Como criar uma autoridade de certificação autónoma com o Windows Server 2003 com Service Pack 1 ou uma versão de 64 de x do Windows Server 2003 em conformidade com ISIS-MTT versão 1.1

Traduções de Artigos Traduções de Artigos
Artigo: 888180 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Se pretender estabelecer uma autoridade de certificação (AC autónoma) compatível com a versão ISIS MTT 1.1 padrão, siga os passos descritos neste artigo. A AC emissora deverá forçar a codificação UTF-8. Depois de submeter uma requisição de certificado, o atributo de utilização de chaves tem de ser marcado como "crítica" durante o processo de submissão do certificado. Pode, em seguida, emitir e verificar o certificado.

INTRODUÇÃO

ISIS MTT é um novo alemão padrão para interoperabilidade da infra-estrutura de chave pública (PKI). ISIS MTT define formatos de dados e protocolos de comunicação para ser utilizado em aplicações baseadas na infra-estrutura de chaves públicas interoperáveis. A norma centra-se nos serviços de segurança para autenticação. Estes serviços incluem não repudiação, integridade de identificação e dados de utilizador e confidencialidade. O padrão foi desenvolvido pelo governo alemão juntamente com interesses banking industriais e académicos.

Para tornar a autoridade de certificação (AC) do Windows compatível com ISIS-MTT versão 1.1, tem de concluir os passos de configuração específica. Este artigo passo a passo descreve como inscrever certificados em conformidade com os requisitos de ISIS MTT para uma AC autónoma.

Nota A AC tem de ser um servidor com o Microsoft Windows Server 2003 Service Pack 1 (SP1), uma x 64 versão do Windows Server 2003 ou uma versão posterior do Windows.

importante As alterações de configuração que estão documentadas neste artigo devem liquidar a AC se o certificado. Na topologia de infra-estrutura de chaves públicas, trata-se a AC principal do solicitador do certificado. Se um certificado da AC é pedido desde uma AC subordinada, o tipo de AC que requisita o certificado não é relevante.

Utilize as instruções passo-a-passo neste artigo se verifiquem as seguintes condições:
  • A AC emissora emite certificados ISIS MTT compatível com a AC subordinada ou entidades finais.
  • A AC emissora adquire uma das seguintes funções:
    • AC de raiz autónoma
    • AC subordinada autónoma
Para configurar correctamente a AC emissora, utilize os seguintes métodos:
  • Configure a AC emissora para forçar a codificação UTF8.
  • Marca o atributo de utilização de chaves como crítica durante o processamento de submissão do certificado.
  • Para certificados de AC, omita a entrada de assinatura digital na secção a utilização de chaves.

Impor UTF8 codificação

Depois de configurar uma AC para forçar UTF8 codificação, a definição UTF8 aplica-se para todos os certificados são emitidos com esta AC. A AC tem que emitir certificados ISIS MTT compatível, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
  2. Escreva o seguinte e, em seguida, prima ENTER:
    certutil - setreg ca\forceteletex + 0 x 20
    Este comando define o sinalizador de modo a que a AC sempre codifica o assunto com UTF8.
  3. Para parar e, em seguida, reinicie o serviço de AC, escreva o seguinte numa linha de comandos. Prima ENTER após cada comando.
    net stop "Serviços de certificados"
    net start "Serviços de certificados"
Para anular esta alteração, siga estes passos:
  1. Escreva o seguinte numa linha de comandos e, em seguida, prima ENTER:
    certutil - setreg ca\forceteletex - 0 x 20
  2. Para parar e, em seguida, reinicie o serviço de AC, escreva os seguintes comandos. Prima ENTER após cada comando.
    net stop "Serviços de certificados"
    net start "Serviços de certificados"
Nota As versões do Windows anteriores ao Windows Server 2003 SP1 não é possível interpretar o bit de "0 x 20" e irão ignorá-la.

Submeter o pedido de certificado

Uma vez que as AC autónomas não suportam os modelos de certificado, as propriedades chaves tem de ser definidas durante o processamento do pedido de certificado. Para o fazer, siga estes passos:
  1. Na AC emissora, clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Clique com o botão direito do rato o certificado e, em seguida, clique em Propriedades .
  3. Clique no separador ' Módulo de política e, em seguida, clique em Propriedades .
  4. Clique em definir o estado de pedido de certificado como pendente. O administrador tem explicitamente emitir o certificado e, em seguida, clique em OK .
  5. Crie um ficheiro pedido de certificado para utilizar com a AC subordinada ou com a entidade final.
  6. No subordinado AC ou entidade final, submeta o pedido de certificado para a AC autónoma. Para o fazer, utilize um dos seguintes métodos.

