Как сделать в самостоятельном центре сертификации под управлением Windows Server 2003 с пакетом обновления 1 (Sp1) или 64-разрядных версий Windows Server 2003 совместимая с версией 1.1 ISIS-MTT

Переводы статьи Переводы статьи
Код статьи: 888180 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Чтобы сделать самостоятельном центре сертификации (ЦС) совместимая с версией 1.1 ISIS MTT стандартный, выполните действия, описанные в этой статье. Центр сертификации необходимо принудительно кодировку UTF-8. После отправки запроса на сертификат атрибут использования ключа должен быть помечен как «критические» во время процесса отправки сертификата. Можно выдать и проверить подлинность сертификата.

ВВЕДЕНИЕ

ISIS MTT – новый немецкий, стандартных для обеспечения взаимодействия инфраструктуры открытого ключа (PKI). ISIS MTT определяет форматы данных и коммуникационные протоколы, работающих в совместимых приложений на основе инфраструктуры открытого ключа. Стандартный основное внимание уделяется безопасности службы для проверки подлинности. Эти службы включают пользовательский код и целостность данных, конфиденциальность и неподдельность. Немецкий правительством вместе с интересами, вида банков, промышленных и академических был разработан стандарт.

Чтобы центр сертификации (ЦС) Windows совместимая с версией 1.1 ISIS-MTT, необходимо выполнить действия определенной конфигурации. В данной статье описывается, как для подачи заявок на сертификаты, отвечать требованиям ISIS MTT для изолированного центра сертификации.

Примечание Центра сертификации должен быть сервером под управлением Windows Server 2003 с пакетом обновления 1 (SP1), 64-разрядной версии Windows Server 2003 или более поздней версии Windows.

Важные Изменения конфигурации, описанные в данной статье, необходимо применить подает сертификат ЦС. В топологии PKI это родительский ЦС запросивший сертификат. При появлении запроса сертификатов ЦС из подчиненного центра сертификации типа ЦС, который запрашивает сертификат не относится.

Используйте пошаговые инструкции в данной статье, если выполняются следующие условия:
  • Центр сертификации выдает ISIS-MTT-совместимых сертификатов подчиненных центров сертификации или конечным объектам.
  • Центр сертификации принимает одно из следующих ролей:
    • Изолированный корневой ЦС
    • Изолированный подчиненный ЦС
Чтобы правильно настроить центр сертификации, используйте следующие методы:
  • Настройте центр сертификации для принудительного кодировки UTF8.
  • Пометьте атрибут использования ключа как критический во время обработки отправки сертификата.
  • Для сертификатов ЦС опустите записи цифровой подписи в разделе Использование ключа.

Принудительная кодировки UTF8

После настройки центра сертификации может заставить кодировки UTF8 UTF8 применяется для всех сертификатов, выдаваемых этим ЦС. В ЦС, который должен выдавать ISIS-MTT-совместимых сертификатов выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd, а затем нажмите кнопку ОК.
  2. Введите следующую команду и нажмите клавишу ВВОД:
    ca\forceteletex - setreg certutil + 0x20
    Эта команда устанавливает флаг, таким образом, чтобы центр сертификации всегда кодирует тема с UTF8.
  3. Чтобы остановить и перезапустить службу центра сертификации, введите следующее в командной строке. Нажмите клавишу ВВОД после каждой команды.
    NET stop «служб сертификации»
    NET start «службы сертификации»
Чтобы отменить это изменение, выполните следующие действия:
  1. В командной строке следующую команду и нажмите клавишу ВВОД:
    ca\forceteletex - setreg certutil-0x20
  2. Чтобы остановить и перезапустить службу центра сертификации, введите следующие команды. Нажмите клавишу ВВОД после каждой команды.
    NET stop «служб сертификации»
    NET start «службы сертификации»
Примечание Версии Windows, более ранних, чем Windows Server 2003 с пакетом обновления 1 не удается интерпретировать бит «0x20» и будет игнорировать его.

Отправка запроса сертификата

Изолированные ЦС не поддерживают шаблоны сертификатов, ключевые свойства должны быть установлены во время обработки запроса сертификата. Чтобы сделать это, выполните следующие действия.
  1. В центр сертификации нажмите кнопку Начало, выберите пункт Администрирование, а затем нажмите кнопку Центр сертификации.
  2. Щелкните правой кнопкой мыши сертификат и нажмите кнопку Свойства.
  3. Нажмите кнопку Модуль политики вкладки, а затем нажмите кнопку Свойства.
  4. Нажмите кнопку Задайте запросу состояние ожидания. Администратор должен явно выдать этот сертификат, а затем нажмите кнопку ОК.
  5. Создание файла запроса на сертификат подчиненного ЦС или конечного субъекта.
  6. На подчиненный ЦС или конечный субъект отправьте запрос на сертификат изолированному ЦС. Для этого воспользуйтесь одним из следующих методов.

