Поддержка центра сертификации третьей стороны для шифрованной файловой системы

Переводы статьи Переводы статьи
Код статьи: 273856 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Статья описывает, как Microsoft Windows 2000 поддерживает центров сертификации независимых производителей (ЦС), выдавать сертификаты агента восстановления EFS и сертификатов шифрованной файловой системы (EFS).

Общие сведения

Эта статья состоит из следующих разделов:
  • Краткое описание EFS и его использование инфраструктуры открытого ключа.
  • Так, в котором независимого центра сертификации может выдавать сертификаты для использования файловой системой EFS для шифрования файлов и восстановления.

Дополнительная информация

Общие сведения о EFS и инфраструктуры открытого ключа

Решения в Windows 2000 является EFS для шифрования файлов на томах с файловой системой NTFS. EFS использует функции Crypto архитектуры и инфраструктуры открытого ключа в Windows 2000.

Подача заявки на сертификат

Во время операции шифрования EFS использует текущий сертификат EFS. Если он не доступен, EFS выполняет поиск в личном хранилище для соответствующего сертификата. EFS не удается найти текущий сертификат, то она подает заявку EFS-сертификат. Интерактивная ЦС Windows 2000, поддерживающего шаблон EFS может выдавать сертификат EFS. Самозаверяющий сертификат создается системой EFS, если он не может подать заявку на сертификат с помощью интерактивной ЦС Windows 2000 или если не используется учетная запись домена.

После EFS выбирает сертификат, его нельзя изменить посредством пользовательского интерфейса системы. Кроме того EFS не переключаются автоматически сертификаты при лучше, она становится доступной (например, когда EFS использует свой собственный самостоятельно подписанный сертификат и подать заявку EFS-сертификат из интерактивного Центра Windows 2000).

Чтобы изменить сертификат, который используется системой EFS двумя способами:
  • Чтобы установить новый сертификат для EFS, с помощью SetUserFileEncryptionKey API документации по Microsoft Developer Network (MSDN). EFS начинается немедленно с использованием нового сертификата.
  • Хэш сертификата, хранящегося в следующий раздел реестра для изменения Отпечаток поля в новый сертификат:
    Предоставляется Version\EFS\CurrentKeys HKEY_CURRENT_USER\Software\Microsoft\Windows

    Значение: CertificateHash
    Тип: REG_BINARY
    Данные: Отпечаток нового сертификата
EFS ожидает, что ключи для EFS-сертификат должен храниться в поставщик службы Microsoft Base Rivest-Shamir-Adelman (RSABase) шифрования (CSP). В Основные сведения атрибут сертификата следует указывать это CSP. Просматривает EFS МОЙ хранилище сертификатов, который содержит сертификаты и закрытые ключи.

Файл шифрования и расшифровки данных

EFS использует случайным образом создается симметричный ключ для шифрования файла данных. Для каждого файла, который зашифрован создается новый ключ. Алгоритм шифрования данных, которая используется, DESX (более надежный версию стандарта шифрования данных). Можно настроить не других алгоритмов.

Симметричный ключ шифрования шифруется с помощью открытого ключа, производный от сертификата EFS. Полученные зашифрованные данные, отображаемое имя и хэш сертификата сохраняется в именованный потока в файл, содержащий метаданные EFS. Когда EFS расшифровывает файл, она использует закрытый ключ для расшифровки симметричного ключа EFS агента восстановления. EFS использует симметричный ключ для расшифровки данных.

Чтобы зашифровать файл на сетевом сервере, EFS загружает профиль сети при наличии перемещаемых профилей. Если у вас нет перемещаемого профиля, EFS ожидает, что сертификаты и ключи на сервере и пытается создать профиль существует.

При копировании файлов EFS по сети он расшифровывается и отправляются по сети в незашифрованном виде. Защита файлов в транзитной сети, используйте IP-безопасности.

Обновления сертификатов EFS

По истечении срока действия сертификата EFS EFS выполняет обновление при подаче заявки на новый сертификат с новой пары ключей. EFS, сам, не обновить текущий сертификат, после истечения срока его действия.

Если обновление сертификата EFS и архивировать старый сертификат до истечения срока его действия EFS продолжает использовать старый сертификат до истечения срока его действия. EFS затем проходит через тот же процесс для подачи заявок для получения нового сертификата в хранилище или получить его, если не удается найти действительный сертификат. При поиске нового сертификата для использования, EFS может получить сертификат, который отличается от того, полученные через обновления сертификата, если имеется более одного сертификата EFS в хранилище.

После EFS запуска для использования нового сертификата, если он обрабатывает файл, который ранее был зашифрован с помощью другого сертификата EFS обновляет метаданные для использования нового сертификата.

Проверка отзыва

EFS не выполняет каких-либо проверок отзыва.

Агент восстановления EFS

Агенты восстановления EFS можно использовать для расшифровки зашифрованного файла, если пользователь зашифровал оставляет вашей компании. Можно зарегистрировать для использования сертификатов агента восстановления EFS Восстановление EFS шаблон в ЦС Windows 2000.