    Método 1: Submeter a AC utilizando uma interface de Web

    Para obter informações sobre como submeter a AC através de uma interface da Web, visite o seguinte Web site da Microsoft e consulte "para pedir um certificado de um Windows Server 2003 utilizando um PKCS # 10 ou PKCS # 7 ficheiro AC":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Método 2: Submeter a AC utilizando o comando Certreq

    1. Na linha de comandos, escreva certreq - submeter Path_To_Request_File\Certificate_Request_Filename e, em seguida, clique em OK .
    2. Na lista Seleccionar uma autoridade de certificação (AC) que pretende utilizar , clique no ficheiro do pedido de certificado da AC emissora e, em seguida, clique em OK .
  7. Tenha em atenção o certificado pedido-ID que é devolvido.
Para alterar a utilização de chaves e marcá-la como crítica, consulte a secção "Alterar a utilização de chaves e, em seguida, marcar como crítica". Para manter a utilização de chaves predefinidas, mas para marcar a utilização de chaves como crítica, consulte a secção ? deixar a utilização de chaves predefinidas, mas marca-a como crítica ?.

Nota O padrão de ISIS MTT requer que o nome de uma AC conter os seguintes atributos de nome distinto:
  • countryName (c)
  • organizationName (o)
A AC que efectuam o pedido tem de escolher um nome adequado para a AC.

Alterar a utilização de chaves e, em seguida, marcá-la como crítica

Por predefinição, a definição para utilização de chaves de certificados da AC do Windows é diferente da definição para utilização de chaves de certificados de AC no ISIS MTT. Um certificado da AC que seja compatível com ISIS MTT transporta a utilização da chave seguinte:
assinatura do certificado de assinatura, CRL offline assinatura, CRL
Para aplicar a utilização de chave se for solicitado um certificado da AC, escreva o seguinte numa linha de comandos e, em seguida, prima ENTER:
echo 03 02 01 06 >.txt File_Name
Para obter uma explicação os números hexadecimais são utilizados neste comando, consulte a secção ? utilização de chaves Interpret ?.

Para modificar o pedido de certificado pendente da AC para definir a utilização de chaves e para o marcar como crítica, escreva o seguinte numa linha de comandos e, em seguida, prima ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Deixe a utilização de chaves predefinidas, mas marca-a como crítica

Utilize este método apenas se a utilização de chaves não foi alterada e tem de ser definida como crítica.

Para o fazer, escreva o seguinte na linha numa linha de comandos e prima ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Para obter uma explicação os números hexadecimais são utilizados neste comando, consulte a secção ? utilização de chaves Interpret ?.

Problemas e verificar o certificado

  1. Emita o pedido pendente.
  2. Para se certificar de que o certificado foi correctamente criado, escreva o seguinte comando numa linha de comandos e prima ENTER:
    certutil - v Path_Of_File / Certificate_File
  3. Visualize o ficheiro de saída para se certificar de que o nome comum é formatado como CERT_RDN_UTF8_STRING.
  4. Certifique-se que a utilização de chave está definida correctamente.
  5. Certifique-se que está definido o sinalizador crítico para o identificador de objecto de utilização de chaves 2.5.29.15.

Interpretar a utilização de chaves

A utilização de chaves é representada como uma cadeia de bits. O primeiro byte é a codificação do tipo de cadeia de bits. Esta é 03 estático. O segundo bit define o comprimento do valor e defina para 02. Os bits seguintes representam o valor real da cadeia bit onde 01 é fixa. A utilização de chaves valores são definidos no Wincrypt.h inclua o ficheiro da seguinte forma:
# Definir CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# Definir CERT_NON_REPUDIATION_KEY_USAGE 0x40
# Definir CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# Definir CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# Definir CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# Definir CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# Definir CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# Definir CERT_CRL_SIGN_KEY_USAGE 0 x 02
# Definir CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Por exemplo, o valor 03 02 01 86 define as utilizações chaves seguintes com uma operação ou lógica:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Se pretender que a assinatura de lista de revogação de certificados (CRL) e certificado apenas assinatura, o valor hexadecimal tem de ser 03 02 01 06.

Mais Informação

Suporte técnico para edições x 64 do Windows

O fabricante do hardware fornece suporte técnico e assistência para edições x 64 do Microsoft Windows. O fabricante do hardware fornece suporte porque foi incluída com o hardware de uma edição x 64 do Windows. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows com componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo específicos ou podem incluir definições opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se necessitar de ajuda técnica na sua edição x 64 do Windows. No entanto, poderá ter de contactar o fabricante directamente. O fabricante está melhor qualificado para suportar o software que o fabricante do instalado no hardware.

Para obter informações sobre o Microsoft Windows XP Professional x 64 Edition, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Para obter informações sobre o Microsoft Windows Server 2003 as edições x 64, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propriedades

Artigo: 888180 - Última revisão: 11 de outubro de 2007 - Revisão: 4.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 888180

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com