Dosya şifreleme sistemi için üçüncü taraf sertifika yetkilisi desteği

Makale çevirileri Makale çevirileri
Makale numarası: 273856 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu makalede, Microsoft Windows 2000, üçüncü taraf sertifika, şifreleme dosya sistemi (EFS) sertifikaları ve EFS Kurtarma Aracısı sertifikaları sertifika yetkilileri (CA) nasıl desteklediğini açıklanır.

GENEL BAKIŞ

Bu makalede, aşağıdaki iki bölüme ayrılmıştır:
  • EFS ve ortak anahtar altyapısı kullanımı kısa açıklaması.
  • Biçimi, bir üçüncü taraf CA sertifikaları kullanmak için EFS tarafından dosya şifrelemesi ve kurtarma için izin verilir.

Daha fazla bilgi

EFS genel bakış ve ortak anahtar altyapısı

EFS, NTFS dosya sistemi birimlerindeki dosyaları şifrelemek için çözümü Windows 2000'de. EFS Windows 2000'de şifreleme Architecture özelliği ve ortak anahtar altyapısını özelliğini kullanır.

Sertifika kaydı

Şifreleme işlemi sırasında geçerli EFS sertifikanızın EFS kullanır. Kullanılabilir değil ise, EFS Kişisel deponuzda için uygun bir sertifika arar. EFS, geçerli bir sertifika bulamazsanız, EFS sertifikasını için kaydolur. Bir çevrimiçi Windows 2000 EFS şablonu destekleyen CA EFS sertifikasını yayımlayabilir. Kendini imzalamış sertifika, bir çevrimiçi Windows 2000 CA'YA bir sertifika için kaydolamaz veya bir etki alanı hesabı kullanıyorsanız, EFS tarafından oluşturulur.

Bir sertifikayı EFS seçer sonra sistem kullanıcı arabirimi aracılığıyla değiştiremezsiniz. Ayrıca, EFS değil otomatik olarak geçiş sertifikaları (EFS kullandığında, kendi kendini imzalamış sertifika ve çevrimiçi bir Windows 2000 CA'dan bir EFS sertifikası için kaydolma gibi) bir daha iyi bir kullanılabilir olduğunda.

EFS için kullandığı sertifikayı değiştirmek için iki yol vardır:
  • Yeni sertifika için EFS ayarlamak için <a0></a0>, SetUserFileEncryptionKey Microsoft Developer Network (MSDN) belgelenen API, Ek Yardım düğmesini kullanın. EFS, yeni bir sertifika'yi kullanmaya hemen başlatır.
  • Yeni sertifika parmak izi</a1> alanına aşağıdaki kayıt defteri anahtarında depolanan sertifika karmasını değiştirin:
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

    Değer: CertificateHash
    Türü: REG_BINARY
    Veri: Yeni sertifikanın parmak izi
EFS, EFS sertifikasını Rivest-Shamir-Adelman Bankası (RSABase) şifreleme hizmeti sağlayıcısı (CSP) depolanmak üzere tuşları umuyor. Sertifikadaki Anahtar bilgisi özniteliği için bu CSP işaret etmelidir. EFS sertifikalarını ve özel anahtarlarını içeren MY sertifika deposunda arar.

Dosya veri şifreleme ve şifre çözme

EFS, dosya verilerini şifrelemek için rasgele üretilen bir simetrik anahtar kullanır. Yeni BIR anahtar şifrelenmiş her dosya için oluşturulur. Kullanılan şifreleme algoritmasını veri DESX (Veri Şifreleme Standardı'nın daha güçlü bir sürüm) ' dir. Diğer bir algoritmaları yapılandırılabilir.

Simetrik şifreleme anahtar EFS sertifikanızın türetilen bir ortak anahtar kullanılarak şifrelenir. Sonuç şifreli verileri, görünen adınız ve sertifika karmasını EFS meta verileri içeren dosya içindeki adlandırılmış bir akış depolanır. EFS şifresini çözer, bir dosya simetrik şifreleme anahtarının şifresini için özel anahtarınızı kullanır. EFS sonra simetrik anahtar verilerin şifresini çözmek için kullanır.

Bir ağ sunucusundaki bir dosyayı şifrelemek için <a0></a0>, EFS yükler profilinizi ağ üzerinde gezici profilleri varsa. Gezici bir profil yoksa, EFS sertifikanızın ve anahtarlarının sunucuda bulmak bekliyor ve bir profili oluşturmaya çalışır.

