Uso de la utilidad Cipher.exe para migrar certificados autofirmados a emitido de entidad emisora certificados

Seleccione idioma Seleccione idioma
Id. de artículo: 295680 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

En este artículo describe el proceso mediante el Cipher.exe Utilidad de línea de comandos para facilitar la migración de usuarios desde sus existentes autofirmado los certificados de entidad emisora de certificados (CA)-certificados emitidos.

Más información

El archivo de sistema de cifrado (EFS) utiliza certificados digitales para habilitar el cifrado y la recuperación de archivos de usuario. En ausencia de una entidad emisora de certificados (CA) que es capaz de emitir certificados de cifrado de archivo, el servicio EFS genera un nuevo certificado y firma digitalmente con la clave privada del usuario. Este certificado se conoce como un certificado autofirmado.

Certificados autofirmados permiten a los usuarios utilizar EFS en ausencia de una infraestructura de claves pública (PKI) o Active Directory. Sin embargo, estos certificados no pueden administrarse centralmente mediante los administradores. Cuando se ha implementado una entidad emisora de CERTIFICADOS, la administración de certificados de usuario de la empresa se convierte en mucho más fácil, pero los administradores se enfrentan a continuación, el problema de migrar usuarios desde sus existentes autofirmado certificados en certificados emitidos por CA.

Cipher.exe es una utilidad de línea de comandos que está disponible en Microsoft Windows 2000 y de Microsoft Windows XP Professional x 64 con Service Pack 2. Con esta utilidad, los usuarios pueden solicitar nuevos certificados de cifrado de archivo emitido para reemplazar sus certificados de cifrado de archivo autofirmado existente.

El comando cipher /k puede causar Windows 2000 y Windows XP Professional x 64 Edition con Service Pack 2 para archivar el certificado autofirmado existente y solicitar uno nuevo desde una entidad emisora de CERTIFICADOS. Todavía se pueden descifrar los archivos que se han cifrado con la clave pública anterior y cuando posteriormente se guardan, se pueden cifrar con la nueva clave pública.

La utilidad de cifrado puede llamarse en una secuencia de comandos inicio de sesión para automáticamente y migra usuarios de forma invisible. Esta utilidad sólo funciona localmente; no puede solicitar certificados nuevos para los archivos que han sido cifrados en servidores remotos.

Comando cipher /k no ajusta la subclave del registro que controla qué certificado se utiliza para cifrado de archivos. Para utilizar el certificado recién solicitado que se creó mediante cipher /k, la siguiente subclave del registro debe tener la huella digital del certificado emitido de entidad emisora de certificados. En caso contrario, EFS se continúa cifrar los archivos con el certificado autofirmado.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys
Copie la huella digital fuera del certificado emitido de entidad emisora de certificados y péguelo en la subclave del registro. Para ello, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba certmgr.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar .
  2. Busque la entidad emisora de certificados (CA)-certificado.
  3. Haga doble clic en el certificado, haga clic en la ficha Detalles , haga clic en la huella digital y, a continuación, copiar los datos de huella digital que aparece en el cuadro que está por debajo de la huella digital.

    Nota Este paso sólo es válido para Windows 2000. Para Windows XP Professional x 64 Edition con Service Pack 2, tendrá que escribir manualmente la huella digital en el registro.
  4. Abrir el Editor del registro y, a continuación, busque la subclave del registro que se ha mencionado anteriormente.
  5. En el panel derecho, haga clic en CertificateHash , haga clic en Modificar y, a continuación, haga clic en Modificar .
  6. Pegar los datos de huella digital que copió en el paso 3 en el cuadro datos del valor y, a continuación, haga clic en Aceptar .
  7. Cierre el Editor del registro.
Nota Si la entidad emisora de certificados no está disponible o no está configurada para emitir certificados de cifrado de archivo, comando cipher /k hará que el servicio EFS local emitir un certificado autofirmado para el usuario.

Cipher /k debe reemplazar el certificado autofirmado. Cipher /k intenta inscribir un certificado EFS básico de una CA configurada adecuadamente. Si ese proceso es incorrecto, se emite un nuevo certificado autofirmado. Si se emite un certificado de EFS básico, puede a continuación, automática-inscribirse para obtener una nueva versión 2 certificado. Si la plantilla está configurado correctamente, el nuevo certificado de versión 2 reemplaza cualquier certificado de EFS básico existente y lo archivos en el almacén personal del usuario. Sin embargo, en Windows XP, EFS sigue utilizar el certificado de EFS básico y la clave para todas las operaciones de cifrado y descifrado operaciones hasta que caduca este certificado. Después de que este certificado caduque, Windows XP empieza a utilizar los nuevos certificados de versión 2 inscritos automáticamente. Se trata de un problema conocido.

Propiedades

Id. de artículo: 295680 - Última revisión: martes, 06 de marzo de 2007 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows XP Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows XP Professional x64 Edition
Palabras clave: 
kbmt kbinfo KB295680 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 295680

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com