Comment faire une autorité de certification autonome qui exécute Windows Server 2003 avec Service Pack 1 ou une version 64 x de Windows Server 2003 est compatible avec ISIS-MTT version 1.1

Traductions disponibles Traductions disponibles
Numéro d'article: 888180 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Si vous souhaitez rendre une autorité de certification autonome (CA) compatible avec la version ISIS-MTT 1.1 standard, suivez les étapes décrites dans cet article. L'autorité de CERTIFICATION émettrice devez forcer le codage UTF-8. Une fois une demande de certificat est envoyée, l'attribut d'utilisation de la clé doit être marquée comme « critique pendant le processus de l'envoi de certificat. Vous pouvez ensuite émettre et vérifier le certificat.

INTRODUCTION

ISIS-MTT est l'un nouveau Allemand standard pour l'interopérabilité infrastructure de clé publique (PKI). ISIS-MTT définit les formats de données et les protocoles de communication à être employées dans les applications en fonction de PKI et interopérables. La norme porte sur les services de sécurité pour l'authentification. Ces services incluent l'intégrité d'identification et des données utilisateur, la confidentialité et non-répudiation. Le standard a été développé par le gouvernement allemand avec banque, industriels et académiques centres d'intérêt.

Pour que l'autorité de certification Windows (CA) compatible avec la version 1.1 ISIS-MTT, vous devez effectuer les étapes de configuration spécifique. Cette étape par étape explique comment inscrire certificats conformes aux exigences ISIS-MTT pour une autorité de CERTIFICATION autonome.

note Votre autorité de CERTIFICATION doit être un serveur qui exécute Microsoft Windows Server 2003 Service Pack 1 (SP1), une version 64 x de Windows Server 2003 ou une version ultérieure de Windows.

important Les modifications de configuration décrites dans cet article doivent être appliquées à l'autorité de CERTIFICATION enrolls le certificat. Dans une topologie PKI, ceci est le parent autorité de CERTIFICATION du demandeur de certificat. Si un certificat d'autorité de CERTIFICATION est demandé d'une autorité de CERTIFICATION subordonnée, le type d'autorité de CERTIFICATION qui demande le certificat n'est pas approprié.

Utilisez les instructions étape par étape de cet article si les conditions suivantes sont remplies :
  • L'autorité de CERTIFICATION émettrice émet des certificats compatibles de MTT ISIS autorités de certification subordonnée et entités de fin.
  • L'autorité de CERTIFICATION émettrice prend une des rôles suivants :
    • Autorité de CERTIFICATION racine autonome
    • Autorité de CERTIFICATION subordonnée autonome
Pour configurer correctement l'autorité de CERTIFICATION émettrice, appliquez les méthodes suivantes :
  • Configurez l'autorité de CERTIFICATION émettrice pour forcer UTF8 codage.
  • Sélectionnez l'attribut d'utilisation de la clé comme critique lors du traitement l'envoi de certificat.
  • Pour les certificats d'autorité de CERTIFICATION, omettez l'entrée de signature numérique dans la section Utilisation de la clé.

Appliquer le codage UTF8

Après avoir configuré une autorité de CERTIFICATION pour forcer le codage UTF8, le paramètre UTF8 s'applique à tous les certificats sont émis par cette autorité de CERTIFICATION. À l'autorité de CERTIFICATION qui émettent des certificats compatibles de MTT ISIS doit, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
  2. Tapez la commande suivante et appuyez sur ENTRÉE :
    certutil - setreg ca\forceteletex + 0 x 20
    Cette commande définit l'indicateur de sorte que l'autorité de CERTIFICATION encode toujours l'objet avec UTF8.
  3. Pour arrêter, puis redémarrez le service CA, tapez la suivante à partir d'une invite de commandes. Appuyez sur ENTRÉE après chaque commande.
    net stop « services de certificats"
    net start "Services de certificats"
Pour annuler cette modification, procédez comme suit :
  1. Tapez suivantes à partir d'une invite de commandes et appuyez sur ENTRÉE :
    certutil - setreg ca\forceteletex - 0 x 20
  2. Pour arrêter, puis redémarrez le service CA, tapez les commandes suivantes. Appuyez sur ENTRÉE après chaque commande.
    net stop « services de certificats"
    net start "Services de certificats"
note Versions de Windows antérieures à Windows Server 2003 SP1 ne peut pas interpréter le bit « 0 x 20 » et il ignorera.

Soumettre la demande de certificat

Comme les autorités de certification autonome ne prennent pas en charge les modèles de certificat, Propriétés de la clé doivent être définies lors du traitement demande de certificat. Pour ce faire, procédez comme suit :
  1. Sur l'autorité de CERTIFICATION émettrice, cliquez sur Démarrer , pointez sur Outils d'administration et puis cliquez sur autorité de certification .
  2. Cliquez avec le bouton droit sur votre certificat, puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet module de stratégie , puis cliquez sur Propriétés .
  4. Cliquez sur Définir l'état de la demande de certificat en attente. L'administrateur doit explicitement émettre le certificat et puis cliquez sur OK .
  5. Créer un fichier de demande de certificat à utiliser avec l'autorité de CERTIFICATION subordonnée ou l'entité de fin.
  6. Dans le subordonné autorité de CERTIFICATION ou entité de fin, de soumettre la demande de certificat à l'Autorité de CERTIFICATION autonome. Pour cela, appliquez l'une des méthodes suivantes.

