Üçüncü taraf sertifika yetkilisi (CA) sertifikalarını Enterprise NTAuth deposuna aktarma
Üçüncü taraf CA'ların sertifikalarını Enterprise NTAuth deposuna aktarmak için kullanabileceğiniz iki yöntem vardır. Akıllı kart oturum açma veya etki alanı denetleyicisi sertifikaları vermek için üçüncü taraf CA kullanıyorsanız bu işlem gereklidir. Yönetici, CA sertifikasını Enterprise NTAuth deposuna yayımlayarak CA'nın bu türdeki sertifikaları vermesine güvenildiğini belirtir. Windows CA'ları CA sertifikalarını otomatik olarak bu depoda yayımlar.
Şunlar için geçerlidir: Windows 2016, Windows Server 2012 R2
Özgün KB numarası: 295663
Daha fazla bilgi
NTAuth deposu, ormanın Yapılandırma kapsayıcısında bulunan bir Active Directory dizin hizmeti nesnesidir. Basit Dizin Erişim Protokolü (LDAP) ayırt edici adı aşağıdaki örneğe benzer:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
NTAuth deposunda yayımlanan sertifikalar, cACertificate birden çok değerli özniteliğine yazılır. Bu özniteliğe sertifika eklemek için desteklenen iki yöntem vardır.
Yöntem 1 - PKI Sistem Durumu Aracı'nı kullanarak sertifikayı içeri aktarma
PKI Sistem Durumu Aracı (PKIView), mmc ek bileşenidir. PKI'yı oluşturan bir veya daha fazla Microsoft Windows CA'sının durumunu görüntüler. Windows Server 2003 Kaynak Seti Araçları'nın bir parçası olarak kullanılabilir.
PKIView, kuruluştaki her CA'dan CA sertifikaları ve sertifika iptal listeleri (CRL) hakkında bilgi toplar. Ardından sertifikaları ve CRL'leri doğrulayarak düzgün çalıştıklarından emin olur. Düzgün çalışmıyorsa veya başarısız olmak üzereyse, PKIView ayrıntılı bir uyarı veya bazı hata bilgileri sağlar.
PKIView, Active Directory ormanında yüklü olan Windows Server 2003 CA'larının durumunu görüntüler. Kurumsal CA ile ilişkili alt ve kök CA'lar da dahil olmak üzere tüm PKI bileşenlerini bulmak için PKIView'ı kullanabilirsiniz. Araç, bir Active Directory ormanının yapılandırma bölümünde de yer alan kök CA güveni ve NTAuth depoları gibi önemli PKI kapsayıcılarını da yönetebilir. Bu makalede bu ikinci işlevsellik ele alınmaktadır. PKIView hakkında daha fazla bilgi için Microsoft Windows Server 2003 Resource Kit Araçları belgelerine bakın.
Not
PKIView kullanarak hem Windows 2000 CA'larını hem de Windows Server 2003 CA'larını yönetebilirsiniz. Windows Server 2003 Resource Kit Araçları'nı yüklemek için bilgisayarınızın Windows XP veya sonraki bir sürümünü çalıştırıyor olması gerekir.
Ca sertifikasını Enterprise NTAuth deposuna aktarmak için şu adımları izleyin:
CA sertifikasını bir .cer dosyasına aktarın. Aşağıdaki dosya biçimleri desteklenir:
- DER kodlu ikili X.509 (.cer)
- Base-64 ile kodlanmış X.509 (.cer)
Windows Server 2003 Resource Kit Araçları'nı yükleyin. Araç paketi Windows XP veya sonraki bir sürümü gerektirir.
Microsoft Yönetim Konsolu'nu (Mmc.exe) başlatın ve PKI Sistem Durumu ek bileşenini ekleyin:
- Konsol menüsünde Ek Bileşen Ekle/Kaldır'ı seçin.
- Tek başına sekmesini ve ardından Ekle düğmesini seçin.
- Ek bileşenler listesinde Kurumsal PKI'yı seçin.
- Ekle'yi ve ardından Kapat'ı seçin.
- Tamam'ı seçin.
Kurumsal PKI'ya sağ tıklayın ve ardından AD Kapsayıcılarını Yönet'i seçin.
NTAuthCertificates sekmesini ve ardından Ekle'yi seçin.
Dosya menüsünde, Aç'ı seçin.
CA sertifikasını bulup seçin ve ardından tamam'ı seçerek içeri aktarma işlemini tamamlayın.
Yöntem 2 - Certutil.exe kullanarak sertifikayı içeri aktarma
Certutil.exe, Windows CA'sını yönetmeye yönelik bir komut satırı yardımcı programıdır. Windows Server 2003'te Certutil.exe kullanarak Active Directory'ye sertifika yayımlayabilirsiniz. Certutil.exe Windows Server 2003 ile birlikte yüklenir. Microsoft Windows Server 2003 Yönetim Araçları Paketi'nin bir parçası olarak da kullanılabilir.
Ca sertifikasını Enterprise NTAuth deposuna aktarmak için şu adımları izleyin:
CA sertifikasını bir .cer dosyasına aktarın. Aşağıdaki dosya biçimleri desteklenir:
- DER kodlu ikili X.509 (.cer)
- Base-64 ile kodlanmış X.509 (.cer)
Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:
certutil -dspublish -f filename NTAuthCA
NTAuth deposunun içeriği aşağıdaki kayıt defteri konumunda önbelleğe alınır:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Bu kayıt defteri anahtarı, Active Directory yapılandırma kapsayıcısında NTAuth deposunda yayımlanan sertifikaları yansıtacak şekilde otomatik olarak güncelleştirilmelidir. Bu davranış, grup ilkesi ayarları güncelleştirildiğinde ve otomatik kayıt işleminden sorumlu istemci tarafı uzantısı yürütülürken oluşur. Active Directory çoğaltma gecikmesi gibi bazı senaryolarda veya Sertifikaları otomatik olarak kaydetme ilke ayarı etkinleştirildiğinde kayıt defteri güncelleştirilmez. Bu tür senaryolarda, sertifikayı kayıt defteri konumuna eklemek için aşağıdaki komutu el ile çalıştırın:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin