Come creare un'autoritÓ di certificazione autonoma che esegue Windows Server 2003 con Service Pack 1 o una versione x 64 di Windows Server 2003 compatibile con la versione 1.1 di MTT ISIS

Traduzione articoli Traduzione articoli
Identificativo articolo: 888180 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Se si desidera rendere un'autoritÓ di certificazione autonoma (standalone) (CA) compatibile con la versione 1.1 di ISIS-MTT standard, attenersi alla procedura descritta in questo articolo. La CA di emissione deve imporre la codifica UTF-8. Una volta che viene inviata una richiesta di certificato, l'attributo di utilizzo della chiave deve essere contrassegnato come "critico" durante il processo di invio del certificato. ╚ quindi possibile emettere e verificare il certificato.

INTRODUZIONE

-MTT ISIS Ŕ un nuovo tedesco standard per l'interoperabilitÓ dell'infrastruttura a chiave pubblica (PKI). -MTT ISIS definisce i formati di dati e i protocolli di comunicazione per essere utilizzati in applicazioni interoperabili basate su PKI. Lo standard si concentra sui servizi di protezione per l'autenticazione. Tali servizi includono utente identificazione e integritÓ dei dati, la riservatezza dei dati e non ripudio. Lo standard Ŕ stato sviluppato dal governo tedesco con interessi bancari, accademici e industriali.

Per rendere compatibile con la versione 1.1 di MTT ISIS l'autoritÓ di certificazione (CA) di Windows, Ŕ necessario completare procedure di configurazione specifiche. In questo articolo viene descritto come registrare certificati che soddisfa i requisiti ISIS-MTT per una CA autonoma.

Nota L'autoritÓ di certificazione deve essere un server di cui Ŕ in esecuzione Windows Server 2003 Service Pack 1 (SP1), una versione x 64 di Windows Server 2003 o una versione successiva di Windows.

importante Alla CA che registra il certificato Ŕ necessario applicare le modifiche di configurazione sono documentate in questo articolo. In una topologia PKI, questa Ŕ la CA padre del richiedente del certificato. Se a una CA subordinata, viene richiesto un certificato della CA, il tipo di CA che richiede il certificato non Ŕ pertinente.

Utilizzare le istruzioni dettagliate riportate in questo articolo se le seguenti condizioni sono true:
  • La CA di emissione generato ISIS MTT compatibili con i certificati per CA subordinate o a entitÓ di fine.
  • La CA di emissione accetta uno dei seguenti ruoli:
    • CA principale autonoma
    • CA subordinata autonoma
Per configurare correttamente la CA di emissione, utilizzare i metodi seguenti:
  • Configurare la CA emittente per imporre la codifica UTF8.
  • Contrassegnare l'attributo di utilizzo della chiave come critica durante l'elaborazione dell'invio del certificato.
  • Per i certificati CA, Ŕ possibile omettere la voce di firma digitale nella sezione Utilizzo della chiave.

Applicare la codifica UTF8

Dopo aver configurato una CA per imporre la codifica UTF8, l'impostazione di UTF8 viene applicata a tutti i certificati rilasciati con questa CA. Livello della CA deve emettere certificati di ISIS MTT compatibili, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
  2. Digitare quanto segue e premere INVIO:
    certutil - setreg ca\forceteletex + 0 x 20
    Questo comando imposta il flag in modo che l'autoritÓ di certificazione consente di codificare sempre l'oggetto con UTF8.
  3. Per interrompere e riavviare il servizio CA, digitare quanto segue al prompt dei comandi. Premere INVIO dopo ciascun comando.
    net stop "Servizi certificati"
    net start "Servizi certificati"
Per annullare questa modifica, attenersi alla seguente procedura:
  1. Digitare il comando che segue al prompt dei comandi, quindi premere INVIO:
    certutil - setreg ca\forceteletex - 0 x 20
  2. Per interrompere e riavviare il servizio CA, digitare i comandi seguenti. Premere INVIO dopo ciascun comando.
    net stop "Servizi certificati"
    net start "Servizi certificati"
Nota Versioni di Windows precedenti a Windows Server 2003 SP1 non Ŕ in grado di interpretare il bit "0 x 20" e verranno ignorato.

Inviare la richiesta di certificato

PoichÚ le CA autonome non supportano i modelli di certificato, Ŕ necessario impostare le proprietÓ chiave durante l'elaborazione della richiesta certificato. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Nella CA di emissione, fare clic su Start , scegliere Strumenti di amministrazione , quindi AutoritÓ di certificazione .
  2. Il certificato fare clic con il pulsante destro del mouse e scegliere ProprietÓ .
  3. Fare clic sulla scheda Modulo criterio e quindi fare clic su ProprietÓ .
  4. Fare clic su Imposta lo stato della richiesta certificato su sospeso. L'amministratore deve esplicitamente emettere il certificato e quindi fare clic su OK .
  5. Consente di creare un file di richiesta di certificato da utilizzare con la CA subordinata o con l'entitÓ di fine.
  6. Inviare la richiesta di certificato alla CA autonoma subordinata CA o entitÓ finale. Per effettuare questa operazione, utilizzare uno dei metodi descritti di seguito.

