Cómo realizar la autoridad de certificación independiente que ejecuta Windows Server 2003 con Service Pack 1 o una versión x 64 de Windows Server 2003 compatible con ISIS-MTT versión 1.1

Seleccione idioma Seleccione idioma
Id. de artículo: 888180 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Si desea que una entidad emisora de certificados independiente (CA) compatible con la versión 1.1 de ISIS MTT estándar, siga los pasos que se describen en este artículo. La entidad emisora debe forzar la codificación UTF-8. Una vez enviada una solicitud de certificado, el atributo de uso de claves debe marcarse como "críticas" durante el proceso de envío de certificados. Puede emitir y comprobar el certificado.

INTRODUCCIÓN

ISIS MTT es un nuevo alemán estándar para la interoperabilidad de infraestructura de claves públicas (PKI). ISIS MTT define los formatos de datos y protocolos de comunicación para emplearse en aplicaciones de PKI interoperables. El estándar se centra en servicios de seguridad para la autenticación. Estos servicios incluyen usuario identificación e integridad de datos, confidencialidad y no rechazo. El estándar fue desarrollado por el gobierno alemán junto con los intereses de bancarias, industriales y academic.

Para hacer que la entidad emisora de certificados (CA) de Windows compatible con ISIS-MTT versión 1.1, debe completar los pasos de configuración específica. En este artículo paso a paso se describe cómo inscribir certificados que cumplen con los requisitos de ISIS MTT para una entidad emisora de CERTIFICADOS independiente.

Nota La entidad emisora de CERTIFICADOS debe ser un servidor que ejecuta Microsoft Windows Server 2003 Service Pack 1 (SP1), una versión x 64 de Windows Server 2003 o una versión posterior de Windows.

importante Los cambios de configuración que se documentan en este artículo se deben aplicar a la CA que inscriba el certificado. En una topología PKI, ésta es la entidad emisora primaria del solicitante del certificado. Si se solicita un certificado de entidad emisora de certificados de una CA subordinada, el tipo de entidad que solicita el certificado no es relevante.

Utilice las instrucciones paso a paso de este artículo si se cumplen las condiciones siguientes:
  • La entidad emisora emite certificados compatible con ISIS-MTT a CA subordinadas o a las entidades finales.
  • La entidad emisora adopta una de las siguientes funciones:
    • Entidad emisora raíz independiente
    • Entidad de CERTIFICACIÓN subordinada independiente
Para configurar correctamente la CA emisora, utilice los métodos siguientes:
  • Configure la CA emisora para forzar la codificación UTF8.
  • Marque el atributo de uso de la clave como crítica durante el procesamiento de envío de certificados.
  • Para certificados, omita la entrada de firma digital en la sección uso de claves.

Exigir la codificación UTF8

Después de configurar una CA para forzar la codificación UTF8, la configuración de UTF8 se aplica a todos los certificados emitidos con esta entidad emisora. En la entidad emisora que debe emitir certificados compatible con ISIS-MTT, siga estos pasos:
  1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    certutil - setreg ca\forceteletex + 0 x 20
    Este comando establece el indicador para que la entidad emisora siempre codifica al asunto con UTF8.
  3. Para detener y reiniciar el servicio de CA, escriba lo siguiente en el símbolo del sistema. Presione ENTRAR después de cada comando.
    net stop "Servicios de certificado"
    net start "Servicios de certificado"
Para deshacer este cambio, siga estos pasos:
  1. Escriba lo siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    certutil - setreg ca\forceteletex - 0 x 20
  2. Para detener y reiniciar el servicio de CA, escriba los comandos siguientes. Presione ENTRAR después de cada comando.
    net stop "Servicios de certificado"
    net start "Servicios de certificado"
Nota Versiones de Windows anteriores a Windows Server 2003 SP1 no puede interpretar el bit de "0 x 20" y pasará por alto.

Enviar la solicitud de certificado

Puesto que las entidades emisoras de certificados independientes no admiten plantillas de certificado, se deben establecer las propiedades de clave durante el procesamiento solicitud de certificado. Para ello, siga estos pasos:
  1. En la entidad emisora, haga clic en Inicio , seleccione Herramientas administrativas y, a continuación, haga clic en Entidad emisora de certificados .
  2. Haga clic con el botón secundario en el certificado y, a continuación, haga clic en Propiedades .
  3. Haga clic en la ficha Módulo de directivas y, a continuación, haga clic en Propiedades .
  4. Haga clic en establecer el estado de solicitud de certificado como pendiente. El administrador debe emitir explícitamente el certificado y, a continuación, haga clic en Aceptar .
  5. Crear un archivo de solicitud de certificado para utilizar con la entidad emisora subordinada o con la entidad final.
  6. En la CA o entidad final subordinada, enviar la solicitud de certificado a la entidad emisora de CERTIFICADOS independiente. Para ello, utilice uno de los métodos siguientes.

    Método 1: Enviar la entidad emisora mediante una interfaz Web

    Para información acerca de cómo enviar la entidad emisora mediante una interfaz Web, visite el siguiente sitio Web de Microsoft y vea "para solicitar un certificado desde un Windows Server 2003 CA uso un PKCS # 10 o PKCS # 7 archivo":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Método 2: Enviar la entidad de CERTIFICACIÓN mediante el comando Certreq

    1. En un símbolo del sistema, escriba certreq - enviar Path_To_Request_File\Certificate_Request_Filename y, a continuación, haga clic en Aceptar .
    2. En la lista Seleccionar un signo de entidad (CA) que desea utilizar , haga clic en el archivo de solicitud de certificado de la entidad emisora y, a continuación, haga clic en Aceptar .
  7. Tenga en cuenta el certificado ID solicitud que se devuelve.
Para cambiar el uso de claves y para marcar como crítica, consulte la sección "Cambiar el uso de claves y, a continuación, se marca como crítica". Para dejar el uso de clave predeterminada, pero para marcar el uso de claves como crítica, consulte la sección ? dejar el uso de clave predeterminada, pero lo marca como crítica ?.

Nota El estándar de ISIS MTT requiere que el nombre de una entidad emisora de CERTIFICADOS contiene los atributos de nombre completo siguiente:
  • countryName (c)
  • organizationName (o)
La entidad solicitante debe elegir un nombre apropiado para la entidad emisora de CERTIFICADOS.

Cambie el uso de clave y, a continuación, lo marca como crítica

De forma predeterminada, el valor de clave de uso de certificados en Windows es diferente de la configuración de clave de uso de certificados en MTT ISIS. Un certificado de CA que es compatible con ISIS MTT conlleva el uso de clave siguiente:
firma de CRL de certificado de firma, firma, la CRL sin conexión
Para aplicar este uso de claves si se solicita un certificado de entidad emisora de certificados, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
echo 03 02/01 06 >File_Name .txt
Para obtener una explicación de los números hexadecimales que se utilizan en este comando, consulte la sección ? Interpret clave uso ?.

Para modificar la solicitud pendiente de certificado de CA para establecer el uso de claves y para marcar como crítica, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Deje el uso de clave predeterminada, pero marca como crítica

Utilice este método sólo si el uso de claves no se ha cambiado y debe establecerse en crítico.

Para ello, escriba lo siguiente en un símbolo del sistema y presione ENTRAR:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Para obtener una explicación de los números hexadecimales que se utilizan en este comando, consulte la sección ? Interpret clave uso ?.

Emitir y comprobar el certificado

  1. Emitir la solicitud pendiente.
  2. Para comprobar que el certificado se ha creado correctamente, escriba el comando siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
    certutil - v Path_Of_File / Certificate_File
  3. Ver el archivo resultante para asegurarse de que el nombre común se aplica formato como CERT_RDN_UTF8_STRING.
  4. Asegúrese de que el uso de claves está establecido correctamente.
  5. Asegúrese de que el indicador crítico es establecido para el identificador de objeto 2.5.29.15 de uso de claves.

Interpretar el uso de claves

El uso de claves se representa como una cadena de bits. El primer byte es la codificación del tipo de cadena de bits. Esto es 03 estático. El segundo bit define la longitud del valor y se establece a 02. Los siguientes bits representan el valor real de la cadena de bits donde 01 es fijo. El uso de claves valores están definidos en el Wincrypt.h incluya el archivo como sigue:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Por ejemplo, el valor 03/02 01 86 establece los siguientes usos de clave con la operación OR lógica:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Si desea firmar la lista de revocación de certificados (CRL) y sólo firma de certificados, el valor hexadecimal debe ser 03 02/01 06.

Más información

Soporte técnico para las ediciones de 64 bits Windows

Su fabricante del hardware proporciona ayuda y soporte técnico a las ediciones de 64 bits de Microsoft Windows. Su fabricante de hardware le proporciona soporte técnico, porque incluyó en el hardware una edición de 64 bits de Windows. El fabricante de hardware podría haber personalizado con componentes exclusivos la instalación de la edición de 64 bits de Windows. Esos componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Microsoft hará un esfuerzo razonable para proporcionarle ayuda si necesita ayuda técnica para su edición de Windows de 64 bits. Sin embargo, es posible que deba contactar directamente con el fabricante. El fabricante es el mejor cualificado para proporcionar el soporte técnico del software que él mismo instaló en el hardware.

Para información de producto acerca de Microsoft Windows XP Professional x 64 Edition, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Para información de producto acerca de Microsoft Windows Server 2003 x 64, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propiedades

Id. de artículo: 888180 - Última revisión: jueves, 11 de octubre de 2007 - Versión: 4.4
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 888180

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com