Windows Server 2003 Service Pack 1 または Windows Server 2003 準拠イシス-MTT バージョン 1. 1 の x x64 ベース バージョンを実行しているスタンドアロン証明機関を行う方法

文書番号: 888180 - 対象製品
機械翻訳の免責機械翻訳版の免責を確認する
すべて展開する | すべて折りたたむ

目次

概要

スタンドアロン証明機関 (CA)、イシス MTT バージョン 1. 1 準拠標準、この資料に記載されている手順したい場合は、。 発行 CA UTF-8 エンコードでを強制する必要があります。 証明書の要求が送信すると、後に、キー使用法属性する必要があります、証明書の送信中として「緊急」マークされます。 発行後および証明書を確認できます。
先頭へ戻る | フィードバック

概要

イシス MTT は、公開キー基盤 (PKI) の相互運用性標準の新しい、ドイツ語です。 イシス MTT は、データ形式および通信プロトコル相互運用性の高い PKI ベースのアプリケーションで採用されていることを定義します。 認証のセキュリティ サービスに重点を標準。 これらのサービスとしてユーザーの識別とデータの整合性、機密性、および否認不能があります。 標準的な銀行、工業、アカデミック興味と共にドイツ語、政府が開発されました。

イシス-MTT バージョン 1. 1 に準拠して、Windows 証明機関 (CA) を使用するには、特定の構成手順を完了する必要があります。 手順説明、スタンドアロンの CA のイシス MTT 要件に準拠した証明書登録方法します。

メモ CA は、Microsoft Windows Server 2003 Service Pack 1 (SP1)、x64 ベース バージョン、Windows Server 2003 のまたはより新しいバージョンの Windows を実行するサーバーとして使用する必要があります。

重要です この資料に記載されている構成の変更は、CA 証明書の登録に適用 必要があります。 PKI トポロジでは、これは、証明書の要求者の親 CA です。 下位の CA から CA 証明書が要求された場合、証明書を要求する CA の種類は関連ありません。

次の条件に該当する場合この資料のステップ バイ ステップの手順を使用します。
  • 発行元 CA は下位の CA またはエンド エンティティ イシス-MTT 準拠の証明書を発行します。
  • 次のロールのいずれかを発行 CA になります。
    • スタンドアロンのルート CA
    • スタンドアロンの下位 CA
発行元 CA を正しく構成するには、次の方法を使用します。
  • 発行 CA を UTF8 エンコーディングを強制的に構成します。
  • 証明書の送信処理中に重要なものとして、キー使用法属性をマークします。
  • CA 証明書、[キー使用法セクションのデジタル署名のエントリは省略します。

UTF8 エンコーディングを適用します。

UTF8 エンコーディングを強制的に CA を構成した後、UTF8 の設定がこの CA で発行されるすべての証明書に適用されます。 イシス-MTT 準拠の証明書を発行する必要があります、CA、次の手順に従います。
  1. 開始 実行 cmd ] を入力 [ OK] をクリックします。
  2. 次は、入力して Enter キーを押します。
    certutil - setreg ca\forceteletex + 0x20
    CA は常に UTF8、件名をエンコードするよう設定フラグします。
  3. 中止し、CA サービスを再起動するには、コマンド プロンプトで、次を入力します。 各コマンドの後 Enter キーを押します。
    net stop「証明書サービス」
    net start「証明書サービス」
この変更を取り消す場合は、次の手順を実行します。
  1. 次のコマンド プロンプトを入力しして押します。
    certutil - setreg ca\forceteletex - 0x20
  2. 停止し、CA サービスを再起動するには、次のコマンドに入力します。 各コマンドの後 Enter キーを押します。
    net stop「証明書サービス」
    net start「証明書サービス」
メモ Windows Server 2003 SP1 より前のバージョンの Windows のバージョン"0x20"ビットを解釈できないし、はこのは無視されます。

証明書の要求を送信します。

スタンドアロン CA は証明書テンプレートをサポートしない、ためには証明書要求の処理中に、キーのプロパティを設定する必要があります。 これを行うには、次の手順を実行します。
  1. 発行 CA 上 開始 ] をクリックして、 管理ツール ] をポイントして 証明機関 をクリックします。
  2. 証明書を右クリックし、 プロパティ を実行します。
  3. [ ポリシー モジュール ] タブをクリックし、 プロパティ を実行します。
  4. 設定を保留に証明書の要求の状態をクリックします。 管理者明示的に証明書を発行する必要があります 、[ OK] をクリック します。
  5. または、エンド エンティティ、下位の CA で使用する証明書要求ファイルを作成します。
  6. 下位 CA またはエンド エンティティには証明書要求をスタンドアロンの CA を送信します。 そのためには、以下のいずれかの方法を実行します。

    方法 1: Web インターフェイスを使用して、CA を送信します。

    Web インターフェイスを使用して、CA を送信する方法については、次のマイクロソフト Web サイトにアクセスしてを参照してください"を Windows からの証明書の要求に Server 2003 CA を使用して A」を参照して PKCS # 10 または PKCS # 7 ファイル"。
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx
    (http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx)