    Méthode 1: Envoyer l'autorité de CERTIFICATION à l'aide d'une interface Web

    Pour savoir comment faire pour envoyer l'autorité de CERTIFICATION à l'aide d'une interface Web, reportez-vous au site de Web Microsoft suivant et ensuite voir » pour demander un certificat auprès d'un Windows 2003 autorité de CERTIFICATION via a PKCS # 10 ou PKCS # 7 fichier Server » :
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Méthode 2: envoyer l'autorité de CERTIFICATION à l'aide de la commande CertReq

    1. À une invite de commandes, tapez certreq - envoyer Path_To_Request_File\Certificate_Request_Filename, puis cliquez sur OK .
    2. Dans la liste Sélectionner une autorité de certification (CA) à utiliser , cliquez sur le fichier de demande de certificat à partir de votre autorité de CERTIFICATION émettrice, puis cliquez sur OK .
  7. Notez le certificat demande-code qui est renvoyée.
Pour modifier l'utilisation de la clé et pour le marquer comme critique, consultez la section « Modifier l'utilisation de la clé et marquez-la comme critique ». Laissez l'utilisation de clé par défaut, mais sélectionnez l'utilisation de clé comme critique, voir la section ? conserver l'utilisation de clé par défaut, mais activé comme critique ?.

note La norme ISIS-MTT nécessite que le nom d'une autorité de CERTIFICATION contienne les attributs nom distinctif suivants :
  • countryName (c)
  • organizationName (o)
L'autorité de CERTIFICATION demande devez choisir un nom approprié pour l'autorité de CERTIFICATION.

Changer l'utilisation de la clé et la marquer puis comme critique

Par défaut, le paramètre d'utilisation de clé des certificats d'autorité de CERTIFICATION de Windows est différente de celle définie pour une clé d'utilisation de certificats d'autorité de CERTIFICATION dans ISIS-MTT. Un certificat d'autorité de CERTIFICATION qui est compatible avec ISIS-MTT comporte l'utilisation de clé suivante :
certificat de signature, mode hors connexion liste signature, liste de révocation de certificats de signature
Pour appliquer cette utilisation de la clé si un certificat d'autorité de CERTIFICATION est demandé, tapez suivantes à partir d'une invite de commandes et appuyez sur ENTRÉE :
Écho 03 / 02 / 01 06 >File_Name .txt
Pour obtenir une explication des numéros hexadécimaux qui sont utilisés dans cette commande, reportez-vous à la section ? Interpret Utilisation de la clé ?.

Pour modifier la demande de certificat autorité de CERTIFICATION en attente pour définir l'utilisation de la clé et pour le marquer comme critique, tapez suivantes à partir d'une invite de commandes et appuyez sur ENTRÉE :
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 @File_Name.txt 1

Laissez l'utilisation de clé par défaut, mais marquez-la comme critique

Utilisez cette méthode uniquement si l'utilisation de la clé n'a pas été modifiée et doit être définie à critique.

Pour cela, tapez la suivante à une invite de commandes, puis appuyez sur ENTRÉE :
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Pour obtenir une explication des numéros hexadécimaux qui sont utilisés dans cette commande, reportez-vous à la section ? Interpret Utilisation de la clé ?.

Émettre et vérifier le certificat

  1. Émettre la demande en attente.
  2. Pour vérifier que le certificat a été créé correctement, tapez la commande suivante à partir d'une invite de commandes et appuyez sur ENTRÉE :
    certutil-v Path_Of_FileCertificate_File
  3. Afficher le fichier de sortie pour vous assurer que le nom commun est mise en forme CERT_RDN_UTF8_STRING.
  4. Assurez-vous que l'utilisation de la clé est définie correctement.
  5. Assurez-vous que l'indicateur critique est défini pour l'identificateur d'objet Utilisation de la clé 2.5.29.15.

Interpréter l'utilisation de la clé

L'utilisation de la clé est représentée comme une chaîne binaire. Le premier octet est le codage du type de chaîne bit. C'est le 03 statique. Le deuxième bit définit la longueur de la valeur et est défini à 02. Les bits suivants représentent la valeur réelle de la chaîne de bits où 01 est fixe. L'utilisation de clé valeurs sont définies dans le wincrypt.h inclure fichier comme suit :
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Par exemple, les valeur 03 / 02 01 86 ensembles les utilisations de clé suivantes avec une opération OR logique :
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Si vous souhaitez signature de liste de révocation de certificats (CRL) et signature du certificat uniquement, la valeur hexadécimale doit être 03 / 02 / 01 06.

Plus d'informations

Support technique pour les éditions x 64 de Windows

Le fabricant de votre matériel assure le support technique et l'assistance pour les éditions x 64 de Microsoft Windows. Le fabricant de votre matériel fournit un support technique car une édition x 64 de Windows était fournie avec votre matériel. Le fabricant de votre matériel peut avoir personnalisé l'installation de Édition x 64 de Windows avec des composants uniques. Des composants uniques peuvent inclure des pilotes de périphérique spécifique ou peuvent inclure des paramètres facultatifs afin d'optimiser les performances du matériel. Microsoft vous fournira une assistance raisonnable si vous avez besoin d'aide technique avec votre Édition x 64 de Windows. Toutefois, vous devrez peut-être contacter directement. Votre est le mieux qualifié pour prendre en charge le logiciel le fabricant de votre installé sur le matériel.

Pour plus d'informations sur Microsoft Windows XP Professionnel Édition x 64, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/windowsxp/64bit/default.mspx
Pour plus d'informations sur Microsoft Windows Server 2003 éditions x 64, reportez-vous au site de Web Microsoft suivant :
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propriétés

Numéro d'article: 888180 - Dernière mise à jour: jeudi 11 octobre 2007 - Version: 4.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 888180
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com