Supporto di autoritÓ di certificazione di terze parti per la crittografia file system

Traduzione articoli Traduzione articoli
Identificativo articolo: 273856 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Questo articolo viene descritto come Microsoft Windows 2000 supporta autoritÓ di certificazione di terze parti (CA) che emettono i certificati di crittografia File System (EFS) e i certificati agente recupero dati EFS.

Cenni preliminari

In questo articolo Ŕ suddiviso in due sezioni che seguono:
  • Una breve spiegazione di EFS e l'utilizzo di infrastruttura a chiave pubblica.
  • Il modo in cui una CA di terze parti Ŕ consentita per emettere i certificati per l'utilizzo da EFS per operazioni di crittografia dei file e di ripristino.

Informazioni

Cenni preliminari su EFS e l'infrastruttura a chiave pubblica

EFS Ŕ la soluzione in Windows 2000 per crittografare i file in volumi del file system NTFS. EFS utilizza la funzionalitÓ di crittografia architettura e la funzionalitÓ di infrastruttura a chiave pubblica di Windows 2000.

Registrazione dei certificati

Durante un'operazione di crittografia, EFS utilizza il certificato EFS corrente. Se non Ŕ disponibile, EFS Cerca archivio personale per un certificato appropriato. Se EFS non Ŕ in grado di individuare un certificato corrente, Registra un certificato EFS. Una CA in linea Windows 2000 che supporta il modello EFS pu˛ emettere un certificato EFS. Se non Ŕ possibile registrare un certificato con un'autoritÓ di certificazione in linea di Windows 2000 o se non si utilizza un account di dominio, un certificato autofirmato viene generato da EFS.

EFS sceglie un certificato, non pu˛ essere modificato tramite l'interfaccia utente di sistema. Inoltre, EFS non passare automaticamente i certificati quando un migliore uno diventa disponibile (ad esempio quando si utilizza il proprio certificato autofirmato e registrare un certificato di EFS da un'autoritÓ di certificazione in linea di Windows 2000).

Esistono due modi per modificare il certificato che utilizza:
  • Per impostare il nuovo certificato per EFS, Ŕ necessario utilizzare SetUserFileEncryptionKey API, che Ŕ documentata da Microsoft Developer Network (MSDN). EFS inizia a utilizzare subito il nuovo certificato.
  • Modificare l'hash del certificato archiviato nella seguente chiave del Registro di sistema al campo di identificazione personale del nuovo certificato:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Valore: CertificateHash
    Tipo: REG_BINARY
    Dati: Identificazione personale del nuovo certificato
EFS prevede che le chiavi per il certificato EFS da memorizzare nel provider CSP ((RSABase) di Microsoft Rivest, Shamir Adelman Base Crypto Service Provider). L'attributo di Informazioni di chiave per il certificato deve fare riferimento il CSP. EFS Cerca nell'archivio MY certificato, che contiene i certificati e chiavi private.

File dati crittografia e decrittografia

EFS utilizza una chiave simmetrica generati casualmente per crittografare i dati del file. Una nuova chiave viene generata per ogni file Ŕ crittografato. L'algoritmo di crittografia di dati viene utilizzato Ŕ DESX (una versione avanzata di Data Encryption Standard). Non possono essere configurati altri algoritmi.

La chiave di crittografia simmetrica viene quindi crittografata utilizzando la chiave pubblica, derivata da del certificato EFS. I dati crittografati risultanti, il nome visualizzato e un hash del certificato Ŕ memorizzato in un nome flusso nel file che contiene i metadati EFS contenuti. Quando EFS decrittografa un file, utilizza la chiave privata per decrittografare la chiave di crittografia simmetrica. EFS utilizza quindi la chiave simmetrica per decrittografare i dati.

Per crittografare un file su un server di rete, EFS carica il profilo della rete se si dispone di profili. Se non si dispone di profili, EFS si aspetta di trovare il certificato e le chiavi nel server e tenta di generare un profilo non esiste.

Quando un file di EFS viene copiato in una rete, Ŕ decrittografato e inviato in rete in testo non crittografato. Per proteggere i file mentre sono in transito sulla rete, Ŕ necessario utilizzare IPSec.

Rinnovo del certificato EFS

Alla scadenza del certificato EFS, EFS esegue rinnovo per la registrazione di un nuovo certificato con una nuova coppia di chiavi. EFS, stesso, non rinnova il certificato corrente scaduto.

Se si rinnova il certificato EFS e archivia il certificato precedente prima della scadenza, EFS continua a utilizzare il certificato precedente, fino alla scadenza. EFS Ŕ quindi passa attraverso lo stesso processo per la registrazione per trovare un nuovo certificato nell'archivio o per acquisire una nuova se non Ŕ possibile trovare un certificato valido. Durante la ricerca per un nuovo certificato per l'utilizzo, EFS pu˛ recuperare un certificato Ŕ diverso da quello che Ŕ stato acquistato tramite rinnovo, se esiste pi¨ di un certificato EFS nell'archivio.

Una volta EFS viene avviato utilizzare un nuovo certificato, se viene gestito un file che in precedenza Ŕ stato crittografato con un certificato diverso, EFS consente di rigenerare i metadati per utilizzare il nuovo certificato.

Controllo delle revoche

EFS non esegue alcun controllo di revoca.

Agente recupero dati EFS

╚ possibile utilizzare agenti di recupero EFS per decrittografare un file crittografato se l'utente che ha crittografato il file lascia l'azienda. ╚ possibile registrare i certificati agente recupero dati EFS utilizzando il modello EFS Recovery nella CA di Windows 2000.

