如何使 Service Pack 1 或符合 Windows Server 2003,与 ISIS MTT 1.1 版的 x 基于 x64 的版本与运行 Windows Server 2003 的独立证书颁发机构

文章翻译 文章翻译
文章编号: 888180 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

如果要使独立证书颁发机构 (CA) 符合 ISIS MTT 版本 1.1 标准,请按照本文中介绍的步骤 。在颁发 CA 必须强制 utf-8 编码。提交一个证书请求后,密钥用法属性必须在证书提交的过程中将标记为"关键"。 然后,您可以颁发并验证该证书。

简介

ISIS MTT 是一个新的德语标准为公钥基础结构 (PKI) 的互操作性。ISIS MTT 定义数据格式和通信协议以使用可互操作基于 PKI 的应用程序中。标准的重点是进行身份验证的安全服务。这些服务包括用户标识和数据完整性、 机密性和不可否认性。标准是由与银行、 工业,和学术兴趣一起德语的政府开发的。

若要使 Windows 证书颁发机构 (CA) 符合 ISIS MTT 1.1 版,您必须完成特定配置步骤。本分步指南介绍了如何注册遵守 ISIS MTT 要求对于独立的 CA 的证书。

注意您的 CA 必须运行 Microsoft Windows Server 2003 Service Pack 1 (SP1)、 的 Windows Server 2003,x 基于 x64 的版本或更高版本的 Windows 的服务器。

重要必须将这篇文章中介绍的配置更改应用到注册证书的 CA。一个 PKI 拓扑结构中这是父 CA 的证书申请者。如果 CA 证书从下级 CA 请求的请求证书的 CA 类型无关。

如果满足下列条件,则使用本文中的分步指导:
  • 颁发 CA 在从属 ca 或最终实体颁发 ISIS MTT-兼容的证书。
  • 在颁发 CA 采用下列角色之一:
    • 独立根 CA
    • 独立的从属 CA
要正确地配置颁发 CA,使用以下方法:
  • 配置强制 UTF8 编码在颁发 CA。
  • 在证书提交处理过程中标记为关键密钥用法属性。
  • 为 CA 证书忽略在密钥用法部分中将数字签名词条。

强制 UTF8 编码

配置 CA 以强制 UTF8 编码后,UTF8 设置将应用于所有使用此 CA 颁发的证书。在必须颁发 CA ISIS MTT-兼容的证书,请按照下列步骤操作:
  1. 单击 开始、 单击 运行,键入 cmd,然后单击 确定
  2. 键入以下内容,然后按 ENTER 键:
    certutil-setreg ca\forceteletex + 0x20
    该命令设置标志,以使该 CA 始终对与 UTF8 主题进行编码。
  3. 停止,并重新启动 CA 服务请在命令提示符处键入以下。在每个命令之后按 ENTER。
    净停止"证书服务"
    net start"证书服务"
若要撤消此更改,请按照下列步骤操作:
  1. 在命令提示符下键入以下,然后按 ENTER 键:
    certutil-setreg ca\forceteletex-0x20
  2. 停止,并重新启动 CA 服务键入以下命令。在每个命令之后按 ENTER。
    净停止"证书服务"
    net start"证书服务"
注意早于 Windows Server 2003 SP1 的 windows 版本不能解释"0x20"位,并将忽略它。

提交证书申请

因为独立 ca 不支持证书模板,密钥属性必须设置在证书请求处理过程中。若要这样做,请按照下列步骤操作:
  1. 在颁发 CA 上单击 开始,指向 管理工具,然后单击 证书颁发机构
  2. 用鼠标右键单击您的证书,然后单击 属性
  3. 单击 策略模块 选项卡,然后单击 属性
  4. 单击 设成未决证书申请状态。管理员必须明确地颁发证书,然后单击 确定
  5. 创建一个使用与在从属 CA 或最终实体的证书请求文件。
  6. 在从属 CA 或最终实体,将证书申请提交到独立的 CA。若要执行此操作使用下列方法之一。

    方法 1: 通过使用 Web 界面来提交 CA

    有关如何使用 Web 界面来提交该 CA 的信息,请访问下面的 Microsoft Web 站点,然后查看"申请证书从 Windows Server 2003 CA 使用 a PKCS # 10 或 PKCS # 7 文件":
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    方法 2: 使用 Certreq 命令提交 CA

    1. 在命令提示符键入 certreq-提交 Path_To_Request_File\Certificate_Request_Filename,然后单击 确定
    2. 选择您要使用一个证书颁发机构 (CA) 列表中单击从您颁发 CA 证书请求文件,然后单击 确定
  7. 请注意证书,则返回的请求 ID。
若要更改密钥用法并将其标记为关键请参阅更改该密钥的使用,然后将其标记为关键部分。将保留在默认的密钥使用而标记为关键密钥用法,请参阅留在默认的密钥使用,但将其标记为关键一节。

注意ISIS MTT 标准要求一个 CA 的名称包含如下的可分辨的名称属性:
  • countryName (c)
  • organizationName (o)
发出请求的 CA 必须选择适当的 CA 的名称。

更改该密钥的使用,则将它标记为重要

默认状态下,在 Windows 中的 CA 证书的密钥用法设置为的 ISIS MTT 中的 CA 证书的密钥用法设置不同。符合 ISIS MTT 的 CA 证书将执行以下的密钥用法:
证书签名,签名,脱机 CRL CRL 签署
如果 CA 证书请求,请应用此密钥用法,一个命令提示符下键入以下,然后按 ENTER 键:
回显 03 01 2006 >File_Name.txt
有关此命令中使用的十六进制数字的说明,请参阅解释密钥用法部分中。

要修改挂起的 CA 证书申请设置密钥用法并将其标记为关键,一个命令提示符下键入以下,然后按 ENTER 键,请执行以下操作:
certutil-setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

将其标记为关键,但将在默认的密钥使用

密钥用法没有被更改,必须设置为重要时,才使用此方法。

若要执行此操作在一个命令并按 ENTER 中键入以下内容:
certutil-setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
有关此命令中使用的十六进制数字的说明,请参阅解释密钥用法部分中。

颁发并验证证书

  1. 发出挂起的请求。
  2. 若要验证证书已正确创建,一个命令提示符下键入以下命令,然后按 ENTER 键:
    certutil-v Path_Of_File / Certificate_File
  3. 查看输出以确保公用名的格式设置为 CERT_RDN_UTF8_STRING 文件。
  4. 请确保正确设置密钥用法。
  5. 请确保重要标记为密钥用法对象标识符 2.5.29.15 设置。

解释密钥用法

密钥用法都表示为位字符串。第一个字节是位字符串类型的编码。这是静态 03。第二位定义值的长度,并设置为 2。下面的位表示位置固定 01 位字符串的实际值。密钥用法值在该 Wincrypt.h 中定义的包含文件,如下所示:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0x80
# define CERT_NON_REPUDIATION_KEY_USAGE 0x40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0x02
# define CERT_CRL_SIGN_KEY_USAGE 0x02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0x01
例如对于值 03 02 01 86 组下面的密钥用法与逻辑 运算:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
如果希望自己控制进度的证书吊销列表 (CRL) 签名和证书签名只,十六进制值必须是 03 01 2006。

更多信息

对于 Windows x64 版本的技术支持

技术支持和对于 Microsoft Windows x64 版本的帮助,提供了与硬件制造商联系。硬件制造商提供的支持,因为 Windows x64 版本所包含的您的硬件。与硬件制造商联系,可能有自定义 Windows x64 版本安装与唯一的组件。独特组件可能包括特定设备驱动程序,或者可能包括以最大限度地提高硬件的性能的可选设置。如果您需要与您的 Windows x64 版本的技术帮助,Microsoft 将提供合理工作量获得帮助。但是,您可能必须直接与制造商联系。您的制造商是最佳限定来支持您的制造商在硬件上安装的软件。

有关 Microsoft Windows XP 专业 x64 版的产品信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsxp/64bit/default.mspx
x64 版本产品有关 Microsoft Windows Server 2003 的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

属性

文章编号: 888180 - 最后修改: 2007年10月11日 - 修订: 4.4
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
关键字:?
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 888180
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com