Jak provést samostatného certifikačního úřadu se systémem Windows Server 2003 s aktualizací SP1 nebo verze x 64 systému Windows Server 2003 kompatibilní s ISIS MTT verze 1.1

Překlady článku Překlady článku
ID článku: 888180 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

, Pokud chcete provést samostatného certifikačního úřadu (CÚ) kompatibilní verze MTT ISIS 1.1 standardní, postupujte podle kroků popsaných v tomto článku. Vydávajícího certifikačního ÚŘADU musí vynutit kódování UTF-8. Po odeslání žádosti o certifikát musí být označeny atribut použití klíče jako "Kritická" během procesu odeslání certifikát. Můžete potom problém a ověřit certifikát.

Úvod

MTT ISIS je nové němčina standardní spolupráce infrastrukturu veřejných klíčů (PKI). MTT ISIS definuje formáty data a komunikačních protokolů zaměstnán v interoperabilní aplikace založené na PKI. Standardní zaměřuje na zabezpečení služby pro ověřování. Tyto služby zahrnují integrity dat a identifikace uživatele, důvěrnost a zrušení odmítnutí. Standard byl vyvinut německé vláda společně s bankovního průmyslových a akademických zájmy.

Chcete-li s ISIS MTT verze 1.1 kompatibilní s Windows certifikačního úřadu (CÚ), musíte dokončit specifické konfigurační kroky. Tento podrobný článek popisuje zápis certifikátů splňujících požadavky ISIS MTT samostatný CÚ.

Poznámka: Vaše CÚ musí být server je spuštěn server, 2003, Service, Pack, Microsoft Windows 1, (SP1), verze x 64 systému Windows Server 2003 nebo novější verzi systému Windows.

Důležité: Změny konfigurace, které jsou popsány v tomto článku musí být použita zápisem zapsán certifikát CÚ. V topologii PKI je nadřazený CÚ žadatel o certifikát. Pokud je požadováno certifikátu z podřízeného certifikačního ÚŘADU, typ požadavky na certifikát CÚ není relevantní.

V tomto článku použít podrobné pokyny, pokud jsou splněny následující podmínky:
  • Vydávajícího certifikačního ÚŘADU vydá ISIS MTT-standardem certifikáty podřízených certifikačních úřadů nebo koncovým entitám.
  • VYSTAVOVATELEM trvá jednu z následujících rolí:
    • Samostatný kořenový certifikační ÚŘAD
    • Samostatný podřízený certifikační ÚŘAD
Chcete-li správně nakonfigurovat vydávajícího certifikačního ÚŘADU, použijte následující metody:
  • Konfigurovat VYSTAVOVATELEM vynutit kódování UTF8.
  • Během zpracování certifikátu odeslání označit atribut použití klíče jako kritické.
  • U certifikátů vynechat digitální podpis položky v oddílu použití klíče.

Vynutit kódování UTF8

Po konfiguraci CÚ vynutit kódování UTF8 UTF8 nastavení platí pro všechny certifikáty vystavené s tohoto CÚ. Na certifikační ÚŘAD, který musí vystavovat certifikáty ISIS MTT-standardem postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz cmd a klepněte na tlačítko OK.
  2. Zadejte následující příkaz a pak stiskněte klávesu ENTER:
    certutil - setreg ca\forceteletex + 0x20
    Tento příkaz nastaví příznak, takže CÚ vždy kóduje předmět UTF8.
  3. Chcete-li zastavit a restartovat službu CÚ, zadejte následující příkazového řádku. Každý příkaz potvrďte stisknutím klávesy ENTER.
    net stop "certifikát služby"
    net start "certifikát služby"
Tuto změnu vrátit zpět, postupujte takto:
  1. Zadejte následující příkazového řádku a stiskněte klávesu ENTER:
    certutil - setreg ca\forceteletex - 0x20
  2. Chcete-li zastavit a restartovat službu CÚ, zadejte následující příkazy. Každý příkaz potvrďte stisknutím klávesy ENTER.
    net stop "certifikát služby"
    net start "certifikát služby"
Poznámka: Verze, které jsou starší než Windows Server 2003 SP1 nelze interpretovat bit "0x20" a bude ignorovat.

Odeslání žádosti o certifikát

Samostatné certifikační úřady nepodporují šablon certifikátů, vlastnosti klíče je nutné nastavit, protože během zpracování žádosti o certifikát. Postupujte takto:
  1. Na VYSTAVOVATELEM klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a potom klepněte na tlačítko Certifikační.
  2. Klepněte pravým tlačítkem myši na certifikát a potom klepněte na příkaz Vlastnosti.
  3. Klepněte na kartu Modul zásad a klepněte na příkaz Vlastnosti.
  4. Klepněte na tlačítko nastavit stav žádosti o certifikát na čekající na vyřízení. Správce musí explicitně vystavit certifikát a potom klepněte na tlačítko OK.
  5. Vytvořit soubor žádosti o certifikát použít s podřízený certifikační ÚŘAD nebo koncová entita.
  6. Na podřízeného ÚŘADU nebo koncová entita odeslat žádost o certifikát samostatný CÚ. Použijte některou z následujících metod.

