Výrobců certifikační úřad podpora systému souborů EFS

Překlady článku Překlady článku
ID článku: 273856 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak se systémem Windows 2000 podporuje výrobců certifikační úřady (CÚ), který vydávat certifikáty (ENCRYPTING File System) a certifikátů agenta obnovení EFS.

Přehled

Tento článek je rozdělen do následujících dvou částech:
  • Stručné vysvětlení EFS a jeho použití infrastruktury veřejných klíčů.
  • Způsob, ve kterém výrobců CÚ je povoleno vystavovat certifikáty pro použití podle EFS pro šifrování souborů a obnovení.

Další informace

Přehled EFS a infrastruktury veřejných klíčů

EFS je řešení v systému Windows 2000 pro šifrování souborů na svazcích systému souborů NTFS. EFS používá funkce prvek architektura a funkce infrastrukturu veřejného klíče v systému Windows 2000.

Zápis certifikátu

Během operace šifrování EFS používá aktuální certifikát EFS. Pokud jeden není k dispozici, vyhledá EFS osobní úložiště pro příslušný certifikát. Pokud EFS nelze nalézt aktuální certifikát, který zápisem zapsán pro certifikát EFS. Online ÚŘADU Windows 2000, který podporuje šablony EFS mohou vystavovat certifikát EFS. Certifikát podepsaný sám sebou generováno EFS Pokud jej nelze zapsat certifikát s certifikačního ÚŘADU online Windows 2000 nebo pokud nepoužíváte účet domény.

Po EFS zvolí certifikát, nemůžete změnit prostřednictvím uživatelského rozhraní systému. Navíc EFS není automaticky přepnout certifikáty při lepší jeden k dispozici (například při EFS používá vlastní certifikát podepsaný sám sebou a zápis pro certifikát EFS z certifikačního ÚŘADU online Windows 2000).

Změnit certifikát EFS používá dvěma způsoby:
  • Chcete-li nastavit nový certifikát EFS, použijte SetUserFileEncryptionKey API, která je popsána podle Microsoft Developer Network (MSDN). EFS spustí okamžitě pomocí nového certifikátu.
  • Změna hash certifikátu, který je uložen v následujícím klíči registru pole Miniatura nového certifikátu:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Hodnota: CertificateHash
    Typ: REG_BINARY
    Data: Miniatura nového certifikátu
EFS očekává klíče certifikátu EFS být uloženy v Microsoft Base Rivest-Shamir-Adelman (RSABase) prvek Service Provider (CSP). Atribut Info klíče na certifikátu by měl přejděte k tomuto ZPROSTŘEDKOVATELI. Vyhledá v úložišti certifikátů MY, která obsahuje certifikáty a soukromé klíče EFS.

Soubor šifrování a dešifrování dat

EFS používá náhodně generován symetrický klíč k šifrování dat souborů. Nový klíč generován pro každý soubor je zašifrován. Algoritmus šifrování dat, která je použita je DESX (silnější verze systému Data Encryption Standard). Mohou být nakonfigurovány žádné algoritmy.

Symetrický šifrovací klíč je pak zašifrován pomocí veřejného klíče odvozené z certifikátu EFS. Výsledný zašifrovaná data, zobrazované jméno a hash certifikátu je uložen v pojmenované datového proudu v souboru, který obsahuje EFS metadata. Při EFS dešifruje souboru, používá soukromý klíč k dešifrování symetrický šifrovací klíč. Symetrický klíč EFS potom použije k dešifrování dat.

K zašifrování souboru na síťovém serveru, načte EFS profilu v síti, pokud máte cestovní profily. Pokud máte cestovní profily, EFS očekává najít certifikát a klíče na serveru a pokouší se generovat do profilu.

Při kopírování souboru EFS prostřednictvím sítě je dešifrovány a v síti odesláno jako prostý text. Ochrana souborů, kdy jsou v tranzitní síti, použijte zabezpečení IP.

Obnovení certifikátu EFS

Při vypršení certifikátu EFS EFS provádí obnovení podle zápis pro nový certifikát s nové dvojice klíčů. EFS, sebe, není aktuální certifikát obnovit při jeho platnost vyprší.

Pokud obnovení certifikátu EFS a archivovat starý certifikát před jeho platnost vyprší EFS nadále používat starý certifikát, dokud jeho platnost vyprší. EFS pak prochází stejný proces zápisu najít nový certifikát v úložišti nebo získat nový, pokud nelze najít platný certifikát. Při hledáte nový certifikát používat, můžete načítat EFS certifikátu je odlišné od jedné získané prostřednictvím obnovení, pokud existuje více než jeden certifikát EFS v úložišti.

Po použití nového certifikátu spustí EFS, pokud zpracovává soubor, který byl dříve zašifrované pomocí jiný certifikát, obnoví metadata použít nový certifikát EFS.

Kontrola odvolání

EFS neprovádí kontroly odvolání.

Agenta obnovení EFS

Agenti obnovení EFS můžete použít k dešifrování zašifrovaného souboru, pokud uživatel, který soubor zašifroval, ponechá vaší společnosti. Můžete zapsat pro certifikátů agenta obnovení EFS pomocí šablony Obnovení EFS na Windows 2000 CÚ.