    方法 2: Certreq コマンドを使用して、CA を送信します。

    1. コマンド プロンプトで入力 で certreq - 送信 Path_To_Request_File\Certificate_Request_Filename、[ OK] をクリック します。
    2. [ 使用する証明機関 (CA) の選択 </a0>] で、発行 CA から証明書要求ファイルをクリックを [OK] をクリックします。
  7. メモ、証明書要求の ID が返されます。
キーの使用法の変更や、[キーの使用法を変更してし、その重要としてマーク] セクション、重要な参照としてマークします。 既定キー使用法のままには、重要なものとして、キー使用法をマークするを参照して、「既定キー使用法を置くが重要としてマーク」のセクション。

メモ イシス MTT 標準、CA の名前が、次の識別名属性を含めることが必要です。
  • countryName (c)
  • organizationName (o)
要求、CA は、CA 用の適切な名前を選択する必要があります。

キーの使用法を変更し、その重要としてマーク

既定では、Windows での CA 証明書のキー使用法の設定はイシス-MTT で CA 証明書のキー使用法の設定を異なるです。 イシス-MTT に準拠している CA 証明書は、次のキーの使用率を実行します。
証明書の署名、署名、オフライン CRL CRL 署名
CA 証明書が要求される場合は、このキーの使用法を適用するには、次のコマンド プロンプトを入力しして押します。
エコー 03 02 01 06 >File_Name.txt
このコマンドで使用される 16 進数値の詳細については、「「Interpret キー使用法」。

キーの使用法を設定して重要としてマークする、次のコマンド プロンプト、入力し、Enter キーを押してに保留中 CA 証明書要求: 変更するには
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

既定キー使用法は、重要としてマーク

キーの使用法が変更されていないおよびに設定する必要があります重要な場合にのみは、このメソッドを使用します。

これを行うには、次のよう入力、コマンド プロンプトで Enter キーを押してします。
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
このコマンドで使用される 16 進数値の詳細については、「「Interpret キー使用法」。

発行および証明書を確認

  1. 保留中の要求を発行します。
  2. 証明書が正しく作成されたことを確認をするには、コマンド プロンプトで次のコマンドを入力しして押します。
    certutil-v Path_Of_FileCertificate_File
  3. 出力の共通名は CERT_RDN_UTF8_STRING としてフォーマットされていることを確認するファイルを表示します。
  4. キーの使用法が正しく設定を確認します。
  5. キー使用法のオブジェクト識別子 2.5.29.15、重要なフラグが設定を確認します。

キー使用法を解釈します。

キーの使用法はビット文字列として表されます。 最初のバイトは、ビット文字列型のエンコーディングです。 これは静的 03 です。 2 番目のビット値の長さを定義し、02 に設定します。 以下のビットは 01 が固定されているビット文字列の実際の値を表します。 値が、Wincrypt.h で定義されているキー使用法インクルードとおりファイル。
#define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0x80
#define CERT_NON_REPUDIATION_KEY_USAGE 0x40
#define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
#define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
#define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
#define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
#define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0x02
#define CERT_CRL_SIGN_KEY_USAGE 0x02
#define CERT_ENCIPHER_ONLY_KEY_USAGE 0x01
たとえば、値 03 02 01 86 セットを論理 OR 演算で次のキー使用法:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
16 進数値を 03 は証明書失効リスト (CRL) の署名と証明書の署名のみ場合は、02 01 06。

先頭へ戻る | フィードバック

詳細

Windows x64 エディションのテクニカル サポート

ハードウェアの製造元は、技術のサポートおよび Microsoft Windows x64 エディションの支援提供されます。 ハードウェアの製造元は、Windows x64 版が、ハードウェアに付属ためサポートします。 ハードウェアの製造元固有のコンポーネントとインストールした Windows x64 エディション カスタマイズしている可能性があります。 固有のコンポーネントは特定のデバイス ドライバーを含めることがあります。 またはハードウェアのパフォーマンスを最大化のオプション設定があります。 マイクロソフトは、Windows x64 エディションで技術的なヘルプをする場合合理的で支援を提供は。 ただし、する製造元に直接問い合わせて必要があります。 製造元は、製造元のハードウェアにインストールされているソフトウェアをサポートする修飾最適。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトにアクセスしてください:
http://www.microsoft.com/windowsxp/64bit/default.mspx
(http://www.microsoft.com/windowsxp/64bit/default.mspx)
Microsoft Windows Server 2003 x64 エディションの製品情報については、以下のマイクロソフト Web サイトにアクセスしてください:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx
(http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx)
先頭へ戻る | フィードバック

プロパティ

文書番号: 888180 - 最終更新日: 2007年10月11日 - リビジョン: 4.4
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
キーワード:?
kbhowtomaster kbinfo kbactivedirectory kbcertservices kbwinservds kbmt KB888180 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:888180
(http://support.microsoft.com/kb/888180/en-us/ )
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る