第三方证书颁发机构支持加密文件系统

文章翻译 文章翻译
文章编号: 273856 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍了如何 Microsoft Windows 2000 支持第三方证书颁发机构 (Ca) 颁发的证书加密文件系统 (EFS) 和 EFS 故障恢复代理证书。

概述

本文分为以下两个部分:
  • EFS 使用公钥基础结构的简要说明。
  • 其中第三方 CA 允许颁发证书用于 efs 文件加密和恢复的方法。

更多信息

EFS 概述和公钥基础结构

EFS 加密 NTFS 文件系统卷上的文件是 Windows 2000 中的解决方案。EFS 在 Windows 2000 中使用加密的体系结构和公钥基础结构的功能。

证书注册

在加密操作时,EFS 使用您当前的 EFS 证书。如果一个不可用,EFS 将搜索适当的证书为您个人存储区。如果 EFS 找不到当前的证书,其注册您的 EFS 证书。支持 EFS 模板在线 Windows 2000 CA 可以颁发 EFS 证书。如果它不能注册联机 Windows 2000 CA 的证书,或如果您不使用的域帐户,EFS 将生成一个自签名的证书。

EFS 将选择的证书后,您不能通过系统的用户界面更改。此外,EFS 不自动切换证书更好的其中一个可用时 (例如,当 EFS 使用其自己的自签名的证书,并注册 EFS 证书从联机 Windows 2000 CA)。

有两种方法可以更改使用 EFS 证书:
  • 若要对 EFS 设置新的证书,使用SetUserFileEncryptionKey介绍了 Microsoft 开发人员网络 (MSDN) 的 API。EFS 将启动立即使用新的证书。
  • 将新的证书中的指纹字段的以下注册表项中存储的证书哈希值的更改:
    通过 NT\Current Version\EFS\CurrentKeys

    值: CertificateHash
    类型: REG_BINARY
    数据: 新的证书指纹
EFS 需要存储 Microsoft Rivest-Shamir-Adelman 基 (RSABase) 加密服务提供程序 (CSP) 中的 EFS 证书的密钥。证书上的密钥信息属性应指向该 CSP。EFS 会查看MY证书存储区,其中包含证书和私钥。

文件数据加密和解密

EFS 使用随机生成的对称密钥来加密文件数据。每个文件进行了加密,则生成新密钥。使用数据加密算法将 DESX (版本更强的数据加密标准)。可以不配置任何其他算法。

然后使用从您的 EFS 证书的公钥加密的对称加密密钥。得到的加密的数据、 您的显示名称,以及证书的哈希值存储在包含 EFS 的元数据文件中的命名流。当 EFS 将文件解密时,它使用您的私钥来解密对称加密密钥。EFS 使用对称密钥来解密数据。

若要加密的网络服务器上的文件,EFS 加载您网络上的配置文件如果您有漫游配置文件。如果您没有漫游配置文件,EFS 希望在服务器上找到您的证书和密钥,并尝试生成的配置文件存在。

当通过网络复制 EFS 文件时,它是解密并以明文形式通过网络发送。若要保护您的文件,它们是在您的网络上传输时,使用 IP 安全。

EFS 证书续订

EFS 证书到期时,EFS 将执行续订通过注册一个新证书,使用新的密钥对。当它过期时,EFS,本身,不更新当前的证书。

如果存档旧证书过期前您续订 EFS 证书,EFS 将继续使用旧证书过期前。EFS 再经历相同的过程,以在存储中找到一个新的证书,或找不到有效的证书获取一个新的注册。同时查找要使用的新证书,EFS 可以获取存储区中存在多个 EFS 证书是否不同于您通过续订,获得的证书。

EFS 启动要使用的新证书,如果它处理以前已用不同的证书加密的文件后,EFS 将重新生成元数据,以使用新的证书。

吊销检查

EFS 不执行任何吊销检查。

EFS 故障恢复代理

您可以使用 EFS 故障恢复代理解密加密的文件,如果加密文件的用户离开公司。您可以在 Windows 2000 Ca 上使用EFS 恢复模板的 EFS 故障恢复代理证书注册。

