如何将第三方证书颁发机构 (CA) 的证书导入 Enterprise NTAuth 存储

文章翻译 文章翻译
文章编号: 295663 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍两种将第三方证书颁发机构 (CA) 的证书导入 Enterprise NTAuth 存储的方法。如果您使用第三方 CA 颁发智能卡登录或域控制器证书,则此过程是必须的。管理员通过将 CA 证书发布到 Enterprise NTAuth 存储,表明信任 CA 颁发的这些类型的证书。Windows CA 会将其 CA 证书自动发布到此存储。

NTAuth 存储是一个 Active Directory 目录服务对象,位于林的“配置”容器中。轻型目录访问协议 (LDAP) 可分辨名称类似以下形式:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
发布到 NTAuth 存储的证书被写入“cACertificate”多值属性。支持两种将证书附加到此属性的方法。

方法 1:使用 PKI Health Tool 导入证书

PKI Health Tool (PKIView) 是一个 MMC 管理单元组件,它显示组成公钥基础结构 (PKI) 的一个或多个 Microsoft Windows 证书颁发机构的状态。它作为 Windows Server 2003 资源工具包工具的一部分提供。要下载这些工具,请访问以下 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
PKIView 从每个企业的 CA 中收集有关 CA 证书和证书吊销列表 (CRL) 的信息。然后,PKIView 验证证书和 CRL 以确保其正常工作。如果它们不能正常工作或即将失败,则 PKIView 会提供详细警告或一些出错信息。

PKIView 显示安装在 Active Directory 林中的 Windows Server 2003 证书颁发机构的状态。您可以使用 PKIView 发现所有 PKI 组件,包括与企业 CA 相关联的从属 CA 和根 CA。此工具也可以管理重要的 PKI 容器,例如根 CA 信任和 NTAuth 存储(也包含在 Active Directory 林的配置分区中)。本文介绍后一种功能。有关 PKIView 的详细信息,请参阅 Microsoft Windows Server 2003 资源工具包工具文档。

注意:您可以使用 PKIView 管理 Windows 2000 CA 和 Windows Server 2003 CA。要安装 Windows Server 2003 资源工具包工具,您的计算机必须运行 Windows XP 或更高版本。

要将 CA 证书导入 Enterprise NTAuth 存储,请按照以下步骤操作:
  1. 将 CA 的证书导出到 .cer 文件。支持以下文件格式:
    • DER 编码二进制 X.509 (.cer)
    • Base64 编码 X.509 (.cer)
  2. 安装 Windows Server 2003 资源工具包工具。此工具包需要 Windows XP 或更高版本。
  3. 启动 Microsoft 管理控制台 (Mmc.exe),然后添加 PKI Health 管理单元:
    1. 在“控制台”菜单上,单击“添加/删除管理单元”。
    2. 单击“独立”选项卡,然后单击“添加”。
    3. 在管理单元列表中,单击“Enterprise PKI”。
    4. 单击“添加”,然后单击“关闭”。
    5. 单击“确定”。
  4. 右键单击“企业 PKI”,然后单击“管理 AD 容器”。
  5. 单击“NTAuthCertificates”选项卡,然后单击“添加”。
  6. 在“文件”菜单上,单击“打开”。
  7. 找到并单击 CA 证书,然后单击“确定”以完成导入。

方法 2:使用 Certutil.exe 导入证书

Certutil.exe 是一个用于管理 Windows CA 的命令行实用程序。在 Windows Server 2003 中,您可以使用 Certutil.exe 将证书发布到 Active Directory。Certutil.exe 与 Windows Server 2003 一起安装。它作为 Microsoft Windows Server 2003 管理工具包的一部分提供。要下载该工具包,请访问以下 Microsoft 网站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en
要将 CA 证书导入 Enterprise NTAuth 存储,请按照以下步骤操作:
  1. 将 CA 的证书导出到 .cer 文件。支持以下文件格式:
    • DER 编码二进制 X.509 (.cer)
    • Base64 编码 X.509 (.cer)
  2. 在命令提示符下键入下面的命令,然后按 Enter:
    certutil -dspublish -f filename NTAuthCA

属性

文章编号: 295663 - 最后修改: 2006年9月6日 - 修订: 2.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
关键字:?
kbhowtomaster kbenv KB295663
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com