa bağlı bir saklama ve müşterilere veya diğer bağımlı CA'lara sertifika koşullu sertifika CA'ları kullanarak güvenliğini en üst düzeye.

Not: Bu makaledeki adımları, bir sunucu çevrimdışı kök CA'sı işaretlenmesi gerekir ve başka bir sunucu çevrimiçi olan CDP belirtilen konum.

Çevrimdışı kök CA'sı yapılandırmak için sertifikayı yüklemek için tek başına bir kök sertifika YETKILISI Services. Kuruluş kök, hangi sunucunun ağ bağlantısı kesildiyse kullanılamaz, Active Directory erişimi olması gerekir. Bir çevrimdışı etki alanı denetleyicisinde bir kuruluş kök yüklememelisiniz.

Not: Windows 2000 Sertifika Hizmetleri yükleme ile ilgili daha fazla bilgi için bkz: "Yükleme ve bir sertifika yetkilisini yapılandırma" konusuna Windows 2000 Yardım dosyası.

Üste

Online URL'leri oluşturma

Kök CA, sertifika iptal listesi düzenli olarak yayımlar (CRL). Program, son varlık sertifikaları hiyerarşinin belirli bir sertifikaya güvenip güvenmediğiniz kaydedilip kaydedilmeyeceğini karar köke zincirindeki tüm CA'lar için CRL denetleyin. CRL konumunu her zaman sertifika CRL dağıtım noktası (CDP) adlı bir alanda yer alır. Kök sertifika erişilebilen bir CDP eklemek için ağdaki kullanıcılar tarafından değiştirilmelidir bu durumda, hiyerarşide kök CA'sı çevrimdışı olduğundan.

Bir sertifika YETKILISI kendi CRL yayımlayabilirsiniz, bir dosya paylaşımına (FILE://) bir web URL'SI (HTTP://) veya Basit Dizin Erişim Protokolü (LDAP) dizin (LDAP: / /). CRL'NIN çevrimdışı bir kök için denetlenecek istemcileri için bir veya daha çok çevrimiçi URL'leri olmalı yapılandırılmış ve CA tarafından verilen sertifikalarda yerleştirilir.

Dosya: ve HTTP: URL:, aşağıdaki adımları gerçekleştirin:
  1. Çevrimiçi CDP kaynağı olarak bir ağ sunucusunu seçin. Bu sunucu, ınternet ınformation Services (IIS) etkinleştirilmiş olmalıdır.
  2. Sunucuda bir klasör oluşturun ve kullanıcılara okuma erişimi etkinleştirme, paylaştırın.
  3. Klasör, ııS'E sanal bir dizin oluşturarak ekleyin.
  4. Çevrimdışı kök %Systemroot%\System32\Certsrv\CertEnroll klasörünün içeriğini bir diskete kopyalayın.
  5. Çevrimiçi bir sunucuya disketi alır ve içeriği, önceden oluşturduğunuz klasöre taşınır.
  6. HTTP URL için IIS sanal dizininde yanı sıra, paylaşım noktası Evrensel Adlandırma Kuralı (UNC) yolunu not alın.
LDAP için: URL, aşağıdaki adımları uygulayarak, etkin dizin için CRL'YI yayımlamak için Kaynak Seti'nde Dsstore.exe yardımcı programını kullanın:
  1. Komut isteminde, önceden oluşturduğunuz dizine değiştirin. Bunu zaten çevrimdışı kökünden kopyalanan .crl ve .crt dosya adı içermelidir.
  2. CRL'YI yayımlamak için aşağıdaki komutu kullanın:
    dsstore DC MyForestRoot, DC = com - addcrl MyCAsCRLFile.crl MyCAsName CAServerName =
    Not: CA, bir alt etki alanındaki bir sunucuda yüklü olsa bile önceki ayırt edici ad (DN) ormanın kök etki alanı olur. Ayrıca, DN bileşeni tanımlayıcılarının (DC =) büyük harf gerekir. Son olarak, tüm parametrelerin boşluk içeriyorsa, bunları tırnak içine alın.
  3. LDAP kayıt: komutu tarafından döndürülen yol. Bu yol, aşağıdaki adımlar, çevrimdışı bir CA tarafından verilen sertifikalarda CDP eklenmesi gerekir.
  4. CA kök sertifikasını Active Directory'ye yayımlamak için aşağıdaki komutu kullanın:
    dsstore DC MyForestRoot, DC = com - addroot MyCAsCRTFile.crt MyCAsName =
    Not: CA, bir alt etki alanındaki bir sunucuda yüklü olsa bile önceki DN ormanın kök etki alanı olur. Ayrıca, DN bileşeni tanımlayıcılarının (DC =) büyük harf gerekir. Son olarak, tüm parametrelerin boşluk içeriyorsa, bunları tırnak içine alın.
  5. LDAP kayıt: komutu tarafından döndürülen yol. Bu yol, aşağıdaki adımlar, çevrimdışı bir CA tarafından verilen sertifikalarda yetki bilgisi erişimi'için (AIA) eklenmesi gerekir.