您可以设置 EFS 故障恢复代理证书全局域策略中为所有用户在域上。此外可以在本地计算机策略中的本地计算机上的所有用户设置这些证书。如果两项策略都存在,全球政策优先。

若要打开添加故障恢复代理向导,单击组策略,单击公钥策略,然后单击加密数据故障恢复代理。此向导帮助您将指派恢复代理证书。您可以单击浏览文件夹,然后单击直接将其作为恢复代理证书导入证书文件。未知的用户使用故障恢复代理表示法与导入证书。用于指定为故障恢复代理证书的任何第三方 CA 证书出现这种情况。

如果发布证书的用户 (即如果您针对该用户的 EFS 故障恢复代理证书的联机 Windows 2000 CA 注册) 的目录中,您可以使用向导直接导入为故障恢复代理的用户。浏览目录并选择您想要指定为故障恢复代理的用户。

在文件加密对称加密密钥也会为故障恢复代理的公钥加密,和信息存储在包含 EFS 元数据的已命名流。若要恢复加密的文件,EFS 使用恢复代理的私钥来解密对称加密密钥的 EFS,然后使用对数据进行解密。

规则的创建和使用有效的 EFS 和 EFS 故障恢复代理的第三方 CA 的证书

EFS 证书

构成该证书的规则是:
  • 密钥加密和数据加密,则必须包含在证书的密钥用法扩展。
  • 在证书中的增强型密钥用法扩展必须包含加密文件系统 (1.3.6.1.4.1.311.10.3.4) 的标识符。
  • 期间使用,必须在 Microsoft RSABase CSP 中存储密钥。
  • 证书上的密钥信息属性必须指向此注册表项。
包含正确的KeyUsageEnhancedKeyUsage值,可能需要自定义的第三方证书颁发机构来颁发证书包含正确的值。

有两种方法可以使用第三方产品的 EFS 证书注册:
  • 第三方 CA 可能会提供独立于 Microsoft 加密体系结构的登记。在这种情况下,第三方必须导出证书,并与该证书,到一个文件,可以通过使用证书管理器 mmc 管理单元导入您的配置文件相关联的私钥。密钥导入到 Microsoft RSABase CSP 和密钥信息属性设置为该 CSP。
  • 第三方 CA 可能会提供一个基于 Web 的注册过程,使用 Microsoft XEnroll 控件的 Microsoft 客户端注册证书。使用这种方法注册,键自动存储在 Microsoft RSABase CSP 和设置键信息
您注册证书,或在续订证书之后,您必须告知 EFS 更改如果它以前已使用的任何证书。您必须设置为指向新的证书的SetUserFileEncryptionKey联络。如果证书创建 EFS 的任何操作之前,您不必设置SetUserFileEncryptionKey的调用。EFS 在个人证书存储中找到新的证书并将其设置为默认证书。

EFS 故障恢复证书

构成该证书的规则是:
  • 密钥使用 = 密钥加密
  • EKU = 文件 Recovery(1.3.6.1.4.1.311.10.3.4.1)
如"EFS 证书"一节中所述,第三方 CA 可能会提供 Microsoft 客户端与 Web 注册页,若要注册证书,或第三方 CA 可能导出到一个文件,可以导入到 Microsoft 客户端证书和相关的私钥。

创建完成后,可以通过使用故障恢复代理向导导入证书。

在文件恢复期间,文件恢复证书和私钥必须导入系统,用于进行恢复的文件按照以下原则:
  • 必须将密钥存储在 Microsoft RSABase CSP。
  • 证书上的密钥信息属性必须指向 RSABase CSP 中的此项。提供程序的名称应为"Microsoft 基础加密提供程序 v1.0"。
您可以使用证书导入证书 MMC 管理单元中要导入的证书和私钥。重要说明: 本文中概述的规则已领先、 第三方证书颁发机构产品颁发 EFS 和 EFS 故障恢复代理配置 microsoft 验证证书。EFS 使用这些证书测试团队测试加密和恢复。

属性

文章编号: 273856 - 最后修改: 2014年2月9日 - 修订: 7.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbarttypeinf kbefs kbfile kbinfo w2000efs kbmt KB273856 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 273856
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com