Como fazer uma autoridade de certificação autônoma que está executando o Windows Server 2003 com Service Pack 1 ou uma versão de 64 x do Windows Server 2003 compatível com ISIS-MTT versão 1.1

ISIS MTT é um novo alemão padrão para interoperabilidade de PKI (infra-estrutura de chave pública). ISIS MTT define formatos de dados e protocolos de comunicação para ser utilizada em aplicativos com base em PKI interoperáveis. O padrão se concentra em serviços de segurança para autenticação. Esses serviços incluem usuário identificação e integridade dos dados, confidencialidade e não-recusa. O padrão foi desenvolvido pelo governo alemão juntamente com interesses bancárias, industriais e acadêmicos.

Para tornar a autoridade de certificação (CA) do Windows compatível com ISIS-MTT versão 1.1, você deve concluir as etapas de configuração específica. Este artigo passo a passo descreve como registrar certificados que atendem aos requisitos de uma autoridade de certificação autônoma MTT ISIS.

Observação A autoridade de certificação deve ser um servidor que esteja executando Microsoft Windows Server 2003 Service Pack 1 (SP1), uma versão x com base em 64 do Windows Server 2003 ou uma versão posterior do Windows.

importante As alterações de configuração documentadas neste artigo devem ser aplicadas na CA que registra o certificado. Em uma topologia PKI, isso é o pai da autoridade de certificação do solicitador de certificado. Se for solicitada uma CA de uma autoridade de certificação subordinada, o tipo de autoridade de certificação que solicita o certificado não é relevante.

Use as instruções passo a passo sobre neste artigo se as seguintes condições forem verdadeiras:

• A CA de emissão emite certificados ISIS MTT-compatível para autoridades de certificação subordinadas ou entidades finais.
• A CA de emissão usa uma das seguintes funções:
  • Autoridade de certificação de raiz autônoma
  • Autoridade de certificação subordinada autônoma

Para configurar a CA de emissão corretamente, use os seguintes métodos:

• Configure a CA emissora para forçar a codificação UTF8.
• Marca o atributo de uso da chave como crítica durante processamento de envio de certificado.
• Para certificados de autoridade de certificação, omita a entrada de assinatura digital na seção a uso da chave.

Aplicar codificação UTF8

Depois de configurar uma autoridade de certificação para forçar a codificação UTF8, a configuração UTF8 se aplica a todos os certificados são emitidos com essa CA. Na CA de deve emitir certificados ISIS MTT-compatível, execute estas etapas:

1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
2. Digite o seguinte e pressione ENTER:
   certutil - setreg ca\forceteletex + 0 x 20
   Este comando define o sinalizador para que a autoridade de certificação sempre codifica o assunto com UTF8.
3. Para parar e reiniciar o serviço de autoridade de certificação, digite o seguinte em um prompt de comando. Pressione ENTER após cada comando.
   net stop "serviços de certificado"
   net start "serviços de certificado"

Para desfazer essa alteração, execute estas etapas:

1. Digite o seguinte em um prompt de comando e pressione ENTER:
   certutil - setreg ca\forceteletex - 0 x 20
2. Para parar e reiniciar o serviço de autoridade de certificação, digite os seguintes comandos. Pressione ENTER após cada comando.
   net stop "serviços de certificado"
   net start "serviços de certificado"

Observação Versões do Windows anteriores ao Windows Server 2003 SP1 não é possível interpretar o bit de "0 x 20" e irá ignorá-la.

Enviar a solicitação de certificado

Como autoridades de certificação autônomas não oferecem suporte para modelos de certificado, as propriedades de chaves devem ser definidas durante o processamento de solicitação de certificado. Para fazer isso, execute as seguintes etapas:

1. Na CA de emissão, clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Autoridade de certificação .
2. Clique com o botão direito do certificado e, em seguida, clique em Propriedades .
3. Clique na guia Módulo de diretiva e, em seguida, clique em Propriedades .
4. Clique em definir o status da solicitação de certificado como pendente. O administrador deve emitir explicitamente o certificado e em seguida, clique em OK .
5. Crie um arquivo de solicitação de certificado para usar com a autoridade de certificação subordinada ou com a entidade final.
6. No subordinada da autoridade de certificação ou entidade final, envie a solicitação de certificado para a autoridade de certificação autônoma. Para fazer isso, use um dos seguintes métodos.

   Método 1: Enviar a autoridade de certificação usando uma interface da Web

   Para obter informações sobre como enviar a autoridade de certificação usando uma interface da Web, visite o seguinte site da Microsoft e consulte "para solicitar um certificado de um Windows Server 2003 usando um PKCS # 10 ou PKCS # 7 arquivo autoridade de certificação":
   http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

   (http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx)

   Método 2: Enviar a autoridade de certificação usando o comando Certreq

   1. Em um prompt de comando, digite certreq - enviar Path_To_Request_File\Certificate_Request_Filename e em seguida, clique em OK .
   2. Na lista Selecionar uma autoridade de certificação (CA) que deseja usar , clique no arquivo de solicitação de certificado da CA de emissão e, em seguida, clique em OK .
7. Observe o certificado de solicitação-ID que é retornado.

Para alterar o uso da chave e marcá-la como crítica, consulte a seção "Alterar o uso da chave e marcá-la como crítica". Para deixar o uso da chave padrão, mas para marcar o uso da chave como crítica, consulte a seção ? deixar o uso da chave padrão, mas marcá-la como crítica ?.

Observação O padrão de ISIS MTT exige que o nome de uma autoridade de certificação conter os seguintes atributos de nome distinto:

• countryName (c)
• organizationName (o)

A CA solicitante deve escolher um nome apropriado para a CA.

Alterar o uso da chave e, em seguida, marcá-la como crítica

Por padrão, a configuração para uso da chave de certificados de autoridade de certificação em Windows é diferente da configuração para uso de chave de certificados de CA em MTT ISIS. Um certificado de autoridade de certificação que é compatível com ISIS MTT executa o seguinte uso da chave: Para aplicar esse uso de chave se um certificado de CA for solicitado, digite o seguinte em um prompt de comando e, em seguida, pressione ENTER: Para obter uma explicação sobre os números hexadecimais que são usados neste comando, consulte a seção ? uso da chave Interpret ?.

Para modificar a solicitação de certificado de autoridade de certificação pendente para definir o uso da chave e para marcá-lo como crítica, digite o seguinte em um prompt de comando e, em seguida, pressione ENTER:

Deixe o uso da chave padrão, mas marcá-la como crítica

Use este método somente se o uso da chave não foi alterado e deve ser definido como crítico.

Para fazer isso, digite o seguinte em um prompt de comando e pressione ENTER: Para obter uma explicação sobre os números hexadecimais que são usados neste comando, consulte a seção ? uso da chave Interpret ?.

Emitir e verificar o certificado

1. Emita a solicitação pendente.
2. Para verificar se o certificado foi criado corretamente, digite o seguinte comando em um prompt de comando e, em seguida, pressione ENTER:
   certutil - v Path_Of_File / Certificate_File
3. Exiba o arquivo saído para Certifique-se que o nome comum é formatado como CERT_RDN_UTF8_STRING.
4. Verifique se o uso da chave é definido corretamente.
5. Verifique se o sinalizador crítico é definido para o uso da chave objeto identificador 2.5.29.15.

Interpretar o uso da chave

O uso da chave é representado como uma seqüência de bits. O primeiro byte é a codificação do tipo de seqüência de caracteres de bit. Isso é 03 estático. O segundo bit define o comprimento do valor e é definido para 02. Os bits seguintes representam o valor real da seqüência de bit onde 01 é fixo. O uso da chave valores são definidos no Wincrypt.h incluir arquivo da seguinte maneira:Por exemplo, o valor 03 02 01 86 define os seguintes usos de chave com uma operação lógica OR :
Se desejar que a assinatura de lista (certificados REVOGADOS) e certificado somente assinatura, o valor hexadecimal deve ser 03 02 01 06.

Suporte técnico para as edições x 64 do Windows

O fabricante do hardware fornece suporte técnico e assistência para as edições x 64 do Microsoft Windows. O fabricante do hardware fornece suporte porque uma edição x 64 do Windows foi incluída com o hardware. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows com componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisará de ajuda técnica com sua edição x 64 do Windows. No entanto, talvez você precise entrar em contato com o fabricante diretamente. O fabricante do seu melhor é qualificado para suportar o software que o fabricante do seu instalado no hardware.

Para informações de produto sobre o Microsoft Windows XP Professional x 64 Edition, visite o seguinte site:Para informações de produto sobre o Microsoft Windows Server 2003 edições x 64, visite o seguinte site: