Usando o utilitário cipher.exe para migrar certificados auto-assinados para certificados emitidos a autoridade de certificação

Traduções deste artigo Traduções deste artigo
ID do artigo: 295680 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

Este artigo descreve o processo de usando o Cipher.exe utilitário de linha de comando para facilitar a migração de usuários de seus existente auto-assinado certificados de autoridade de certificação (CA)-certificados emitidos.

Mais Informações

Sistema de arquivos com criptografia (EFS) usa certificados digitais para habilitar a criptografia e a recuperação de arquivos do usuário. Na ausência de uma autoridade de certificação (CA) que é capaz de emitir certificados de criptografia de arquivo, o serviço EFS gera um novo certificado e assina digitalmente com a chave particular do usuário. Este certificado é conhecido como um certificado auto-assinado.

Certificados auto-assinados permitem que usuários utilizam o EFS na ausência de uma infra-estrutura de chave pública (PKI) ou no Active Directory. No entanto, esses certificados não podem ser centralmente gerenciados pelos administradores. Quando uma autoridade de certificação tenha sido implantada, o gerenciamento de certificados de usuário na empresa se torna muito mais fácil, mas os administradores são enfrentam o problema de migrar os usuários de seus existente auto-assinado certificados para certificados de autoridade de certificação.

Cipher.exe é um utilitário de linha de comando que está disponível no Microsoft Windows 2000 e no Microsoft Windows XP Professional x 64 Edition com Service Pack 2. Com esse utilitário, os usuários podem solicitar novos certificados de criptografia de arquivo CA emitido para substituir seus certificados de criptografia existentes do arquivo auto-assinado.

O comando cipher /k pode causar o Windows 2000 e Windows XP Professional x 64 Edition com Service Pack 2 para arquivar o certificado auto-assinado existente e solicitar um novo nome de uma autoridade de certificação. Quaisquer arquivos que tenham sido criptografados com a chave pública anterior ainda podem ser descriptografados, e quando eles são subseqüentemente salvos, eles podem ser criptografados com a nova chave pública.

O utilitário de codificação pode ser chamado em um script de logon para automaticamente e invisivelmente migrar usuários. Este utilitário só funciona localmente; ele não é possível solicitar novos certificados para arquivos que foram criptografados em servidores remotos.

O comando de /k cipher não ajusta a subchave do registro que controla o certificado de que é usado para criptografia de arquivo. Para usar o certificado solicitado recém-criado por meio de codificação /k, a seguinte subchave do registro deve ter a impressão digital do certificado emitido por autoridade de certificação. Caso contrário, o EFS continua a criptografar arquivos com o certificado auto-assinado.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys
Copiar a impressão digital fora do certificado emitido por autoridade de certificação e em seguida, cole-a na subchave do Registro. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite certmgr.msc na caixa Abrir e, em seguida, clique em OK .
  2. Localizar a autoridade de certificação (CA)-emitiu o certificado.
  3. Clique duas vezes no certificado, clique na guia detalhes , clique em impressão digital e copie os dados de impressão digital que aparece na caixa que está abaixo a impressão digital.

    Observação Essa etapa é válida somente para Windows 2000. Para o Windows XP Professional x 64 Edition com Service Pack 2, você precisará digitar manualmente a impressão digital no registro.
  4. Abrir o Editor do Registro e localize a subchave do registro que foi mencionada anteriormente.
  5. No painel direito, clique em CertificateHash , clique em Editar e, em seguida, clique em Modificar .
  6. Colar os dados de impressão digital que você copiou na etapa 3 na caixa dados do valor e, em seguida, clique em OK .
  7. Feche o Editor do Registro.
Observação Se a autoridade de certificação não está disponível ou não está configurada para emitir certificados de criptografia de arquivo, o cipher /k comando fará com que o serviço EFS local emitir um certificado auto-assinado para o usuário.

Codificação /k deve substituir o certificado auto-assinado. Cipher /k que ele tenta se registrar para um certificado EFS básico de uma autoridade de certificação devidamente configurado. Se não tiver êxito desse processo, um novo certificado auto-assinado é emitido. Se um certificado EFS básico for emitido, você pode, em seguida, registrar automaticamente para um novo certificado versão 2. Se o modelo está configurado corretamente, o novo certificado versão 2 substitui qualquer certificado EFS básico existente e arquiva-lo no armazenamento pessoal do usuário. No entanto, no Windows XP, EFS continua a usar o certificado EFS básico e a chave para todas as operações de criptografia e descriptografia operações até que esse certificado expira. Depois que esse certificado expira, Windows XP começa a usar novos certificados de versão 2 registrados automaticamente. Esse é um problema conhecido.

Propriedades

ID do artigo: 295680 - Última revisão: terça-feira, 6 de março de 2007 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Professional x64 Edition
Palavras-chave: 
kbmt kbinfo KB295680 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 295680

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com