Můžete nastavit certifikátů agenta obnovení EFS v zásadě domény globální pro všechny uživatele v doméně. Tyto certifikáty lze nastavit také pro všechny uživatele v místním počítači zásady místního počítače. Pokud existují obě zásady, globální zásady přednost.

Otevřete Průvodce přidáním agenta obnovení, klepněte na tlačítko Zásady skupiny, klepněte na položku Zásady veřejných klíčů a klepněte na tlačítko Agenti obnovení zašifrovaných dat. Tento průvodce pomůže určit certifikátů agenta obnovení. Klepněte na tlačítko Procházet složky a potom klepněte na soubor certifikátu přímo importovat jako certifikát agenta obnovení. Certifikát je importována s zápis agenta obnovení neznámé uživatele. To nastane pro libovolný certifikát CÚ výrobců, které určíte jako certifikát agenta obnovení.

Pokud certifikát publikovat v adresáři uživatele (které dojde, pokud zapsat proti online Windows 2000 ÚŘAD pro certifikát agenta obnovení EFS pro uživatele), můžete použít Průvodce přímo importovat uživatele jako agenta obnovení. Procházet adresář a vyberte uživatele, který chcete určit jako agenta obnovení.

Během šifrování souborů symetrický šifrovací klíč také zašifrovány veřejný klíč agenta obnovení a informace uložené v pojmenované proudu obsahující EFS metadata. Obnovení zašifrovaného souboru EFS dešifrovat symetrický šifrovací klíč EFS, který používá soukromý klíč agenta obnovení potom použije k dešifrování dat.

Pravidla pro vytváření a používání platný EFS a agenta obnovení EFS CÚ výrobců certifikáty

Certifikáty EFS

Pravidla pro tvořící certifikátu jsou:
  • Rozšíření použití klíče v certifikátu musí obsahovat zakódování klíče a data zakódování.
  • Rozšíření rozšířeného použití klíče v certifikátu musí obsahovat identifikátor systém souborů (1.3.6.1.4.1.311.10.3.4).
  • Během používání je třeba uložit klíče Microsoft RSABase CSP.
  • Vlastnost Info klíče v certifikátu musí odkazovat na tento klíč.
Obsahovat právo KeyUsage a EnhancedKeyUsage hodnoty může mít přizpůsobit výrobců certifikační úřady vystavovat certifikáty, které obsahují správné hodnoty.

Zápis certifikátů EFS pomocí produkty jiných výrobců dvěma způsoby:
  • Zápis, který je nezávislý Architecture prvek Microsoft může poskytnout výrobců CÚ. Třetí strany musí v tomto případě exportovat certifikát a soukromý klíč, který je přidružený k certifikátu, do souboru, který lze importovat do profilu pomocí Správce certifikátů, modul snap-in. Klíče jsou importovány do Microsoft RSABase CSP a Informace klíčů vlastnost nastavena na tomuto ZPROSTŘEDKOVATELI.
  • CÚ výrobců může poskytnout webového zápisu proceduru, která používá ovládací prvek Microsoft XEnroll pro klienty k zápisu pro certifikáty. Pomocí této metody zápisu klíče jsou automaticky uloženy v Microsoft RSABase CSP a nastavte vlastnost Info klíče.
Po zápis certifikátu nebo po obnovení certifikátu, který musí informovat EFS o změně Pokud jej byl dříve použit libovolný certifikát. Máte možnost nastavit volání SetUserFileEncryptionKey ukazuje na nový certifikát. Pokud certifikát je vytvořen před jakoukoli operaci EFS, nemají nastavit volání SetUserFileEncryptionKey. EFS vyhledá nový certifikát v úložišti osobních certifikátů a nastaví ji jako výchozí certifikát.

Certifikáty EFS pro obnovení

Pravidla pro tvořící certifikátu jsou:
  • Použití klíče = zakódování klíče
  • EKU = souboru Recovery(1.3.6.1.4.1.311.10.3.4.1)
Jak je uvedeno v části "Certifikát EFS" výrobců CÚ může poskytnout klienty s webové stránky pro zápis k zápisu pro certifikáty nebo výrobců CÚ může exportovat certifikát a přidružený soukromý klíč do souboru, který lze importovat do klienta Microsoft.

Po vytvoření, certifikát lze importovat pomocí Průvodce agenta obnovení.

Během obnovení souborů je nutné certifikát pro obnovení souboru a soukromý klíč importovat do systému použita k obnovení soubory podle následujících pokynů:
  • Klíče musí být uloženy v Microsoft RSABase CSP.
  • Vlastnost Info klíče v certifikátu musí odkazovat na tento klíč RSABase CSP. Název zprostředkovatele by měl být "Microsoft Base Cryptographic Provider verze 1.0."
Můžete Importovat certifikát v certifikační modul snap-in importovat certifikát a soukromý klíč. Důležité: pravidla popsaných v tomto článku byly ověřena společností Microsoft konfigurací produktu úřadu úvodní, výrobců certifikační EFS a agenta obnovení EFS vystavovat certifikáty. EFS test šifrování týmu testovány a obnovení pomocí těchto certifikátů.

Vlastnosti

ID článku: 273856 - Poslední aktualizace: 28. února 2007 - Revize: 5.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Klíčová slova: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:273856

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com