Üste

CA ilke değiştirme

Çevrimiçi konumları oluşturulduğunda, CA ilke verilen tüm gelecekteki sertifikalarda CDP ve AıA'için yeni yollar eklemek için değiştirilmesi gerekir.

Bir CDP ekleme

Kök CA sertifikasına bir CDP eklemek için aşağıdaki adımları gerçekleştirin:
  1. Gelecekteki sertifika CA'sının tam olarak nitelenmiş etki alanı adını (FQDN) olarak belirleyin. Bu tam etki alanı adı sunucu adıdır hizmeti (DNS). Server2Company.com DNS bölgesinde, bu bilgisayar için FQDN Server2.Company.com ise.
  2. Kök CA'DA, Başlat ' ı tıklatın, Programlar ' ın üzerine gelin, Yönetimsel Araçlar ' ın üzerine gelin ve Sertifika yetkilisi</a1>'ı tıklatın.
  3. Kök CA'ı sağ tıklatın ve Özellikler ' i tıklatın.
  4. Ilke modülü sekmesini tıklatın ve sonra Yapılandır ' ı tıklatın.
  5. X.509 Uzantıları</a0> sekmesini tıklatın.
CRL dağıtım noktaları</a0> bölümünde, varsayılan olarak üç konumu listelenir, her farklı iletişim kuralları tarafından erişilebilir: LDAP, HTTP veya SMB. HTTP ile erişilebilir çevrimiçi sunucu üzerindeki bir CDP konum eklemek için iletişim kuralı, aşağıdaki adımları gerçekleştirin:
  1. CDP Ekle ' yi tıklatın.
  2. URL Ekle iletişim kutusunda, aşağıdakileri yazın.
    http:// FQDN /VirtualDir/%CA_NAME%%CRL_SUFFIX%.crl
    Burada çevrimiçi sunucusunun tam etki alanı adı FQDN, VirtualDir önceden oluşturulmuş IIS sanal dizinidir. CA_NAME % ve % CA_SUFFIX değiştirilebilir parametreler, Sertifika Hizmetleri tarafından kullanılan ve değiştirilmemesi gerekir.

  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
CDP konum erişilebilir çevrimiçi sunucuda SMB iletişim kuralına göre eklemek için aşağıdaki adımları gerçekleştirin:
  1. CDP Ekle ' yi tıklatın.
  2. URL Ekle iletişim kutusunda, aşağıdakileri yazın:
    FQDN /FileShare/%CA_NAME%%CRL_SUFFIX%.crl File://\\
    Burada FQDN çevrimiçi sunucusunun tam etki alanı adını ve dosya paylaşımına önceden oluşturulan sharepoint. CA_NAME % ve % CA_SUFFIX değiştirilebilir parametreler, Sertifika Hizmetleri tarafından kullanılan ve değiştirilmemesi gerekir.

  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
CDP konumu, LDAP iletişim kuralı tarafından erişilebilir Active Directory'de eklemek için aşağıdaki adımları gerçekleştirin:
  1. CDP Ekle ' yi tıklatın.
  2. URL Ekle iletişim kutusunda, Dsstore yardımcı programı tarafından döndürülmesine CRL'YI Active Directory'de yayımlanmış LDAP yolunu yazın.
  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
Çevrimdışı CA'YA gösteren yollar yanındaki onay kutularını temizlendi, ancak konumları silinmemesi. Yayımlanmış sertifikalar denetlenmeyen yolları eklenir.

Bir AIA ekleme

AIA Bu bölüm, gerekirse CA'ın sertifikasını yere yüklenebilir, konumlar içerir. Bu konumları, CA tarafından verilen sertifikalara alanında de bulunmaktadır. Bu nedenle, bu yollar en az bir ağ üzerinden erişebilmesi gerekir.

Bir AIA konum HTTP ile erişilebilir çevrimiçi sunucuda eklemek için aşağıdaki adımları gerçekleştirin:
  1. AIA Ekle ' yi tıklatın.
  2. AIA Ekle iletişim kutusunda, aşağıdakileri yazın:
    http:// FQDN /VirtualDir/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt
    Burada çevrimiçi sunucusunun tam etki alanı adı FQDN, VirtualDir önceden oluşturulmuş IIS sanal dizinidir. % SERVER_DNS_NAME CA_NAME % ve % CERT_SUFFIX değiştirilebilir parametreler ve değiştirilmemesi gerekir. Alt çizgi SERVER_DNS_NAME % ve % CA_NAME arasında dahil edilmelidir.

  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
Bir AIA konumu, SMB aracılığıyla erişilebilir çevrimiçi sunucuda eklemek için aşağıdaki adımları gerçekleştirin:
  1. AIA Ekle ' yi tıklatın.
  2. AIA Ekle iletişim kutusunda, aşağıdakileri yazın:
    FQDN /FileShare/%SERVER_DNS_NAME%_%CA_NAME%%CERT_SUFFIX%.crt File://\\
    Burada FQDN çevrimiçi sunucusunun tam etki alanı adını ve dosya paylaşımına önceden oluşturulan sharepoint. % SERVER_DNS_NAME CA_NAME % ve % CERT_SUFFIX değiştirilebilir parametreler ve değiştirilmemesi gerekir. Alt çizgi SERVER_DNS_NAME % ve % CA_NAME arasında dahil edilmelidir.