    Metodo 1: Invia l'autoritÓ di certificazione utilizzando un'interfaccia Web

    Per informazioni su come inviare l'autoritÓ di certificazione utilizzando un'interfaccia Web, visitare il seguente sito e quindi vedere "per richiedere un certificato da un Windows Server 2003 CA utilizzando un PKCS # 10 o PKCS # 7 file":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Metodo 2: Invia la CA utilizzando il comando Certreq

    1. A un prompt dei comandi, digitare certreq - inviare Path_To_Request_File\Certificate_Request_Filename e quindi fare clic su OK .
    2. Nell'elenco Selezionare un'autoritÓ di certificazione (CA) si desidera utilizzare , fare clic sul file richiesta certificato dalla CA emittente e scegliere OK .
  7. Si noti il certificato ID richiesta che viene restituito.
Per modificare l'utilizzo della chiave e per contrassegnarlo come critica, vedere la sezione "Modifica l'utilizzo della chiave e quindi contrassegnarlo come critico". Per lasciare l'utilizzo di chiavi predefinito, ma per contrassegnare l'utilizzo della chiave come critica, vedere la sezione ? lascia l'utilizzo di chiavi predefinito, ma contrassegnata come critica ?.

Nota Lo standard di ISIS-MTT richiede che il nome di una CA contenga i seguenti attributi di nome distinto:
  • countryName (c)
  • organizationName (o)
La CA richiedente Ŕ necessario scegliere un nome appropriato per la CA.

Modificare l'utilizzo della chiave e quindi contrassegnarla come critica

Per impostazione predefinita, l'impostazione per l'utilizzo dei certificati CA in Windows delle chiavi Ŕ diversa da quella impostata per l'utilizzo dei certificati CA in ISIS-MTT delle chiavi. Un certificato della CA Ŕ compatibile con ISIS-MTT comporta l'utilizzo della seguente chiave:
firma di certificato di firma CRL non in linea, Firma CRL
Per applicare questo utilizzo della chiave, se Ŕ richiesto un certificato della CA, digitare quanto segue al prompt dei comandi e premere INVIO:
echo 03/02/01 06 >txt File_Name
Per una spiegazione dei numeri esadecimali che vengono utilizzati in questo comando, vedere la sezione di ? utilizzo chiave Interpret ?.

Per modificare la richiesta di certificato in sospeso CA per impostare l'utilizzo della chiave e per contrassegnarlo come critica, digitare quanto segue al prompt dei comandi e premere INVIO:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Lasciare l'utilizzo di chiavi predefinito, ma contrassegnata come critica

Utilizzare questo metodo solo se l'utilizzo della chiave non Ŕ stato modificato e deve essere impostato su critico.

Per effettuare questa operazione, digitare quanto segue un prompt dei comandi e premere INVIO:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Per una spiegazione dei numeri esadecimali che vengono utilizzati in questo comando, vedere la sezione di ? utilizzo chiave Interpret ?.

Emettere e verificare il certificato

  1. Inviare la richiesta in sospeso.
  2. Per verificare che il certificato Ŕ stato creato correttamente, digitare il seguente comando al prompt dei comandi e premere INVIO:
    certutil - v Path_Of_File / Certificate_File
  3. Visualizzare il file di output per assicurarsi che il nome comune viene formattato come CERT_RDN_UTF8_STRING.
  4. Assicurarsi che l'utilizzo della chiave Ŕ impostato correttamente.
  5. Assicurarsi che il flag importanti sia impostato per l'identificatore oggetto di utilizzo della chiave 2.5.29.15.

Interpretare l'utilizzo della chiave

L'utilizzo della chiave Ŕ rappresentato come una stringa di bit. Il primo byte Ŕ la codifica del tipo di stringa di bit. Si tratta di 03 statico. Il secondo bit definisce la lunghezza del valore e viene impostato su 02. Il bit seguenti rappresentano il valore effettivo della stringa di bit in cui Ŕ stato risolto 01. L'utilizzo della chiave valori sono definiti in wincrypt.h il file di inclusione come indicato di seguito:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Ad esempio, il valore 03/02/01 86 set gli utilizzi della seguenti chiave con un'operazione OR logica:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Se si desidera la firma elenco di revoche certificati (CRL) e la firma solo certificati, il valore esadecimale sia 03/02/01 06.

Informazioni

Supporto tecnico per le versioni x 64 di Windows

Il produttore dell'hardware offre supporto tecnico e assistenza per le versioni x 64 di Microsoft Windows. Il produttore dell'hardware supporta poichÚ una versione x 64 di Windows Ŕ stato inclusa con l'hardware. Il produttore dell'hardware se si potrebbe avere personalizzato l'installazione della versione x 64 di Windows con particolari componenti. Componenti univoci possono includere specifici driver di periferica o impostazioni facoltative per ottimizzare le prestazioni dell'hardware. Microsoft fornirÓ assistenza impegna a caso di problemi con la versione x 64 di Windows. Tuttavia, potrebbe essere necessario contattare direttamente il produttore. Quanto soggetto pi¨ qualificato per supportare il software preinstallato sull'hardware.

Per informazioni su Microsoft Windows XP Professional x 64 Edition, visitare il sito di Web di Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Per informazioni di prodotto su Microsoft Windows Server 2003 x 64, visitare il sito di Web di Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

ProprietÓ

Identificativo articolo: 888180 - Ultima modifica: giovedý 11 ottobre 2007 - Revisione: 4.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003 Service Pack 1áalle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi:á
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 888180
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com