Como importar certificados de autoridade de certificação de terceiros (AC) para o repositório Enterprise NTAuth
Há dois métodos que você pode usar para importar os certificados de CAs de terceiros para o repositório Enterprise NTAuth. Esse processo será necessário se você estiver usando uma AC de terceiros para emitir logon cartão inteligente ou certificados do controlador de domínio. Ao publicar o certificado de AC no repositório Enterprise NTAuth, o Administrador indica que a AC é confiável para emitir certificados desses tipos. Os CAs do Windows publicam automaticamente seus certificados de AC neste repositório.
Aplica-se a: Windows Server 2016, Windows Server 2012 R2
Número de KB original: 295663
Mais informações
O repositório NTAuth é um objeto de serviço do Active Directory que está localizado no contêiner de configuração da floresta. O nome diferenciado LDAP (Protocolo de Acesso ao Diretório Leve) é semelhante ao exemplo a seguir:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Os certificados publicados no repositório NTAuth são gravados no atributo cACertificate de vários valores. Há dois métodos com suporte para acrescentar um certificado a esse atributo.
Método 1 – Importar um certificado usando a Ferramenta de Integridade PKI
PKI Health Tool (PKIView) é um componente de snap-in do MMC. Ele exibe o status de um ou mais CAs do Microsoft Windows que compõem um PKI. Ele está disponível como parte das Ferramentas de Kit de Recursos do Windows Server 2003.
O PKIView reúne informações sobre os certificados de AC e as listas de revogação de certificados (CRLs) de cada AC na empresa. Em seguida, valida os certificados e CRLs para garantir que eles estejam funcionando corretamente. Se eles não estiverem funcionando corretamente ou estiverem prestes a falhar, o PKIView fornecerá um aviso detalhado ou algumas informações de erro.
O PKIView exibe o status de CAs do Windows Server 2003 instalados em uma floresta do Active Directory. Você pode usar o PKIView para descobrir todos os componentes PKI, incluindo CAs subordinados e raiz associados a uma AC corporativa. A ferramenta também pode gerenciar contêineres PKI importantes, como a confiança de AC raiz e os repositórios NTAuth, que também estão contidos na partição de configuração de uma floresta do Active Directory. Este artigo discute essa última funcionalidade. Para obter mais informações sobre o PKIView, consulte a documentação do Microsoft Windows Server 2003 Resource Kit Tools.
Observação
Você pode usar o PKIView para gerenciar CAs do Windows 2000 e CAs do Windows Server 2003. Para instalar as Ferramentas do Kit de Recursos do Windows Server 2003, seu computador deve estar executando o Windows XP ou posterior.
Para importar um certificado de AC para o repositório Enterprise NTAuth, siga estas etapas:
Exporte o certificado da AC para um arquivo .cer. Há suporte para os seguintes formatos de arquivo:
- X.509 binário codificado pelo DER (.cer)
- Base-64 codificada X.509 (.cer)
Instale as Ferramentas do Kit de Recursos do Windows Server 2003. O pacote de ferramentas requer Windows XP ou posterior.
Inicie o Console de Gerenciamento da Microsoft (Mmc.exe) e adicione o snap-in PKI Health:
- No menu Console, selecione Adicionar/Remover Snap-in.
- Selecione a guia Autônomo e selecione o botão Adicionar .
- Na lista de snap-ins, selecione Enterprise PKI.
- Selecione Adicionar e, em seguida, selecione Fechar.
- Selecione OK.
Clique com o botão direito do mouse em Enterprise PKI e selecione Gerenciar Contêineres do AD.
Selecione a guia NTAuthCertificates e selecione Adicionar.
No menu Arquivo, selecione Abrir.
Localize e selecione o certificado de AC e selecione OK para concluir a importação.
Método 2 – Importar um certificado usando Certutil.exe
Certutil.exe é um utilitário de linha de comando para gerenciar uma AC do Windows. No Windows Server 2003, você pode usar Certutil.exe para publicar certificados no Active Directory. Certutil.exe é instalado com o Windows Server 2003. Ele também está disponível como parte do Pacote de Ferramentas de Administração do Microsoft Windows Server 2003.
Para importar um certificado de AC para o repositório Enterprise NTAuth, siga estas etapas:
Exporte o certificado da AC para um arquivo .cer. Há suporte para os seguintes formatos de arquivo:
- X.509 binário codificado pelo DER (.cer)
- Base-64 codificada X.509 (.cer)
Em um prompt de comando, digite o comando a seguir e pressione ENTER:
certutil -dspublish -f filename NTAuthCA
O conteúdo do repositório NTAuth é armazenado em cache no seguinte local do registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Essa chave de registro deve ser atualizada automaticamente para refletir os certificados publicados no repositório NTAuth no contêiner de configuração do Active Directory. Esse comportamento ocorre quando Política de Grupo configurações são atualizadas e quando a extensão do lado do cliente responsável pelo registro automático é executada. Em determinados cenários, como latência de replicação do Active Directory ou quando a configuração de política Não registrar certificados automaticamente está habilitada, o registro não é atualizado. Nesses cenários, execute o seguinte comando manualmente para inserir o certificado no local do registro:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários