Como fazer uma autoridade de certificação autônoma que está executando o Windows Server 2003 com Service Pack 1 ou uma versão de 64 x do Windows Server 2003 compatível com ISIS-MTT versão 1.1

Traduções deste artigo Traduções deste artigo
ID do artigo: 888180 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Se desejar tornar uma CA (autoridade de certificação autônoma) compatível com a versão 1.1 do ISIS MTT padrão, execute as etapas descritas neste artigo. A CA de emissão deve forçar a codificação UTF-8. Após uma solicitação de certificado é enviada, o atributo de uso da chave deve ser marcado como "crítica" durante o processo de envio de certificado. Você pode emitir e verificar o certificado.

INTRODUÇÃO

ISIS MTT é um novo alemão padrão para interoperabilidade de PKI (infra-estrutura de chave pública). ISIS MTT define formatos de dados e protocolos de comunicação para ser utilizada em aplicativos com base em PKI interoperáveis. O padrão se concentra em serviços de segurança para autenticação. Esses serviços incluem usuário identificação e integridade dos dados, confidencialidade e não-recusa. O padrão foi desenvolvido pelo governo alemão juntamente com interesses bancárias, industriais e acadêmicos.

Para tornar a autoridade de certificação (CA) do Windows compatível com ISIS-MTT versão 1.1, você deve concluir as etapas de configuração específica. Este artigo passo a passo descreve como registrar certificados que atendem aos requisitos de uma autoridade de certificação autônoma MTT ISIS.

Observação A autoridade de certificação deve ser um servidor que esteja executando Microsoft Windows Server 2003 Service Pack 1 (SP1), uma versão x com base em 64 do Windows Server 2003 ou uma versão posterior do Windows.

importante As alterações de configuração documentadas neste artigo devem ser aplicadas na CA que registra o certificado. Em uma topologia PKI, isso é o pai da autoridade de certificação do solicitador de certificado. Se for solicitada uma CA de uma autoridade de certificação subordinada, o tipo de autoridade de certificação que solicita o certificado não é relevante.

Use as instruções passo a passo sobre neste artigo se as seguintes condições forem verdadeiras:
  • A CA de emissão emite certificados ISIS MTT-compatível para autoridades de certificação subordinadas ou entidades finais.
  • A CA de emissão usa uma das seguintes funções:
    • Autoridade de certificação de raiz autônoma
    • Autoridade de certificação subordinada autônoma
Para configurar a CA de emissão corretamente, use os seguintes métodos:
  • Configure a CA emissora para forçar a codificação UTF8.
  • Marca o atributo de uso da chave como crítica durante processamento de envio de certificado.
  • Para certificados de autoridade de certificação, omita a entrada de assinatura digital na seção a uso da chave.

Aplicar codificação UTF8

Depois de configurar uma autoridade de certificação para forçar a codificação UTF8, a configuração UTF8 se aplica a todos os certificados são emitidos com essa CA. Na CA de deve emitir certificados ISIS MTT-compatível, execute estas etapas:
  1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
  2. Digite o seguinte e pressione ENTER:
    certutil - setreg ca\forceteletex + 0 x 20
    Este comando define o sinalizador para que a autoridade de certificação sempre codifica o assunto com UTF8.
  3. Para parar e reiniciar o serviço de autoridade de certificação, digite o seguinte em um prompt de comando. Pressione ENTER após cada comando.
    net stop "serviços de certificado"
    net start "serviços de certificado"
Para desfazer essa alteração, execute estas etapas:
  1. Digite o seguinte em um prompt de comando e pressione ENTER:
    certutil - setreg ca\forceteletex - 0 x 20
  2. Para parar e reiniciar o serviço de autoridade de certificação, digite os seguintes comandos. Pressione ENTER após cada comando.
    net stop "serviços de certificado"
    net start "serviços de certificado"
Observação Versões do Windows anteriores ao Windows Server 2003 SP1 não é possível interpretar o bit de "0 x 20" e irá ignorá-la.

Enviar a solicitação de certificado

Como autoridades de certificação autônomas não oferecem suporte para modelos de certificado, as propriedades de chaves devem ser definidas durante o processamento de solicitação de certificado. Para fazer isso, execute as seguintes etapas:
  1. Na CA de emissão, clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
  2. Clique com o botão direito do certificado e, em seguida, clique em Propriedades .
  3. Clique na guia Módulo de diretiva e, em seguida, clique em Propriedades .
  4. Clique em definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado e em seguida, clique em OK .
  5. Crie um arquivo de solicitação de certificado para usar com a autoridade de certificação subordinada ou com a entidade final.
  6. No subordinada da autoridade de certificação ou entidade final, envie a solicitação de certificado para a autoridade de certificação autônoma. Para fazer isso, use um dos seguintes métodos.