Сертификаты агента восстановления EFS можно задать в политике домена глобального для всех пользователей в домене. Можно также задать эти сертификаты для всех пользователей на локальном компьютере в политику локального компьютера. Если обе политики, глобальная политика имеет приоритет.

Чтобы открыть мастер добавления агента восстановления, нажмите кнопку Групповая политика, нажмите кнопку Политики открытого ключа, а затем нажмите кнопку Агенты восстановления шифрованных данных. Этот мастер помогает назначить сертификатов агента восстановления. Можно нажать кнопку Просмотр папоки выберите файл сертификата непосредственно импортировать сертификат агента восстановления. Импортировать сертификат с помощью нотации агента восстановления Неизвестный пользователь. Это происходит для любого сертификата ЦС сторонних, указанную в качестве сертификата агента восстановления.

Если опубликовать сертификат в каталоге для пользователя (что происходит, если сертификат для интерактивного Центра Windows 2000 для сертификата агента восстановления EFS для пользователя) с помощью мастера непосредственно импортировать пользователя как агент восстановления. Просмотрите каталог и выберите пользователя, которого требуется назначить в качестве агента восстановления.

При шифровании файла симметричного ключа EFS агента восстановления шифруется с открытым ключом агента восстановления и сведения хранятся в именованный поток, содержащий метаданные EFS. Восстановление зашифрованных файлов EFS использует закрытый ключ агента восстановления для расшифровки симметричного ключа EFS агента восстановления, какие EFS затем используется для расшифровки данных.

Правила для независимого центра сертификации для создания и использования допустимых EFS и агента восстановления EFS сертификатов

Сертификаты EFS

Применяются правила формирования сертификата:
  • Расширение использования ключа в сертификате должно содержать шифрование ключей и шифрование данных.
  • Расширение улучшенного ключа в сертификате должно содержать идентификатор файловой системы EFS (1.3.6.1.4.1.311.10.3.4).
  • Во время использования необходимо хранить ключи в Microsoft RSABase CSP.
  • В Основные сведения Свойства сертификата должен указывать этот ключ.
Должен содержать вправо KeyUsage и EnhancedKeyUsage значения, необходимо настроить стороннего ЦС для выдачи сертификатов, которые содержат правильные значения.

Подача заявки на сертификаты EFS, с использованием продуктов сторонних двумя способами:
  • Независимого центра сертификации может предоставить подачи заявок, которые не зависят от архитектуры Microsoft Crypto. В этом случае третьей стороне необходимо экспортировать сертификат и закрытый ключ, связанный с сертификатом, в файл, который может быть импортирован в свой профиль с помощью оснастки диспетчера сертификатов. Ключи, импортируются в Microsoft RSABase CSP и Основные сведения свойству присвоено это CSP.
  • Независимого центра сертификации может способна веб-запроса, использующего элемент управления xenroll, которого Корпорация Майкрософт для клиентов Microsoft для подачи заявок на сертификаты. С помощью этого метода подачи заявок, ключи хранятся автоматически в Microsoft RSABase CSP и Основные сведения свойство имеет значение.
После подачи заявки на сертификат, или обновить сертификат, если ранее использована любой сертификат EFS необходимо уведомить об этом изменении. Необходимо настроить вызов SetUserFileEncryptionKey указывающий на новый сертификат. При создании сертификата перед любой операцией EFS не нужно настроить вызов SetUserFileEncryptionKey. Находит новый сертификат в хранилище личных сертификатов EFS и устанавливает его в качестве сертификата по умолчанию.

Сертификаты восстановления EFS

Применяются правила формирования сертификата:
  • Использование ключа = шифрование ключей
  • Улучшенный = файл Recovery(1.3.6.1.4.1.311.10.3.4.1)
Как указано в разделе «EFS-сертификат», независимого центра сертификации может предоставлять клиентам корпорации Майкрософт с веб-страниц подачи заявок для подачи заявок на сертификаты или независимого центра сертификации может экспортировать сертификат и связанный закрытый ключ в файл, который можно импортировать в клиент Microsoft.

После его создания можно импортировать сертификат с помощью мастера агента восстановления.

При восстановлении файла сертификата восстановления файлов и закрытого ключа должен быть импортирован в системы, используемые для восстановления файлов в соответствии со следующими правилами:
  • Ключи должны храниться в Microsoft RSABase CSP.
  • В Основные сведения Свойства сертификата должен указывать этот ключ в RSABase CSP. Имя поставщика должно быть «Версия 1.0 поставщика службы криптографии Microsoft Base».
Можно использовать Импорт сертификата оснастки MMC сертификатов для импорта сертификата и закрытого ключа.ВАЖНЫЕ: Правила, описанные в этой статье были проверены корпорацией Майкрософт, настроив ведущим, сторонних продукта центр сертификации для выдачи EFS и агента восстановления EFS сертификатов. EFS проверить шифрование группы тестирования и восстановления с помощью этих сертификатов.

Свойства

Код статьи: 273856 - Последний отзыв: 5 июня 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Ключевые слова: 
kbarttypeinf kbefs kbfile kbinfo w2000efs kbmt KB273856 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:273856

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com