Импорт сертификатов сторонних центров сертификации (ЦС) в корпоративное хранилище NTAuth
Существует два метода импорта сертификатов сторонних ЦС в хранилище ENTERPRISE NTAuth. Этот процесс необходим, если вы используете сторонний ЦС для выдачи смарт-карта сертификатов входа или контроллера домена. Публикуя сертификат ЦС в хранилище ENTERPRISE NTAuth, администратор указывает, что ЦС является доверенным для выдачи сертификатов этих типов. Центры сертификации Windows автоматически публикуют сертификаты ЦС в этом хранилище.
Применяется к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 295663
Дополнительная информация
Хранилище NTAuth — это объект службы каталогов Active Directory, расположенный в контейнере Configuration леса. Различающееся имя протокола LDAP аналогично следующему примеру:
CN=NTAuthCertificates,CN=Службы открытых ключей,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Сертификаты, опубликованные в хранилище NTAuth, записываются в атрибут cACertificate с несколькими значениями. Существует два поддерживаемых метода добавления сертификата к этому атрибуту.
Способ 1. Импорт сертификата с помощью средства работоспособности PKI
PKI Health Tool (PKIView) — это компонент оснастки MMC. Он отображает состояние одного или нескольких ЦС Microsoft Windows, входящих в PKI. Он доступен в составе средств набора ресурсов Windows Server 2003.
PKIView собирает сведения о сертификатах ЦС и списках отзыва сертификатов (CCL) из каждого ЦС на предприятии. Затем проверяет сертификаты и списки отзыва сертификатов, чтобы убедиться, что они работают правильно. Если они работают неправильно или они собираются завершиться ошибкой, PKIView предоставляет подробное предупреждение или некоторые сведения об ошибке.
PKIView отображает состояние ЦС Windows Server 2003, установленных в лесу Active Directory. PKIView можно использовать для обнаружения всех компонентов PKI, включая подчиненные и корневые ЦС, связанные с корпоративным ЦС. Это средство также может управлять важными контейнерами PKI, такими как доверие корневого ЦС и хранилища NTAuth, которые также содержатся в разделе конфигурации леса Active Directory. В этой статье рассматривается эта последняя функция. Дополнительные сведения о PKIView см. в документации по microsoft Windows Server 2003 Resource Kit Tools.
Примечание.
PKIView можно использовать для управления ЦС Windows 2000 и Windows Server 2003. Чтобы установить средства набора ресурсов Windows Server 2003, компьютер должен работать под управлением Windows XP или более поздней версии.
Чтобы импортировать сертификат ЦС в хранилище ENTERPRISE NTAuth, выполните следующие действия.
Экспорт сертификата ЦС в файл .cer. Поддерживаются следующие форматы файлов:
- Двоичный файл X.509 в кодировке DER (.cer)
- X.509 в кодировке Base-64 (.cer)
Установите средства комплекта ресурсов Windows Server 2003. Пакет средств требует Windows XP или более поздней версии.
Запустите консоль управления Майкрософт (Mmc.exe), а затем добавьте оснастку работоспособности PKI:
- В меню Консоль выберите Добавить или удалить оснастку.
- Перейдите на вкладку Автономная и нажмите кнопку Добавить .
- В списке оснастки выберите Корпоративная PKI.
- Нажмите кнопку Добавить, а затем — Закрыть.
- Нажмите ОК.
Щелкните правой кнопкой мыши Корпоративный PKI и выберите Управление контейнерами AD.
Перейдите на вкладку NTAuthCertificates и нажмите кнопку Добавить.
В меню Файл выберите Открыть.
Найдите и выберите сертификат ЦС, а затем нажмите кнопку ОК , чтобы завершить импорт.
Метод 2. Импорт сертификата с помощью Certutil.exe
Certutil.exe — это служебная программа командной строки для управления ЦС Windows. В Windows Server 2003 можно использовать Certutil.exe для публикации сертификатов в Active Directory. Certutil.exe устанавливается вместе с Windows Server 2003. Он также доступен в составе пакета средств администрирования Microsoft Windows Server 2003.
Чтобы импортировать сертификат ЦС в хранилище ENTERPRISE NTAuth, выполните следующие действия.
Экспорт сертификата ЦС в файл .cer. Поддерживаются следующие форматы файлов:
- Двоичный файл X.509 в кодировке DER (.cer)
- X.509 в кодировке Base-64 (.cer)
В командную строку введите следующую команду и нажмите ВВОД:
certutil -dspublish -f filename NTAuthCA
Содержимое хранилища NTAuth кэшировано в следующем расположении реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Этот раздел реестра должен быть автоматически обновлен, чтобы отразить сертификаты, опубликованные в хранилище NTAuth в контейнере конфигурации Active Directory. Это происходит при обновлении параметров групповая политика и при выполнении расширения на стороне клиента, ответственного за автоматическую регистрацию. В некоторых сценариях, таких как задержка репликации Active Directory или если включен параметр политики Не регистрировать сертификаты автоматически, реестр не обновляется. В таких сценариях выполните следующую команду вручную, чтобы вставить сертификат в расположение реестра:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по