Como importar certificados de autoridade de certificação (AC) de certificação de terceiros para o arquivo NTAuth Enterprise

Este artigo descreve dois métodos que pode utilizar para importar os certificados de autoridades de certificação de terceiros (AC) empresarial pelo arquivo NTAuth. Este pocesso é necessário se estiver a utilizar uma AC de outros fabricantes para emitir domínio de início de sessão de smart card ou certificados de controlador. Quando publicar o certificado da AC no arquivo NTAuth empresa, o administrador indica que a AC é fidedigna para emitir certificados destes tipos. ACs do Windows publica automaticamente os certificados de AC a este arquivo.

O arquivo NTAuth é um objecto de serviço de directório do Active Directory localizado no contentor de configuração da floresta. O nome distinto de (LIGHTWEIGHT Directory Access Protocol) é semelhante à seguinte:Certificados que são publicados no NTAuth arquivo são escritos para o atributo de valor múltiplo de cACertificate . Existem dois métodos suportados para anexar um certificado a este atributo.

Método 1: Importar um certificado utilizando a ferramenta do estado de funcionamento de infra-estrutura de chaves públicas

Ferramenta de estado de funcionamento de infra-estrutura de chaves públicas (PKIView) é um MMC snap-in componente que apresenta o estado de um ou mais autoridades de certificação Microsoft Windows a constituem uma infra-estrutura de chave pública (PKI). Está disponível como parte das ferramentas do Windows Server 2003 Resource Kit. Para transferir estas ferramentas, visite o seguinte Web site da Microsoft:PKIView recolhe informações sobre os certificados de AC e listas de revogação de certificados (CRL, Certificate Revocation Lists) de cada AC na empresa. Em seguida, PKIView valida os certificados e CRLs para assegurar que que estão a funcionar correctamente. Se de que não estão a funcionar correctamente ou se estão prestes a falhar, PKIView fornece algumas informações de erro ou de um aviso detalhado.

PKIView apresenta o estado de autoridades de certificação Windows Server 2003 que estão instalados numa floresta do Active Directory. Pode utilizar PKIView para descobrir todos os componentes de infra-estrutura de chaves públicas, incluindo subordinada e raiz AC associadas a uma AC empresarial. A ferramenta também pode gerir importantes contentores de infra-estrutura de chaves públicas, tais como AC de raiz fidedigna e arquivos no NTAuth, também estão contidos na partição de configuração de uma floresta do Active Directory. Este artigo explica esta última funcionalidade. Para obter mais informações sobre o PKIView, consulte a documentação do Microsoft Windows Server 2003 Resource Kit Tools.

Nota Pode utilizar PKIView para gerir AC do Windows 2000 e Windows Server 2003 AC. Para instalar o Windows Server 2003 Resource Kit de ferramentas, o computador tem de ter Windows XP ou posterior.

Para importar um certificado da AC no arquivo NTAuth Enterprise, siga estes passos:

1. Exporte o certificado da AC para um ficheiro .cer. São suportados os seguintes formatos de ficheiro:
   • DER codificado em binário X.509 (.cer)
   • Base-64 codificado X.509 (.cer)
2. Instale as ferramentas de Kit de recursos do Windows Server 2003. O pacote de ferramentas requer o Windows XP ou posterior.
3. Iniciar a consola de gestão da Microsoft (MMC.exe) e, em seguida, adicione o snap-in Health infra-estrutura de chaves públicas:
   1. No menu consola , clique em Adicionar/remover Snap-in .
   2. Clique no separador autónomo e, em seguida, clique no botão Adicionar .
   3. Na lista de snap-ins, clique em Para PKI, Public Key INFRASTRUCTURE .
   4. Clique em Adicionar e, em seguida, clique em Fechar .
   5. Clique em OK .
4. Clique com o botão direito do rato Para PKI, Public Key INFRASTRUCTURE e clique em Gerir AD contentores .
5. Clique no separador CertificadosAutNT e, em seguida, clique em Adicionar .
6. No menu ficheiro , clique em Abrir .
7. Localize e, em seguida, clique no certificado da AC e, em seguida, clique em OK para concluir a importação.

Método 2: Importar um certificado utilizando o certutil.exe

Certutil.exe é um utilitário da linha de comandos para gerir uma AC do Windows. No Windows Server 2003, pode utilizar o certutil.exe para publicar certificados no Active Directory. Certutil.exe é instalado com o Windows Server 2003. Também está disponível como parte do Microsoft Windows Server 2003 Administration Tools Pack. Para transferir este pacote de ferramentas, visite o seguinte Web site da Microsoft:Para importar um certificado da AC no arquivo NTAuth Enterprise, siga estes passos:

1. Exporte o certificado da AC para um ficheiro .cer. São suportados os seguintes formatos de ficheiro:
   • DER codificado em binário X.509 (.cer)
   • Base-64 codificado X.509 (.cer)
2. Numa linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
   certutil - dspublish -f filename NTAuthCA

O conteúdo do arquivo NTAuth é colocado na seguinte localização do registo: Esta chave de registo deve ser automaticamente actualizada para reflectir os certificados que são publicados no arquivo NTAuth no contentor de configuração do Active Directory. Este comportamento ocorre quando são actualizadas as definições de política de grupo e a extensão de lado do cliente é responsável por inscrição automática é executada. Em determinados cenários, tal como latência da replicação do Active Directory ou quando a definição de política não a inscrever certificados automaticamente estiver activada, o registo não é actualizado. Em tais situações, é possível executar o seguinte comando manualmente para inserir o certificado para a localização do registo: