Pihak ketiga sertifikasi otoritas dukungan untuk enkripsi sistem berkas

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 273856 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan bagaimana Microsoft Windows 2000 mendukung pihak ketiga sertifikasi otoritas (CAs) yang mengeluarkan sertifikat enkripsi sistem berkas (EFS) dan sertifikat EFS agen pemulihan.

Sekilas pandang

Artikel ini dibagi menjadi dua bagian berikut:
  • Penjelasan singkat tentang EFS dan penggunaan infrastruktur tombol umum.
  • Cara di mana pihak ketiga CA diperbolehkan untuk mengeluarkan sertifikat untuk digunakan oleh EFS untuk kedua file enkripsi dan pemulihan.

INFORMASI LEBIH LANJUT

EFS ikhtisar dan public key infrastructure

EFS adalah solusi di Windows 2000 untuk enkripsi file pada volume sistem berkas NTFS. EFS menggunakan kripto arsitektur fitur dan Public Key Infrastructure fitur pada Windows 2000.

Sertifikat pendaftaran

Selama operasi enkripsi EFS menggunakan sertifikat EFS Anda saat ini. Jika salah satu tidak tersedia, EFS mencari Anda toko pribadi untuk sertifikat yang sesuai. Jika EFS tidak dapat menemukan sertifikat saat ini, itu mendaftar Anda untuk sertifikat EFS. Online Windows 2000 CA yang mendukung EFS template dapat mengeluarkan sertifikat EFS. Sertifikat self-signed dihasilkan oleh EFS jika itu tidak dapat mendaftar untuk sertifikat dengan online Windows 2000 CA atau jika Anda tidak menggunakan domain account.

Setelah EFS memilih sertifikat, you can't change it melalui antarmuka pengguna sistem. Selain itu, EFS tidak secara otomatis beralih sertifikat ketika yang lebih baik salah satu tersedia (seperti ketika EFS menggunakan sendiri sertifikat self-signed dan Anda mendaftar untuk sertifikat EFS dari online Windows 2000 CA).

Ada dua cara untuk mengubah sertifikat EFS menggunakan:
  • Untuk mengatur sertifikat baru untuk EFS, menggunakan SetUserFileEncryptionKey API, yang didokumentasikan oleh Microsoft Developer Network (MSDN). EFS mulai menggunakan sertifikat baru segera.
  • Perubahan pada hash dari sertifikat yang disimpan dalam kunci registri berikut untuk Cap jempol bidang dalam sertifikat baru:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Nilai: CertificateHash
    Tipe: REG_BINARY
    Data: Cap jempol sertifikat baru
EFS mengharapkan tombol untuk sertifikat EFS akan disimpan dalam basis Rivest-Shamir-Adelman Microsoft (RSABase) kripto layanan penyedia (CSP). The Kunci Info atribut pada sertifikat harus menunjuk CSP ini. EFS terlihat SAYA sertifikat toko, yang berisi sertifikat dan kunci privat.

File data enkripsi dan dekripsi

EFS menggunakan kunci simetrik yang dihasilkan secara acak untuk mengenkripsi file data. Kunci baru yang dihasilkan untuk setiap file yang dienkripsi. Algoritma enkripsi data yang digunakan adalah DESX (versi lebih kuat dari Data Encryption Standard). Tidak ada algoritma dapat dikonfigurasi.

Kunci enkripsi simetris kemudian dienkripsi dengan menggunakan kunci publik yang berasal dari sertifikat EFS Anda. Data dienkripsi yang dihasilkan, nama tampilan, dan hash sertifikat disimpan dalam streaming bernama dalam file yang berisi EFS metadata. Ketika EFS mendekripsi berkas, menggunakan kunci pribadi Anda untuk mendekripsi kunci enkripsi simetris. EFS kemudian menggunakan kunci simetrik yang digunakan untuk mendekripsi data.

Untuk mengenkripsi file di server jaringan, EFS beban profil pada jaringan jika Anda memiliki profil roaming. Jika Anda tidak memiliki profil roaming, EFS mengharapkan untuk menemukan sertifikat dan kunci pada server dan mencoba untuk menghasilkan profil yang ada.