  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
Bir AIA konumu, LDAP iletişim kuralı tarafından erişilebilir Active Directory'de eklemek için aşağıdaki adımları izleyin:
  1. AIA Ekle ' yi tıklatın.
  2. AIA Ekle iletişim kutusunda, kök CA'ın sertifikasını Active Directory'de yayımlanmış, Dsstore yardımcı programı tarafından döndürülen LDAP yolunu yazın.
  3. Yeni yol yanındaki onay kutusunun seçili olduğunu doğrulayın.
Çevrimdışı CA'YA gösteren yollar yanındaki onay kutularını temizlendi, ancak konumları silinmemesi gerekir. Yayımlanmış sertifikalar denetlenmeyen yolları eklenir.

CA ilke değişikliği tamamlamak için <a0></a0>, aşağıdaki adımları gerçekleştirin:
  1. Yeni CDP ve AIA yolları kabul etmek için Tamam ' ı tıklatın.
  2. Bilgi iletisi kabul etmek için Tamam ' ı tıklatın.
  3. Tamam ' ı tıklatın.
  4. Durdurun ve Windows 2000 Sertifika Hizmetleri yeniden başlatın.

Üste

Bir yan CA'yı yapılandırma

Çevrimdışı kök CA'sı için CA bağımlı bir yüklemeden önce sunucudaki <a1>Güvenilen kök</a1> depoya kök CA'ın sertifikası yüklemeniz gerekir. Bunu yapmak için aşağıdaki adımları gerçekleştirin:
  1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, MMC yazın ve ENTER tuşuna basın.
  2. Microsoft Yönetim Konsolu'nu (MMC) Konsolu ' nu tıklatın ve sonra da ek bileşen Ekle/Kaldır'ı tıklatın.
  3. Ekle ' yi tıklatın.
  4. Ek bileşenler listesinde, Sertifikalar ' ı tıklatın ve sonra Ekle ' yi tıklatın.
  5. Bilgisayar hesabı ' nı tıklatın ve sonra ileri ' yi tıklatın.
  6. Yerel bilgisayar ' ı tıklatın ve son ' u tıklatın.
  7. Kapat ' ı tıklatın.
  8. Tamam ' ı tıklatın.
  9. Sertifikalar ' ı çift tıklatın ve Güvenilen kök sertifika yetkilileri</a1>'ı tıklatın.
  10. Sertifikalar klasörünü sağ tıklatın, Tüm görevler ' i tıklatın ve Al ' ı tıklatın.
  11. Sertifika Alma Sihirbazı) başladığında, ileri ' yi tıklatın.
  12. <a1>Map</a1> sharepoint içeren bir sürücü harfi, kök CA'SıNıN kopyalamıştır.
  13. Dosya türü kutusunda X.509 Sertifikaları (*.cer, *.crt)'ı tıklatın ve sonra Eşlenen sürücüye önceden oluşturulmuş değiştirin.
  14. RootCA.crt tıklatın dosya.
  15. Ileri ' yi tıklatın.
  16. Ileri ' yi tıklatın.
  17. Son ' u tıklatın.
Sunucu, artık çevrimdışı kök CA tarafından verilen her sertifikaya güvenip güvenmediğiniz için yapılandırıldı.

Sonra Sertifika Hizmetleri'nin tek başına bir bağımlı veya sertifika bir kuruluş CA'sı olarak yükleyin. Bu yordam hakkında daha ayrıntılı adımlar için Windows 2000 Yardım dosyasında bir sertifika CA'sı yükleme konularına bakın. Yardım dosyası, bu bilgilere erişmek için <a0></a0>, türü ve dizin sekmesini tıklatın... CA'lar, yükleme.

CA başladığında yeni başarıyla bağımlı, çevrimiçi CDP ve AIA yolları başarıyla oluşturuldu.

Üste

Günlük Bakım

Istemciler artık kök CA'NıN CRL açabilmelisiniz. Varsayılan olarak, Sertifika Hizmetleri, her hafta bir CRL yayımlar. Her yeni CRL çevrimiçi bir konuma taşıdım ve Active Directory'de yayımlanmış gerekir. Bunu yapmak için hata, bozuk bir zincirdeki önceki CRL'NIN süresi dolduğunda neden olabilir. Yayın'ı yapılandırma hakkında bilgi için Windows 2000 Yardım dosyasına CRL yayımı ile ilgili konular bakın. Yardım dosyası, bu bilgilere erişmek için <a0></a0>, dizin sekmesini tıklatın ve CRL'ler, yayımlama yazın.















Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server SP2
  • Microsoft Windows 2000 Advanced Server SP2
Üste
Anahtar Kelimeler: 
kbmt kbenv kbhowtomaster KB271386 KbMttr
Üste
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:271386  (http://support.microsoft.com/kb/271386/en-us/ )
Üste