    Metoda 1: Odeslat ÚŘADU pomocí webového rozhraní

    Informace o tom, jak odeslat ÚŘADU pomocí webového rozhraní na tomto webu společnosti Microsoft a potom v tématu "vyžádání certifikátu pomocí systému Windows Server 2003 CÚ použití PKCS # 10 nebo PKCS # 7 souboru":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Metoda 2: Odeslat ÚŘADU pomocí příkazu Certreq

    1. Příkazového řádku zadejte certreq - odeslat Path_To_Request_File\Certificate_Request_Filename a potom klepněte na tlačítko OK.
    2. V seznamu Vyberte certifikační úřad (CÚ), který chcete použít klepněte na soubor žádosti o certifikát od vydávajícího certifikačního ÚŘADU a klepněte na tlačítko OK.
  7. Poznámka: certifikát ID požadavku, která je vrácena.
Změna použití klíče a označit jej jako kritické, naleznete v části "Změna použití klíče a označit jej jako kritické". Ponechte výchozí použití klíče, ale označit použití klíče jako kritické, naleznete v části text ponechat výchozí použití klíče, ale označit jako kritické ”.

Poznámka: Standardní ISIS MTT vyžaduje název CÚ obsahovat následující rozlišující název atributy:
  • countryName (c)
  • organizationName (o)
Žádající CÚ musí vybrat vhodný název CÚ.

Změna použití klíče a označit jej jako kritické

Ve výchozím nastavení použití klíče certifikátů v systému Windows se liší od nastavení pro použití klíče certifikátů v MTT ISIS. Certifikát certifikačního ÚŘADU, který je kompatibilní s ISIS MTT nese použití následující klíče:
Podepisování CRL Off-line CRL podepisování, podepisování, certifikát
Použití tohoto klíče použít, pokud je požadováno certifikátu, zadejte následující příkazového řádku a stiskněte klávesu ENTER:
echo 03 02 01 06 >File_Name txt
Vysvětlení šestnáctková čísla, které se používají v tomto příkazu naleznete v části text použití klíče Interpret ”.

Upravit žádosti čekající o certifikát CÚ nastavit použití klíče a označit jej jako kritické, zadejte následující příkazového řádku a stiskněte klávesu ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Ponechte výchozí použití klíče, ale označit jako kritické

Tuto metodu použijte, pouze pokud byl změněn a musí být nastavena na kritické použití klíče.

Chcete-li to provést, zadejte následující příkazový řádek a stiskněte klávesu ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Vysvětlení šestnáctková čísla, které se používají v tomto příkazu naleznete v části text použití klíče Interpret ”.

Vydávání a ověřit certifikát

  1. Vydat čekající žádosti.
  2. Zkontrolujte, zda byl certifikát vytvořen správně, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
    certutil - v Path_Of_File / Certificate_File
  3. Zobrazení výstupu zkontrolujte, zda je jako CERT_RDN_UTF8_STRING naformátován běžný název souboru.
  4. Ujistěte se, zda je správně nastaveno použití klíče.
  5. Ujistěte se, že důležité příznak je nastaven pro použití klíče identifikátor objektu 2.5.29.15.

Interpretovat použití klíče

Použití klíče je reprezentován jako řetězec bit. První bajt je typu bit řetězec kódování. Toto je statický 03. Druhý bit definuje délku hodnotu a je nastavena 02. Skutečná hodnota řetězec bit, kde je pevná 01 představují následující bitů. Použití klíče hodnoty jsou definovány v Wincrypt.h zahrnout následující soubor:
# define 0x80 CERT_DIGITAL_SIGNATURE_KEY_USAGE
# define 0x40 CERT_NON_REPUDIATION_KEY_USAGE
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
# define 0x10 CERT_DATA_ENCIPHERMENT_KEY_USAGE
# define 0x08 CERT_KEY_AGREEMENT_KEY_USAGE
# define 0x04 CERT_KEY_CERT_SIGN_KEY_USAGE
# define 0x02 CERT_OFFLINE_CRL_SIGN_KEY_USAGE
# define CERT_CRL_SIGN_KEY_USAGE 0x02
# define 0x01 CERT_ENCIPHER_ONLY_KEY_USAGE
Například hodnota 03 02 01 86 sady následující použití klíčů s logické operace OR:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Pokud chcete podepisování seznamu odvolaných certifikátů (CRL) a pouze podpis certifikátu, šestnáctková hodnota musí být 03 02 01 06.

Další informace

Odborná pomoc pro systém Windows x 64

Výrobce hardwaru poskytuje technickou podporu a odbornou pomoc pro systém Microsoft Windows x 64. Výrobce hardwaru poskytuje podporu proto, že systém Windows XP x64 byl zahrnut v dodaném hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows x64 pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí v případě, že potřebujete technickou pomoc ke své verzi systému Windows x64. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí podpory k softwaru, který instaloval do hardwaru.

Informace o systému Microsoft Windows XP Professional x64 Edition získáte na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Informace o systému Microsoft Windows Server 2003 x 64 Edition naleznete na následujícím webu:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Vlastnosti

ID článku: 888180 - Poslední aktualizace: 11. října 2007 - Revize: 4.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:888180

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com