╚ possibile impostare i certificati agente recupero dati EFS nei criteri di dominio globale per tutti gli utenti del dominio. ╚ inoltre possibile impostare questi certificati per tutti gli utenti del computer locale nel criterio computer locale. Se entrambi i criteri sono presenti, il criterio globale avrÓ la precedenza.

Per aprire l'aggiunta guidata agente recupero dati, fare clic su Criteri di gruppo , fare clic su Pubblica criteri chiave e quindi fare clic su Crittografia agenti di recupero dati . Questa procedura guidata consente di designare certificati agente di recupero. ╚ possibile fare clic su Sfoglia cartelle e quindi fare clic su importare direttamente come certificato agente di recupero il file di certificato. Il certificato viene importato con la notazione di agente recupero dati utente sconosciuto . Questo problema si verifica per qualsiasi certificato CA di terze parti che Ŕ designato come un certificato agente di recupero.

Se si pubblica il certificato nella directory per un utente (che si verifica se la registrazione con una CA in linea di Windows 2000 per il certificato agente recupero dati EFS per l'utente), Ŕ possibile utilizzare la procedura guidata per importare direttamente l'utente come agente recupero dati. Cercare la directory e selezionare l'utente che si desidera designare come agente recupero dati.

Durante la crittografia dei file, la chiave di crittografia simmetrica Ŕ crittografata anche alla chiave pubblica dell'agente recupero dati e le informazioni vengono memorizzate nel flusso denominato contenente i metadati EFS contenuti. Per ripristinare un file crittografato, EFS utilizza chiave privata dell'agente recupero per decrittografare la chiave di crittografia simmetrica, quali EFS quindi utilizza per decrittografare i dati.

Regole per la CA di terze parti per la creazione e utilizzo EFS valido e agente recupero dati EFS certificati

Certificati EFS

Le regole per la creazione del certificato sono:
  • L'estensione utilizzo chiave del certificato deve contenere chiavi crittografia e crittografia dei dati.
  • L'estensione utilizzo avanzato chiave del certificato deve contenere l'identificatore di crittografia File System (1.3.6.1.4.1.311.10.3.4).
  • Durante l'utilizzo, Ŕ necessario memorizzare le chiavi in Microsoft RSABase CSP.
  • La proprietÓ Informazioni di chiave nel certificato deve puntare a questa chiave.
Per contenere i valori di KeyUsage ed EnhancedKeyUsage corretti, Ŕ possibile che Ŕ necessario personalizzare le autoritÓ di certificazione di terze parti per emettere i certificati che contengono i valori corretti.

Esistono due modi per registrare i certificati EFS utilizzano prodotti di terze parti:
  • La CA di terze parti pu˛ fornire una registrazione indipendente da Microsoft Crypto Architecture. In questo caso, la terza parte necessario esportare il certificato e la chiave privata Ŕ associata il certificato in un file che pu˛ essere importato nel profilo utilizzando lo snap-in MMC certificati. Le chiavi vengono importate nel CSP RSABase Microsoft e la proprietÓ Informazioni di chiave viene impostata a questo CSP.
  • La CA di terze parti pu˛ fornire una routine di registrazione basata sul Web che utilizza il controllo di XEnroll Microsoft per i client Microsoft per la registrazione per i certificati. Utilizza questo metodo di registrazione, le chiavi vengono archiviate automaticamente in Microsoft RSABase CSP e la proprietÓ di Informazioni di chiave Ŕ impostata.
Dopo di registrare un certificato o dopo rinnovare un certificato, Ŕ necessario informare EFS la modifica se qualsiasi certificato Ŕ utilizzato in precedenza. ╚ necessario impostare una chiamata a SetUserFileEncryptionKey che punta al nuovo certificato. Se il certificato Ŕ stato creato prima di qualsiasi operazione di EFS, non Ŕ necessario impostare una chiamata SetUserFileEncryptionKey . EFS trova il nuovo certificato nell'archivio dei certificati personali e lo imposta come certificato predefinito.

Certificati di ripristino EFS

Le regole per la creazione del certificato sono:
  • Utilizzo chiave = crittografia chiave
  • EKU = File Recovery(1.3.6.1.4.1.311.10.3.4.1)
Come indicato nella sezione "Certificato EFS", la CA di terze parti pu˛ fornire i client di Microsoft con pagine di registrazione Web per registrare i certificati e la CA di terze parti pu˛ esportare il certificato e la chiave privata associata a essa in un file che pu˛ essere importato in un client di Microsoft.

Dopo averlo creato, Ŕ possibile importare il certificato utilizzando la guidata agente di ripristino.

Durante il ripristino dei file, Ŕ necessario importare sia il certificato di ripristino dei file e la chiave privata nel sistema che consente di ripristinare i file in base alle seguenti indicazioni:
  • Le chiavi devono essere memorizzate in Microsoft RSABase CSP.
  • La proprietÓ Informazioni di chiave nel certificato deve puntare a questa chiave in RSABase CSP. Il nome del provider deve essere "Microsoft Base Cryptographic Provider v1.0".
╚ possibile utilizzare Importazione certificato nello snap-in MMC certificati per importare il certificato e chiave privata. importante : le regole descritte in questo articolo sono state convalidate da Microsoft mediante la configurazione di un prodotto di autoritÓ di certificazione iniziale, di terze parti per emettere EFS e agente recupero dati EFS certificati. L'EFS test team testata crittografia e ripristino utilizzando questi certificati.

ProprietÓ

Identificativo articolo: 273856 - Ultima modifica: mercoledý 28 febbraio 2007 - Revisione: 5.2
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Chiavi:á
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 273856
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com