Wie Sie eine eigenständige Zertifizierungsstelle, auf dem Windows Server 2003 mit Service Pack 1 oder eine X 64-basierten Version von Windows Server 2003 mit ISIS-MTT Version 1.1 kompatibel ausgeführt wird

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 888180 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

, wenn Sie stellen eine eigenständige Zertifizierungsstelle (CA) mit ISIS-MTT Version 1.1 kompatibel standard, führen Sie die Schritte, die in diesem Artikel beschrieben werden. Die ausstellende CA muss UTF-8-Codierung erzwingen. Nachdem eine Zertifikatanforderung gesendet wird, muss während des Zertifikateinreichungsprozesses das Schlüsselverwendung-Attribut als "Kritisch" markiert werden. Sie können dann ausgeben und das Zertifikat überprüfen.

EINFÜHRUNG

ISIS-MTT ist eine neue Deutsch standard für die Interoperabilität der Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI). ISIS-MTT definiert die Datenformate und Kommunikationsprotokolle, die in interoperablen PKI-basierten Anwendungen eingesetzt werden. Der Standard konzentriert sich auf Sicherheitsdienste für Authentifizierung. Diese Dienste umfassen Benutzer-ID und die Datenintegrität, Vertraulichkeit und Nichtabstreitbarkeit. Der Standard wurde von der deutschen Regierung zusammen mit Bankgeschäfte, industrielle und akademische Interessen entwickelt.

Um die Windows-Zertifizierungsstelle (CA) mit ISIS-MTT Version 1.1 kompatibel machen, müssen Sie bestimmte Konfigurationsschritte ausführen. Dieser schrittweise aufgebaute Artikel beschreibt die Zertifikate registrieren, die die ISIS-MTT-Anforderungen für eine eigenständige ZERTIFIZIERUNGSSTELLE entsprechen.

Hinweis: Die ZERTIFIZIERUNGSSTELLE muss ein Server sein, auf dem Microsoft Windows Server 2003 Service Pack 1 (SP1), eine X 64-basierte Version von Windows Server 2003 oder einer späteren Version von Windows ausgeführt wird.

wichtig Die Konfigurationsänderungen, die in diesem Artikel dokumentiert sind, müssen an die ZERTIFIZIERUNGSSTELLE angewendet werden, die das Zertifikat registriert. In einer PKI-Topologie ist dies die übergeordnete ZERTIFIZIERUNGSSTELLE des Antragstellers. Wenn ein Zertifizierungsstellenzertifikat von einer untergeordneten ZERTIFIZIERUNGSSTELLE angefordert wird, ist der Typ der ZERTIFIZIERUNGSSTELLE, die das Zertifikat anfordert, nicht relevant.

Verwenden Sie die schrittweisen Anweisungen in diesem Artikel Wenn folgenden Bedingungen erfüllt sind:
  • Die ausstellende ZERTIFIZIERUNGSSTELLE stellt ISIS-MTT-kompatible Zertifikate, um untergeordnete Zertifizierungsstellen oder End-Entitäten.
  • Die ausstellende ZERTIFIZIERUNGSSTELLE nimmt eine der folgenden Rollen:
    • Eigenständige Stammzertifizierungsstelle
    • Eigenständige untergeordnete ZERTIFIZIERUNGSSTELLE
Verwenden Sie die folgenden Methoden, um die ausstellende CA ordnungsgemäß zu konfigurieren:
  • Konfigurieren der ausstellenden ZERTIFIZIERUNGSSTELLE UTF8-Codierung zu erzwingen.
  • Markieren Sie das Schlüsselverwendung-Attribut als kritisch während Zertifikat senden.
  • Lassen Sie für Zertifizierungsstellenzertifikate den digitale Signatur Eintrag im Abschnitt Schlüsselverwendung.

Erzwingen Sie die UTF8-Codierung

Nachdem Sie eine ZERTIFIZIERUNGSSTELLE erzwingen UTF8-Codierung konfiguriert haben, gilt die UTF8-Einstellung für alle Zertifikate, die mit dieser ZERTIFIZIERUNGSSTELLE ausgestellt werden. Folgendermaßen Sie auf der CA, die ISIS-MTT-kompatible Zertifikate ausstellen muss vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
  2. Geben Sie Folgendes ein, und dann die EINGABETASTE:
    Certutil - Setreg Ca\forceteletex + 0 x 20
    Dieser Befehl legt das Flag fest, so dass die ZERTIFIZIERUNGSSTELLE immer den Betreff mit UTF8 codiert.
  3. Zum Beenden und starten Sie den CA-Dienst neu, geben Sie Folgendes an einer Eingabeaufforderung ein. Drücken Sie nach jedem Befehl die [EINGABETASTE].
    net Stop "Zertifikatsdienste"
    net Start "Zertifikatsdienste"
Gehen Sie folgendermaßen vor um diese Änderung rückgängig zu machen:
  1. Geben Sie den folgenden Befehl in eine Eingabeaufforderung ein, und drücken Sie anschließend die [EINGABETASTE]:
    Certutil - Setreg Ca\forceteletex - 0 x 20
  2. Beenden und neu starten den Zertifizierungsstellendienst, geben Sie die folgenden Befehle. Drücken Sie nach jedem Befehl die [EINGABETASTE].
    net Stop "Zertifikatsdienste"
    net Start "Zertifikatsdienste"
Hinweis: Versionen von Windows, die älter als Windows Server 2003 SP1 sind das "0 x 20"-Bit nicht interpretieren und werden ignoriert.

Senden Sie die Zertifikatanforderung

Da eigenständige Zertifizierungsstellen nicht Zertifikatvorlagen unterstützen, müssen die wichtigsten Eigenschaften während der Anforderungsverarbeitung Zertifikat festgelegt werden. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf der ausstellenden CA auf Start , zeigen Sie auf Verwaltung und klicken Sie dann auf Zertifizierungsstelle .
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und klicken Sie dann auf Eigenschaften .
  3. Klicken Sie auf die Registerkarte Richtlinienmodul , und klicken Sie dann auf Eigenschaften .
  4. Klicken Sie auf Status der Zertifikationsanforderung auf ausstehende festlegen. Der Administrator muss das Zertifikat explizit ausstellen , und klicken Sie dann auf OK .
  5. Erstellen Sie eine Zertifikat Anforderungsdatei, die mit der untergeordneten ZERTIFIZIERUNGSSTELLE oder End-Entität.
  6. Senden Sie auf untergeordnete ZERTIFIZIERUNGSSTELLEN oder End-Entität die Zertifikatanforderung an die eigenständige ZERTIFIZIERUNGSSTELLE. Verwenden Sie hierzu eine der folgenden Methoden.

    Methode 1: Senden der ZERTIFIZIERUNGSSTELLE mithilfe einer Webschnittstelle

    Informationen, wie die ZERTIFIZIERUNGSSTELLE senden, indem über eine Weboberfläche, besuchen Sie in der folgenden Microsoft-Website, und überprüfen Sie dann "zum Anfordern eines Zertifikats von einer Windows Server 2003 CA mithilfe einem PKCS # 10 oder PKCS # 7-Datei":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Methode 2: Senden der ZERTIFIZIERUNGSSTELLE mithilfe des Befehls Certreq

    1. Geben Sie an einer Eingabeaufforderung Certreq - Absenden Path_To_Request_File\Certificate_Request_Filename, und klicken Sie dann auf OK .
    2. Klicken Sie in der Liste Wählen Sie eine Zertifizierungsstelle (CA), die Sie verwenden möchten auf die Zertifikatsanforderungsdatei der ausstellenden Zertifizierungsstelle aus und dann auf OK .
  7. Beachten Sie das Zertifikat Anforderungs-ID, die zurückgegeben wird.
Um die Schlüsselverwendung zu ändern und diese als kritisch markieren, Abschnitt "Ändern die Schlüsselverwendung und dann als kritisch markieren". Lassen Sie die Standard-Schlüsselverwendung, sondern die Schlüsselverwendung als kritisch markieren, finden Sie im Abschnitt ? lassen die Standard-Schlüsselverwendung, aber als kritisch markieren eingeben.

Hinweis: Der ISIS-MTT-Standard erfordert, dass der Name der eine ZERTIFIZIERUNGSSTELLE die folgenden DN-Attribute enthalten:
  • CountryName (c)
  • Organisation (o)
Die anfordernde ZERTIFIZIERUNGSSTELLE muss einen geeigneten Namen für die ZERTIFIZIERUNGSSTELLE auswählen.

