Cómo importar certificados de entidades emisoras terceras en el almacén Enterprise NTAuth

Seleccione idioma Seleccione idioma
Id. de artículo: 295663 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E295663
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo describe dos métodos que puede utilizar para importar los certificados de otras entidades emisoras de certificados (CA) en el almacén Enterprise NTAuth. Este proceso es necesario si usa una CA de otro fabricante para emitir certificados de controlador de dominio o de inicio de sesión con tarjeta inteligente. Al publicar el certificado de la entidad emisora de certificados en el almacén Enterprise NTAuth, el administrador indica que la CA es de confianza para emitir certificados de estos tipos. Las CA de Windows publican automáticamente sus certificados de CA en este almacén.

El almacén NTAuth es un objeto del servicio de directorio Active Directory que se encuentra en el contenedor Configuración del bosque. El nombre completo del Protocolo ligero de acceso a directorios (LDAP) es similar a lo siguiente:
CN=NTAuthCertificates, CN=Servicio de claves públicas, CN=Servicios, CN=Configuración, DC=MiDominio, DC=com
Los certificados que se publican en el almacén NTAuth se escriben en el atributo de varios valores cACertificate. Hay dos métodos admitidos para anexar un certificado a este atributo.

Método 1: Importe un certificado utilizando la herramienta PKI Health

La herramienta PKI Health (PKIView) es un componente de complemento de MMC que muestra el estado de una o varias entidades emisoras de certificados de Microsoft Windows que comprenden una infraestructura de claves públicas (PKI). Está disponible como parte de las Herramientas del Kit de recursos de Windows Server 2003. Para descargar estas herramientas, visite el sitio Web de Microsoft siguiente:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
PKIView reúne información sobre los certificados de CA y las listas de revocación de certificados (CRL) de cada CA de la empresa. A continuación, PKIView valida los certificados y las CRL para garantizar que funcionan correctamente. Si no funcionan correctamente o si están a punto de fallar, PKIView proporciona información detallada del error o de advertencia.

PKIView muestra el estado de las entidades emisoras de certificados de Windows Server 2003 que están instaladas en un bosque de Active Directory. Puede utilizar PKIView para descubrir todos los componentes de la PKI, incluidas las CA raíz y subordinadas que están asociadas a una CA empresarial. La herramienta también puede administrar los contenedores de PKI importantes, como los almacenes NTAuth y confianzas de CA raíz, que también están contenidos en la partición de configuración de un bosque de Active Directory. En este artículo se discute esta última funcionalidad. Para obtener más información sobre PKIView, vea la documentación de las Herramientas del Kit de recursos de Microsoft Windows Server 2003.

Nota: puede utilizar PKIView para administrar tanto CA de Windows 2000 como de Windows Server 2003. Para instalar las Herramientas del Kit de recursos de Windows Server 2003, en el equipo se debe ejecutar Windows XP o posterior.

Para importar un certificado de CA en el almacén Enterprise NTAuth, siga estos pasos:
  1. Exporte el certificado de la CA a un archivo .cer. Se admiten los formatos de archivo siguientes:
    • DER binario codificado X.509 (.cer)
    • X.509 codificado base 64 (.cer)
  2. Instale las Herramientas de Kit de recursos de Windows Server 2003. El paquete de herramientas requiere Windows XP o posterior.
  3. Inicie Microsoft Management Console (Mmc.exe) y, a continuación, agregue el complemento PKI Health:
    1. En el menú Consola, haga clic en Agregar o quitar complemento.
    2. Haga clic en la ficha Independiente y, después, haga clic en el botón Agregar.
    3. En la lista de complementos, haga clic en Enterprise PKI.
    4. Haga clic en Agregar y después en Cerrar.
    5. Haga clic en Aceptar.
  4. Haga clic con el botón secundario del mouse en Enterprise PKI y, a continuación, haga clic en Manage AD Containers.
  5. Haga clic en la ficha NTAuthCertificates y, después, haga clic en Agregar.
  6. En el menú Archivo, haga clic en Abrir.
  7. Busque el certificado de CA y haga clic en él. Después, haga clic en Aceptar para finalizar la importación.

Método 2: Importe un certificado utilizando Certutil.exe

Certutil.exe es una utilidad de línea de comandos para administrar una CA de Windows. En Windows Server 2003, puede utilizar Certutil.exe para publicar los certificados en Active Directory. Certutil.exe se instala con Windows Server 2003. También está disponible como parte del Paquete de Herramientas de administración de Microsoft Windows Server 2003. Para descargar este paquete de herramientas, visite el sitio Web de Microsoft siguiente:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en
Para importar un certificado de CA en el almacén Enterprise NTAuth, siga estos pasos:
  1. Exporte el certificado de la CA a un archivo .cer. Se admiten los formatos de archivo siguientes:
    • DER binario codificado X.509 (.cer)
    • X.509 codificado base 64 (.cer)
  2. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
    certutil -dspublish -f nombreDeArchivo NTAuthCA

Propiedades

Id. de artículo: 295663 - Última revisión: viernes, 20 de enero de 2006 - Versión: 2.1
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palabras clave: 
kbhowtomaster kbenv KB295663

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com