    Método 1: Enviar a autoridade de certificação usando uma interface da Web

    Para obter informações sobre como enviar a autoridade de certificação usando uma interface da Web, visite o seguinte site da Microsoft e consulte "para solicitar um certificado de um Windows Server 2003 usando um PKCS # 10 ou PKCS # 7 arquivo autoridade de certificação":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Método 2: Enviar a autoridade de certificação usando o comando Certreq

    1. Em um prompt de comando, digite certreq - enviar Path_To_Request_File\Certificate_Request_Filename e em seguida, clique em OK .
    2. Na lista Selecionar uma autoridade de certificação (CA) que deseja usar , clique no arquivo de solicitação de certificado da CA de emissão e, em seguida, clique em OK .
  7. Observe o certificado de solicitação-ID que é retornado.
Para alterar o uso da chave e marcá-la como crítica, consulte a seção "Alterar o uso da chave e marcá-la como crítica". Para deixar o uso da chave padrão, mas para marcar o uso da chave como crítica, consulte a seção ? deixar o uso da chave padrão, mas marcá-la como crítica ?.

Observação O padrão de ISIS MTT exige que o nome de uma autoridade de certificação conter os seguintes atributos de nome distinto:
  • countryName (c)
  • organizationName (o)
A CA solicitante deve escolher um nome apropriado para a CA.

Alterar o uso da chave e, em seguida, marcá-la como crítica

Por padrão, a configuração para uso da chave de certificados de autoridade de certificação em Windows é diferente da configuração para uso de chave de certificados de CA em MTT ISIS. Um certificado de autoridade de certificação que é compatível com ISIS MTT executa o seguinte uso da chave:
assinatura do certificado de assinatura, assinatura, de CRL off-line CRL
Para aplicar esse uso de chave se um certificado de CA for solicitado, digite o seguinte em um prompt de comando e, em seguida, pressione ENTER:
echo 03 02 01 06 >.txt File_Name
Para obter uma explicação sobre os números hexadecimais que são usados neste comando, consulte a seção ? uso da chave Interpret ?.

Para modificar a solicitação de certificado de autoridade de certificação pendente para definir o uso da chave e para marcá-lo como crítica, digite o seguinte em um prompt de comando e, em seguida, pressione ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Deixe o uso da chave padrão, mas marcá-la como crítica

Use este método somente se o uso da chave não foi alterado e deve ser definido como crítico.

Para fazer isso, digite o seguinte em um prompt de comando e pressione ENTER:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Para obter uma explicação sobre os números hexadecimais que são usados neste comando, consulte a seção ? uso da chave Interpret ?.

Emitir e verificar o certificado

  1. Emita a solicitação pendente.
  2. Para verificar se o certificado foi criado corretamente, digite o seguinte comando em um prompt de comando e, em seguida, pressione ENTER:
    certutil - v Path_Of_File / Certificate_File
  3. Exiba o arquivo saído para Certifique-se que o nome comum é formatado como CERT_RDN_UTF8_STRING.
  4. Verifique se o uso da chave é definido corretamente.
  5. Verifique se o sinalizador crítico é definido para o uso da chave objeto identificador 2.5.29.15.

Interpretar o uso da chave

O uso da chave é representado como uma seqüência de bits. O primeiro byte é a codificação do tipo de seqüência de caracteres de bit. Isso é 03 estático. O segundo bit define o comprimento do valor e é definido para 02. Os bits seguintes representam o valor real da seqüência de bit onde 01 é fixo. O uso da chave valores são definidos no Wincrypt.h incluir arquivo da seguinte maneira:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Por exemplo, o valor 03 02 01 86 define os seguintes usos de chave com uma operação lógica OR :
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Se desejar que a assinatura de lista (certificados REVOGADOS) e certificado somente assinatura, o valor hexadecimal deve ser 03 02 01 06.

Mais Informações

Suporte técnico para as edições x 64 do Windows

O fabricante do hardware fornece suporte técnico e assistência para as edições x 64 do Microsoft Windows. O fabricante do hardware fornece suporte porque uma edição x 64 do Windows foi incluída com o hardware. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows com componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisará de ajuda técnica com sua edição x 64 do Windows. No entanto, talvez você precise entrar em contato com o fabricante diretamente. O fabricante do seu melhor é qualificado para suportar o software que o fabricante do seu instalado no hardware.

Para informações de produto sobre o Microsoft Windows XP Professional x 64 Edition, visite o seguinte site:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Para informações de produto sobre o Microsoft Windows Server 2003 edições x 64, visite o seguinte site:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Propriedades

ID do artigo: 888180 - Última revisão: quinta-feira, 11 de outubro de 2007 - Revisão: 4.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 888180

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com