Bir ağ üzerinden bir EFS dosya kopyalandığında, şifresi olduğundan ve ağ üzerinden şifresiz metin olarak gönderilir. Ağınızdaki yoldaki verilirken kullanmaları için dosyalarınızı korumak için <a0></a0>, IP güvenliği'ni kullanın.

EFS sertifika yenileme

EFS sertifikasını süresi dolduğunda, EFS gerçekleştirir yenileme yeni bir anahtar çifti ile yeni bir sertifika kaydolarak. EFS, kendisini değil yenilemeniz geçerli sertifika, süresi sona erdiğinde.

EFS, EFS sertifikayı yenilemek ve süresi dolmadan önce eski sertifika arşivle, devam eder, süresi dolmadan eski sertifikayı kullanmaya. EFS sonra gider yeni bir sertifika depolama alanında bulmak için veya geçerli bir sertifika bulamazsanız, yeni bir tane almak için bir kayıt için aynı işlemi. Yeni bir sertifika kullanmak üzere arama sırasında EFS depoda birden çok EFS sertifikası varsa, farklı bir yenileme alınan bir sertifika alıp.

EFS başlatıldıktan sonra yeni bir sertifika kullanmak, önceden başka sertifikayla şifrelenmiş bir dosyayı işleme, EFS yeni bir sertifika kullanmak üzere meta verilerini oluşturur.

Iptal denetimi

EFS değil gerçekleştirmek iptal denetimi.

EFS Kurtarma Aracısı

EFS kurtarma aracıları, dosyayı şifreleyen kullanıcı, şirketinizin bırakırsa, şifrelenmiş bir dosyanın şifresini çözmek için kullanabilirsiniz. EFS kurtarma aracısı sertifikalarının Windows 2000 CA'ın EFS kurtarma şablonu kullanarak kayıt.

Etki alanındaki tüm kullanıcılar için genel bir etki alanı ilkesinde EFS Kurtarma Aracısı sertifikaları ayarlayabilirsiniz. Yerel bilgisayar ilkesi yerel bilgisayardaki tüm kullanıcılar için bu sertifikalar da ayarlayabilirsiniz. Her iki ilkeye de varsa, genel ilke öncelik kazanır.

Kurtarma Aracısı Ekleme Sihirbazı'nı açmak için <a0></a0>, Grup ilkesi ' ni tıklatın, sonra da Ortak anahtar ilkeleri ' ni tıklatın ve Şifrelenmiş veri kurtarma aracıları</a1>'ı tıklatın. Bu sihirbaz, Kurtarma Aracısı sertifikaları belirlemek yardımcı olur. Klasörlere Gözat'ı tıklatın ve doğrudan Kurtarma Aracısı sertifikası almak için sertifika dosyası</a1>'ı tıklatın. Sertifika, Bilinmeyen bir kullanıcı Kurtarma Aracısı gösterimde ile alınır. Bu, bir kurtarma aracısı sertifikası belirlediğiniz herhangi bir üçüncü taraf sertifika YETKILISI sertifika oluşur.

(Karşı bir çevrimiçi Windows 2000 CA kullanıcının EFS Kurtarma Aracısı sertifikası için kaydolma, oluşan) bir kullanıcı için dizinde sertifika yayımlarsanız, doğrudan bir kurtarma aracısı olarak kullanıcı Alma Sihirbazı'nı kullanabilirsiniz. Dizin ile göz atmak ve kurtarma aracısı olarak atamak istediğiniz kullanıcıyı seçin.

Sırasında dosya şifrelemesi, simetrik şifreleme anahtarı da, ortak anahtar kurtarma aracısının şifrelenir ve EFS meta verileri içeren adlandırılmış akışında depolanan bilgileri. Şifreli bir dosyayı kurtarmak için <a0></a0>, EFS simetrik şifreleme anahtarının hangi EFS şifresini çözmek için kurtarma aracısının özel anahtarı kullanır, sonra verilerin şifresini çözmek için kullanır.

Kurallar oluşturma ve geçerli EFS ve EFS Kurtarma Aracısı'nı kullanarak, üçüncü taraf CA sertifikaları

EFS sertifikaları

Sertifika oluşturma için kurallar şunlardır:
  • Sertifikadaki anahtar kullanımı uzantısı, anahtar şifreleme ve veri şifreleme içermesi gerekir.
  • Sertifika, gelişmiş anahtar kullanımı uzantısı, Şifreleme Dosya Sistemi'ni (1.3.6.1.4.1.311.10.3.4) tanıtıcısı içermesi gerekir.
  • Kullanım sırasında Microsoft RSABase CSP, anahtarlar saklamanız gerekir.
  • Sertifikadaki Anahtar bilgisi özelliği, bu anahtara göstermelidir.
Doğru KeyUsage ve EnhancedKeyUsage değerleri içeren için doğru değerler içeren sertifikalar için üçüncü taraf sertifika yetkililerini özelleştirme olabilir.

Üçüncü taraf ürünleri kullanılarak EFS sertifikalarını kaydolması için iki yol vardır:
  • Üçüncü taraf CA'NıN Microsoft şifreleme Architecture bağımsız bir kayıt sağlayabilir. Bu durumda, üçüncü taraf sertifika ve özel anahtar sertifika ile ilişkili Sertifika Yöneticisi MMC ek bileşenini kullanarak profilinize alınabilir bir dosyaya vermelisiniz. Anahtarlar Microsoft RSABase CSP alınır ve Anahtar bilgisi özelliği, bu CSP için ayarlanır.
  • Üçüncü taraf CA sertifikaları kaydetmek için Microsoft istemcileri için Microsoft XEnroll denetimini kullanan bir Web tabanlı kayıt yordamı sağlayabilir. Kayıt, bu yöntemi kullanarak tuşları otomatik olarak Microsoft RSABase CSP olarak saklanır ve Anahtar bilgisi özelliği.
Bir sertifikaya kaydolması veya bir sertifikayı yenilemeden sonra herhangi bir sertifikayı daha önceden kullanıldıysa, EFS değişiklik hakkında bilgilendirmeniz sonra. SetUserFileEncryptionKey yeni bir sertifika işaret eden bir ça?r? ayarlamanız gerekir. Sertifikayı herhangi bir EFS operasyondan önce oluşturulursa, görüşmesi ayarlayabilmeniz SetUserFileEncryptionKey gerekmez. EFS, yeni bir sertifika kişisel sertifika deponuzda bulur ve bunu varsayılan sertifikası olarak ayarlar.

EFS kurtarma sertifikaları

Sertifika oluşturma için kurallar şunlardır:
  • Kullanım anahtarının anahtar şifrelemesi =
  • EKU dosya Recovery(1.3.6.1.4.1.311.10.3.4.1) =
"EFS sertifikası" bölümünde belirtildiği gibi üçüncü taraf CA sertifikalarını kaydetmek için Microsoft istemcileriyle Web kayıt sayfalarını sağlayabilir veya üçüncü taraf sertifika YETKILISI sertifika ve ilişkili özel anahtarı, bir Microsoft istemci alınabilecek bir dosyaya verme.

Oluşturulduktan sonra Kurtarma Aracısı Sihirbazı'nı kullanarak sertifika alınabilir.

Dosya kurtarma sırasında hem kurtarma sertifikasını ve ilgili özel anahtarı aşağıdaki yönergelere göre dosyaları kurtarmak için kullanılan sistem içine aktarılması gerekir:
  • Microsoft RSABase CSP anahtarlar depolanması gerekir.
  • Sertifikadaki Anahtar bilgisi özelliği, bu anahtarda RSABase CSP göstermelidir. Sağlayıcı adı, "Microsoft temel şifreleme sağlayıcısı v1.0" olmalıdır
Sertifika alma sertifika MMC eklentisinde sertifika ve özel anahtarı almak için kullanabilirsiniz. ÖNEMLI: Bu makalede özetlenen kuralları EFS ve EFS kurtarma aracısı için bir satır aralığı, üçüncü taraf sertifika yetkilisi ürün yapılandırarak Microsoft tarafından doğrulanan sertifikalar. EFS, bu sertifikaları kullanarak ekip test şifreleme ve Kurtarma sınayın.

Özellikler

Makale numarası: 273856 - Last Review: 28 Şubat 2007 Çarşamba - Gözden geçirme: 5.2
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbmt kbarttypeinf kbefs kbfile kbinfo KB273856 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:273856

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com