    Метод 1: Отправка ЦС с помощью веб-интерфейса

    Для получения сведений о том, как отправить ЦС с помощью веб-интерфейса, посетите следующий веб-узел корпорации Майкрософт и затем просмотреть "для запроса сертификата из Windows Server 2003 ЦС с помощью PKCS # 10 или PKCS # 7 файл":
    http://technet2.Microsoft.com/WindowsServer/en/Library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    Способ 2: Отправка ЦС с помощью команды Certreq

    1. В командной строке введите: certreq-Отправка Path_To_Request_File\Certificate_Request_Filename, а затем нажмите кнопку ОК.
    2. В Выберите центр сертификации (ЦС), необходимо использовать список, выберите файл запроса на сертификат от выдающего центра сертификации и нажмите кнопку ОК.
  7. Следует иметь в виду сертификат идентификатор запроса, возвращаются.
Изменение использования ключа и пометить ее как критическую, обратитесь к разделу «Изменение использования ключа и пометить ее как критическую». Оставить использование ключа по умолчанию, но чтобы отметить использование ключа как критический, см. раздел «Оставить использование ключа по умолчанию, но пометить ее как критическую».

Примечание Стандарт ISIS MTT требует, что имя центра сертификации содержит следующие атрибуты различающегося имени:
  • Все (c)
  • Название организации (o)
Запрашивающий ЦС необходимо выбрать соответствующее имя центра сертификации.

Изменение режима использования ключа и пометить его как критические

По умолчанию параметр для использования ключа ЦС сертификатов в Windows отличается от параметра для использования ключа ЦС сертификатов в ISIS-MTT. Сертификат ЦС, который является совместимым с ISIS MTT выполняет следующее использование ключа:
Подписывание сертификатов, подписание офлайн CRL, списка отзыва Сертификатов подписи
Чтобы применить это использование ключа при запросе сертификата ЦС, в командной строке следующую команду и нажмите клавишу ВВОД:
echo 03 02 01 06 >Имя_файлаTXT
ОБЪЯСНЕНИЕ шестнадцатеричных чисел, используемых в этой команде содержатся в разделе «Использование ключа Interpret».

Чтобы изменить ожидающий запрос сертификата ЦС для задания использования ключа и пометить ее как критическую, в командной строке следующую команду и нажмите клавишу ВВОД:
Команда certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Оставить использование ключа по умолчанию, но пометить ее как критические

Этот метод следует используйте только в случае использования ключа не изменился и должен быть установлен в критической.

Для этого введите следующую команду в командной строке и нажмите клавишу ВВОД:
Команда certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
ОБЪЯСНЕНИЕ шестнадцатеричных чисел, используемых в этой команде содержатся в разделе «Использование ключа Interpret».

Выдача и проверить подлинность сертификата

  1. Выдавать ожидающий запрос.
  2. Чтобы проверить правильность создания сертификата, введите в командной строке следующую команду и нажмите клавишу ВВОД:
    Команда certutil - v Path_Of_File/Certificate_File
  3. Просмотр файла выходных данных убедитесь, что общее имя имеет формат CERT_RDN_UTF8_STRING.
  4. Убедитесь, что установлено значение использования ключа.
  5. Убедитесь, что в критических установлен флаг использования ключа идентификатора объекта 2.5.29.15.

Интерпретировать использования ключа

Использование ключей представлен как строка бит. Первый байт имеет кодировку строку типа bit. Это статический 03. Второй бит определяет длину значения и значение 02. Следующие биты представляют фактическое значение строки бит, где фиксированной 01. Использование ключей в Wincrypt.h определяются значения включают файл следующим образом:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0x80
# define CERT_NON_REPUDIATION_KEY_USAGE 0x40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0x02
# define CERT_CRL_SIGN_KEY_USAGE 0x02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0x01
Например значение 03 02 01 86 наборы следующее использование ключа с помощью логических OR Операция:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
При желании подписывание списка отзыва сертификатов (CRL) и сертификат подписи только шестнадцатеричное значение должно быть 03 02 01 06.

Дополнительная информация

Техническая поддержка для выпусков Windows x 64

Производителем оборудования обеспечивает техническую поддержку и помощь для выпусков Microsoft Windows x 64. Производителем оборудования обеспечивает поддержку, так как Windows x 64 edition поставляется вместе с оборудованием. Поставщик оборудования может настроить установку Windows x 64 edition с уникальные компоненты. Уникальные компоненты могут включать специальные драйверы устройств или может включать дополнительные настройки для повышения производительности оборудования. Корпорация Майкрософт предоставляет ограниченную техническую справку с Windows x 64 edition. Тем не менее необходимо непосредственно к изготовителю. Изготовитель обладает наилучшими возможностями для поддержки программного обеспечения, установленного на оборудовании.

О продукте Microsoft Windows XP Professional x 64 Edition посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/rus/windowsxp/64bit/default.mspx
Продукта о Microsoft Windows Server 2003 x 64 editions посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/windowsserver2003/64bit/x64/Editions.mspx

Свойства

Код статьи: 888180 - Последний отзыв: 17 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Ключевые слова: 
kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo kbmt KB888180 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:888180

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com