如何匯入到企業 NTAuth 存放區中協力廠商憑證授權單位 (CA) 憑證

文章翻譯 文章翻譯
文章編號: 295663 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

本文將告訴您,您可以用來匯入到企業 NTAuth 存放區中的第三方憑證授權單位 (CA) 憑證的兩個方法。如果您正在使用協力廠商 CA 發行智慧卡登入或網域控制站憑證,則需要此程序。藉由發行 CA 憑證到企業 NTAuth 存放區,系統管理員會指出 CA 是信任發行這些類型的憑證。Windows CA 自動將他們的 CA 憑證發佈到此儲存區。

其他相關資訊

NTAuth 儲存區是位於 [組態 容器的樹系的 Active Directory 目錄服務物件。輕量型目錄存取通訊協定 (LDAP) 辨別的名稱會類似下列:
CN = NTAuthCertificates CN = 公用金鑰服務 CN = 服務 CN = 組態 DC = MyDomain,DC = com
發佈到 NTAuth cACertificate 多重值屬性會寫入存放區的憑證。有兩種支援的方法?附加憑證到此屬性。

藉由使用 PKI 狀況工具方法 1: 匯入的憑證

PKI 狀況工具 (PKIView) 是一個 MMC 嵌入式管理單元顯示元件的一或多個 Microsoft Windows 憑證授權單位構成公開金鑰基礎結構 (PKI) 狀態。可以使用 Windows Server 2003 資源套件工具的一部份。如果要下載這些工具,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
PKIView 收集 CA 憑證的相關資訊,以及憑證撤銷從企業中每個 CA 清單 (CRL)。然後,PKIView 驗證憑證和 CRL 來確認它們正確地使用。如果它們未正常運作,或他們即將失敗,PKIView 會提供詳細的警告或某些資訊時發生錯誤。

PKIView 顯示安裝在 Active Directory 樹系中的 Windows Server 2003 憑證授權單位的狀態。您可以使用以探索所有的 PKI 元件包括從屬 PKIView 和根 CA 與企業 CA 相關聯的。這個工具也可以管理如根 CA 的信任和 NTAuth 存放區也包含在 Active Directory 樹系的設定磁碟分割中的重要 PKI 容器。本文將告訴您這個後者的功能。如需有關 [PKIView 的詳細資訊,請參閱 Microsoft Windows Server 2003 資源套件工具文件。

附註您可以使用 PKIView 來管理 Windows 2000 CA 與 Windows Server 2003 CA。若要安裝 Windows Server 2003 資源套件工具,您的電腦必須執行 Windows XP 或更新版本。

CA 憑證匯入企業 NTAuth 存放區,請依照下列步驟執行:
  1. CA 的憑證匯出至.cer 檔案。支援下列檔案格式:
    • DER 編碼二進位 X.509 (.cer)
    • Base-64 編碼 X.509 (.cer)
  2. 安裝 Windows Server 2003 資源套件工具。工具套件需要 Windows XP 或更新版本。
  3. 啟動 Microsoft 管理主控台 (Mmc.exe),然後再新增 [PKI 健全狀況 」 嵌入式管理單元:
    1. 按一下 [自動顯示在 [主控台] 功能表上的 [新增/移除嵌入式管理單元]。
    2. 按一下 [獨立] 索引標籤,然後按一下 [新增] 按鈕。
    3. 在 [嵌入式管理單元清單中,按一下 [企業 PKI]。
    4. 按一下 [新增],然後按一下 [關閉]。
    5. 按一下 [確定]
  4. 企業 PKI,] 上按一下滑鼠右鍵,然後按一下 [管理 AD 容器
  5. 按一下 NTAuthCertificates] 索引標籤,然後按一下 [新增]。
  6. 在 [檔案] 功能表上, 按一下 [開啟舊檔]。
  7. 找出,然後按一下 [CA] 憑證,再按 [確定] 完成匯入。

藉由使用 Certutil.exe 方法 2: 匯入的憑證

Certutil.exe 是命令列公用程式來管理 Windows CA。在 Windows Server 2003 可用於將憑證發佈到 Active Directory Certutil.exe。Certutil.exe 是與 Windows Server 2003 安裝。它也是可以使用 Microsoft Windows Server 2003 系統管理工具套件的一部分。要下載此工具套件,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en
CA 憑證匯入企業 NTAuth 存放區,請依照下列步驟執行:
  1. CA 的憑證匯出至.cer 檔案。支援下列檔案格式:
    • DER 編碼二進位 X.509 (.cer)
    • Base-64 編碼 X.509 (.cer)
  2. 在命令提示字元輸入下列命令,,然後按下 ENTER:
    certutil-dspublish-f filename NTAuthCA
在下列登錄位置中快取 NTAuth 儲存區的內容:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
這個登錄機碼應該會自動更新以反映已發行的憑證到 NTAuth 存放區在 Active Directory 組態容器中。 此問題的發生原因,是更新 「 群組原則 」 設定時,且當用戶端延伸,專門負責自動註冊會執行。 在某些情況下例如 Active Directory 複寫延遲或啟用 待辦不自動註冊憑證] 原則設定時不會更新登錄。在這類案例中,您可以執行下列命令以手動方式來登錄位置中插入憑證:
certutil-企業-addstore NTAuth CA_CertFilename.cer

屬性

文章編號: 295663 - 上次校閱: 2008年6月18日 - 版次: 3.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
關鍵字:?
kbmt kbenv kbhowtomaster KB295663 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:295663
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com