Ketika berkas EFS disalin melalui jaringan, didekripsi dan dikirim melalui jaringan dalam bentuk teks. Untuk melindungi file Anda sementara mereka dalam transit di jaringan Anda, menggunakan IP Security.

Sertifikat EFS pembaruan

Ketika sertifikat EFS berakhir, EFS melakukan pembaruan oleh mendaftar sertifikat baru dengan sepasang kunci baru. EFS, itu sendiri, tidak memperbarui sertifikat saat ini ketika itu berakhir.

Jika Anda memperbarui sertifikat EFS dan arsip sertifikat lama sebelum kadaluarsa, EFS terus menggunakan sertifikat lama sampai habis masa berlakunya. EFS kemudian berjalan melalui proses yang sama untuk pendaftaran untuk menemukan sertifikat baru di toko atau untuk mendapatkan yang baru jika tidak dapat menemukan sertifikat yang sah. Sambil mencari sertifikat baru untuk menggunakan, EFS dapat mengambil sertifikat yang berbeda dari yang Anda peroleh melalui pembaruan, jika ada lebih dari satu sertifikat EFS di toko.

Setelah EFS mulai menggunakan sertifikat baru, jika menangani file yang sebelumnya dienkripsi dengan sertifikat berbeda, EFS melahirkan kembali metadata untuk menggunakan sertifikat baru.

Pencabutan memeriksa

EFS tidak melakukan pembatalan memeriksa.

Agen pemulihan EFS

Anda dapat menggunakan EFS agen pemulihan untuk mendekripsi berkas yang dienkripsi jika pengguna yang dienkripsi file meninggalkan perusahaan Anda. Anda dapat mendaftar untuk menggunakan sertifikat EFS agen pemulihan EFS pemulihan template di Windows 2000 CAs.

Anda dapat mengatur sertifikat EFS agen pemulihan dalam kebijakan global domain untuk semua pengguna di domain. Anda juga dapat mengatur sertifikat ini untuk semua pengguna pada komputer lokal dalam kebijakan komputer lokal. Jika kedua kebijakan hadir, kebijakan global diprioritaskan.

Untuk membuka menambahkan Recovery agen Wizard, klik Kebijakan Grup, klik Kebijakan-kebijakan kunci publik, lalu klik Agen pemulihan Data dienkripsi. Wizard ini membantu Anda menetapkan Sertifikat agen pemulihan. Anda dapat klik Browse folder, kemudian klik berkas sertifikat untuk langsung mengimpor sebagai sertifikat agen pemulihan. Sertifikat diimpor dengan notasi agen pemulihan Pengguna yang tidak diketahui. Hal ini terjadi untuk sertifikat CA pihak ketiga yang Anda menetapkan sebagai sertifikat agen pemulihan.

Jika Anda menerbitkan sertifikat dalam direktori pengguna (yang terjadi jika Anda mendaftar terhadap online Windows 2000 CA sertifikat EFS agen pemulihan untuk pengguna), Anda dapat menggunakan Wisaya untuk langsung mengimpor pengguna sebagai agen pemulihan. Menelusuri direktori dan pilih pengguna yang Anda ingin menetapkan sebagai agen pemulihan.

Selama file enkripsi, kunci enkripsi simetris juga dienkripsi dengan kunci publik agen pemulihan, dan informasi yang disimpan di sungai yang bernama mengandung EFS metadata. Untuk memulihkan file yang dienkripsi, EFS menggunakan kunci privat agen pemulihan untuk mendekripsi kunci enkripsi simetris, EFS yang kemudian menggunakan untuk mendekripsi data.

Aturan untuk CA pihak ketiga untuk menciptakan dan menggunakan sah EFS dan EFS Sertifikat agen pemulihan

Sertifikat EFS

Aturan untuk membentuk sertifikat adalah:
  • Kunci penggunaan ekstensi dalam sertifikat harus berisi Encipherment kunci dan Data Encipherment.
  • Enhanced Key penggunaan ekstensi dalam sertifikat harus berisi pengenal enkripsi sistem berkas (1.3.6.1.4.1.311.10.3.4).
  • Selama penggunaan, Anda harus menyimpan kunci dalam Microsoft RSABase CSP.
  • The Kunci Info properti pada sertifikat harus menunjukkan kunci ini.
Mengandung hak KeyUsage dan EnhancedKeyUsage nilai-nilai, Anda harus menyesuaikan sertifikasi pihak berwenang untuk mengeluarkan sertifikat yang berisi nilai-nilai yang benar.

Ada dua cara untuk mendaftar untuk sertifikat EFS pengguna yang menggunakan produk pihak ketiga:
  • CA pihak ketiga dapat menyediakan pendaftaran yang independen dari Microsoft kripto arsitektur. Dalam hal ini, pihak ketiga harus mengekspor sertifikat dan kunci privat yang terkait dengan sertifikat, ke sebuah file yang dapat diimpor ke profil Anda dengan menggunakan snap-in MMC manajer sertifikat. Tombol diimpor ke Microsoft RSABase CSP dan Kunci Info properti ini diset CSP ini.
  • CA pihak ketiga dapat menyediakan prosedur pendaftaran berbasis Web yang menggunakan kontrol Microsoft XEnroll untuk klien Microsoft untuk mendaftar untuk sertifikat. Menggunakan metode ini pendaftaran, tombol disimpan secara otomatis di Microsoft RSABase CSP dan Kunci Info properti diatur.
Setelah Anda mendaftar untuk sertifikat, atau setelah Anda memperbarui sertifikat, Anda harus memberitahukan EFS tentang perubahan jika telah menggunakan sertifikat sebelumnya. Anda harus mengatur panggilan untuk SetUserFileEncryptionKey yang menunjuk pada sertifikat baru. Jika sertifikat dibuat sebelum setiap EFS operasi, Anda tidak perlu mengatur panggilan SetUserFileEncryptionKey. EFS menemukan sertifikat baru di toko sertifikat pribadi Anda dan menetapkan sebagai sertifikat default.

Sertifikat EFS pemulihan

Aturan untuk membentuk sertifikat adalah:
  • Kunci penggunaan = kunci Encipherment
  • IDEKU = File Recovery(1.3.6.1.4.1.311.10.3.4.1)
Seperti yang disebutkan di bagian "Sertifikat EFS", CA pihak ketiga dapat menyediakan dengan halaman pendaftaran Web Klien Microsoft untuk mendaftar untuk sertifikat, atau CA pihak ketiga dapat mengekspor sertifikat dan kunci privat yang terkait ke dalam sebuah file yang dapat diimpor ke klien Microsoft.

Setelah itu diciptakan, sertifikat dapat diimpor dengan menggunakan Wisaya agen pemulihan.

Selama pemulihan berkas, berkas Sertifikat pemulihan dan kunci privat harus diimpor ke dalam sistem yang digunakan untuk memulihkan file menurut panduan berikut:
  • Kunci harus disimpan dalam Microsoft RSABase CSP.
  • The Kunci Info properti pada sertifikat harus menunjukkan kunci ini di RSABase CSP. Nama penyedia harus "Basis kriptografi penyedia v1.0."
Anda dapat menggunakan Impor sertifikat dalam sertifikat snap-in MMC untuk mengimpor sertifikat dan kunci privat.PENTING: Aturan yang diuraikan dalam artikel ini disahkan oleh Microsoft dengan mengkonfigurasi terkemuka, pihak ketiga sertifikasi otoritas produk untuk mengeluarkan EFS dan EFS Sertifikat agen pemulihan. EFS menguji tim diuji enkripsi dan pemulihan dengan menggunakan sertifikat ini.

Properti

ID Artikel: 273856 - Kajian Terakhir: 22 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbarttypeinf kbefs kbfile kbinfo w2000efs kbmt KB273856 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:273856

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com