Die Schlüsselverwendung zu ändern und dann als kritisch markieren

Standardmäßig ist die Einstellung für die Schlüsselverwendung von Zertifizierungsstellen in Windows die Einstellung für Schlüsselverwendung von Zertifizierungsstellen in ISIS-MTT unterscheidet. Ein Zertifizierungsstellenzertifikat, das mit ISIS-MTT kompatibel ist, führt die folgende Schlüsselverwendung:
Zertifikat signieren, Offlinesignierung der CRL Signieren CRL, Signierung
Um diese Schlüsselverwendung anzuwenden ein CA-Zertifikat angefordert wird, Folgendes an einer Eingabeaufforderung, und drücken Sie anschließend die [EINGABETASTE]:
Echo 03 02 01 06 >.txt File_Name
Eine Erläuterung der hexadezimalen Zahlen, die in diesem Befehl verwendet werden, finden Sie im Abschnitt ? Schlüsselverwendung Interpret eingeben.

Um die ausstehende Zertifikatanforderung ZERTIFIZIERUNGSSTELLE um die Schlüsselverwendung festzulegen und um Sie als kritisch markieren zu ändern, geben Sie an einer Eingabeaufforderung die folgenden und drücken Sie anschließend die [EINGABETASTE]:
Certutil - Setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Lassen Sie die Standard-Schlüsselverwendung, aber als kritisch markieren

Verwenden Sie diese Methode nur, wenn die Schlüsselverwendung nicht geändert wurde und auf werden wichtige festgelegt muss.

Gehen Sie hierzu Folgendes an einer Eingabeaufforderung und drücken Sie dann die EINGABETASTE:
Certutil - Setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Eine Erläuterung der hexadezimalen Zahlen, die in diesem Befehl verwendet werden, finden Sie im Abschnitt ? Schlüsselverwendung Interpret eingeben.

Ausstellen und Überprüfen des Zertifikats

  1. Stellen Sie die ausstehende Anforderung.
  2. Überprüfen, ob das Zertifikat ordnungsgemäß erstellt wurde, geben Sie den folgenden Befehl an einer Eingabeaufforderung, und drücken Sie anschließend die [EINGABETASTE]:
    Certutil - V Path_Of_File / Certificate_File
  3. Zeigen Sie die Datei ausgeben, um sicherzustellen, dass der gemeinsame Name als CERT_RDN_UTF8_STRING formatiert wird.
  4. Stellen Sie sicher, dass die Schlüsselverwendung richtig festgelegt ist.
  5. Stellen Sie sicher, dass wichtige Flag für die Schlüsselverwendung Objektkennung 2.5.29.15 festgelegt ist.

Interpretieren der Schlüsselverwendung

Die Schlüsselverwendung wird als Zeichenfolge Bit dargestellt. Das erste Byte ist die Codierung des Typs Zeichenfolge Bit. Dies ist die statische 03. Das zweite Bit definiert die Länge des Werts und auf 02 festgelegt ist. Die folgenden Bits repräsentieren den tatsächlichen Wert der Bit-Zeichenfolge, 01 behoben ist. Die Werte in die Wincrypt.h definiert sind Schlüsselverwendung include-Datei wie folgt:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Z. B. den Wert 03 02 01 86 Sätzen folgenden Schlüsselverwendungen mit einer logischen OR -Operation:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Wenn Sie Zertifikatwiderrufsliste (CRL) signieren und Zertifikatsignatur nur, müssen Sie der hexadezimale Wert muss 03 02 01 06.

Weitere Informationen

Technischer Support für Windows X 64-Editionen

Ihr Hardwarehersteller bietet technischen Support und Unterstützung für Microsoft Windows X 64-Editionen. Ihr Hardwarehersteller bietet Support, da eine Windows X 64 Edition zusammen mit Ihrer Hardware geliefert wurde. Ihr Hardwarehersteller möglicherweise hat Windows X 64 Edition-Installation mit eigenen Komponenten verändert. Eindeutige Komponenten gehören bestimmte Gerätetreiber oder gehören optionale Einstellungen, um die Leistung der Hardware zu optimieren. Wenn Sie technische Hilfe zu Ihrer Windows X 64 Edition benötigen, wird Microsoft Unterstützung in angemessenem bietet. Allerdings müssen Sie möglicherweise den Hersteller direkt. Der Hersteller ist am besten ihm, um die Software zu unterstützen, die der Hersteller der Hardware installiert.

Weitere Informationen zu Microsoft Windows XP Professional X 64 Edition die folgende Microsoft-Website:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Weitere Informationen zu Microsoft Windows Server 2003 x 64-Editionen die folgende Microsoft-Website:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Eigenschaften

Artikel-ID: 888180 - Geändert am: Donnerstag, 11. Oktober 2007 - Version: 4.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 888180
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com