如何讓以 Service Pack 1 或 x x64 版本的 Windows Server 2003 相容 ISIS MTT 1.1 版與執行 Windows Server 2003 的獨立憑證授權單位

文章翻譯 文章翻譯
文章編號: 888180 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

如果您想要使獨立憑證授權單位 (CA) 符合 ISIS MTT 版本 1.1 標準,請依照本文中所述的步驟 。發行 CA 必須強迫 UTF-8 編碼方式。提交憑證要求時之後必須標示金鑰使用方式屬性為 「 重要 」 憑證提交程序期間。 您可以接著發出,並驗證憑證。

簡介

ISIS MTT 是新的德文標準公開金鑰基礎結構 (PKI) 的互通性。ISIS MTT 定義資料格式和以可互通的 PKI 應用程式中所採用的通訊協定。標準著重於安全性服務進行驗證。這些服務包括使用者識別及資料完整性、 機密性及不可否認性。標準是由搭配銀行、 工業,和學術興趣德文政府而開發。

若要使 Windows 憑證授權單位 (CA) 與 ISIS MTT 1.1 版相容,您必須完成特定的設定步驟。本文將逐步告訴您,如何註冊遵守 ISIS MTT 要求為獨立 CA 的憑證。

附註您的 CA 必須是 Windows 的執行 Microsoft Windows Server 2003 Service Pack 1 (SP1)、 一個 x x64 版本] 的 Windows Server 2003 或較新版的伺服器。

重要本文中所記載的組態變更必須套用至 enrolls 憑證的 CA。PKI 拓撲中,這是父系 CA 的憑證要求者。如果 CA 憑證要求從次級 CA,要求憑證類型不是 CA 的相關的。

如果下列情況成立,請使用本文中的逐步指示:
  • 發行 CA 發出 ISIS MTT-相容的憑證,次級 CA,或終端實體。
  • 發行 CA 會採用下列角色之一:
    • 獨立根 CA
    • 獨立的次級 CA
若要正確地設定發行 CA,使用下列方法:
  • 設定發行 CA 來強制 UTF8 編碼方式。
  • 標示金鑰使用方式屬性為重要憑證送出處理過程。
  • 對於 CA 憑證省略金鑰使用方式] 區段中的數位簽章項目。

強制使用 UTF8 編碼方式

設定 CA 以強制 UTF8 編碼方式之後 UTF8 設定會套用到所有使用此 CA 所發出的憑證。在憑證授權單位必須發出 ISIS MTT-相容的憑證,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
  2. 請輸入面並按下 ENTER:
    certutil-setreg ca\forceteletex + 0x20
    此指令會設定旗標,以便 CA 永遠將編碼與 UTF8 主旨。
  3. 若要停止並重新啟動 CA 服務,請在命令提示字元中輸入下列。在每個命令之後按 ENTER。
    net stop"憑證服務 」
    net start 「 憑證服務 」
如果要復原此變更,請依照下列步驟執行:
  1. 在命令提示字元中輸入下列並按下 ENTER:
    certutil-setreg ca\forceteletex-0x20
  2. 若要停止並重新啟動 CA 服務,輸入下列命令。在每個命令之後按 ENTER。
    net stop"憑證服務 」
    net start 「 憑證服務 」
附註早於 Windows Server 2003 SP1 的 Windows 版本無法解譯 0x20"位元,並將會忽略它。

提交憑證要求

因為獨立 CA 並不支援憑證範本,主要屬性必須設定在憑證要求處理期間。要這麼做,請您執行下列步驟:
  1. 在發行 CA 上按一下 [開始],並指向 [系統管理工具],然後按一下 [憑證授權單位
  2. 您的憑證上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [原則模組] 索引標籤,然後按一下 [內容]。
  4. 按一下 設定憑證要求狀態至暫止。系統管理員必須明確地發出憑證,然後按一下 [確定]
  5. 建立要使用與次級 CA 或終端實體憑證要求檔案。
  6. 在附屬 CA 或終端實體,憑證要求提交給獨立 CA。如果要執行此動作使用其中一個下列的方法。

    方法 1: 使用 Web 介面來提交 CA

    如需有關如何使用 Web 介面來提交 CA 資訊,請造訪下列 Microsoft 的網站,並再查看 「 要求憑證從一個 Windows Server 2003 CA 使用 A PKCS # 10 或 PKCS # 7 檔案 」:
    http://technet2.microsoft.com/windowsserver/en/library/7E918937-B0CC-4094-9009-4E0798986BEF1033.mspx

    方法 2: 提交 CA 使用 Certreq 命令

    1. 在命令提示字元下輸入 certreq-送出 Path_To_Request_File\Certificate_Request_Filename,然後按一下 [確定]
    2. 在 [選取您想要使用憑證授權單位 (CA)] 清單中,按一下您發行 CA 憑證要求檔案,然後再按一下 [確定]]。
  7. 請注意憑證要求-識別碼所傳回。
若要變更金鑰的使用方式,並將其標示為要徑,請參閱 [變更金鑰使用方式中與然後將它標示為關鍵區段。保留預設金鑰用法,但標示為要徑金鑰使用方式,請參閱 「 保留預設金鑰用法,但將其標示為要徑 」 一節。

附註ISIS MTT 標準要求的 CA 名稱包含下列辨別的名稱的屬性:
  • countryName (c)
  • organizationName (o)
提出要求的 CA 必須選擇適當的名稱為 CA。

變更金鑰使用方式,然後再將它標示為要徑

預設情況下,Windows 中的 CA 憑證金鑰使用方式設定是不同於在 ISIS MTT 的 CA 憑證金鑰使用方式之設定的。與 ISIS MTT 相容的 CA 憑證攜帶下列金鑰使用方式:
憑證簽章,Off-line CRL 簽署,CRL 簽署
若要套用此金鑰的使用方式,如果 CA 憑證要求,在命令提示字元中輸入下列並按下 ENTER:
音 03 02 01 06 >File_Name.txt
這個命令中所使用的十六進位數字的說明,請參閱 「 Interpret 金鑰使用方法 」 一節。

若要修改暫止的 CA 憑證要求設定金鑰使用方式,並將其標示為要徑,在命令提示字元中輸入下列並按下 ENTER:
certutil-setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

保留預設金鑰用法,但將其標示為要徑

如果金鑰使用方式並未變更,而且必須設定為要徑,請使用這個方法。

如果要執行這項操作,請在命令提示字元,然後按 ENTER 輸入下列:
certutil-setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
這個命令中所使用的十六進位數字的說明,請參閱 「 Interpret 金鑰使用方法 」 一節。

發出並確認憑證

  1. 發出擱置的要求。
  2. 若要確認憑證已正確建立,在命令提示字元中輸入下列命令並按下 ENTER:
    certutil-v Path_Of_File / Certificate_File
  3. 檢視以確定一般名稱格式為 CERT_RDN_UTF8_STRING 輸出檔案。
  4. 請確定金鑰使用方式設定正確。
  5. 請確定要徑的旗標設定為金鑰使用方法物件識別元 2.5.29.15。

解譯金鑰使用方式

金鑰使用方式表示為位元字串。第一個位元組是位元字串型別的編碼方式。這是靜態 03。第二位元定義值的長度,並將設定為 02。下列的位元表示固定 01 的位元字串的實際的值。金鑰值在 [Wincrypt.h 中定義的使用方式,如下所示包括檔案:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0x80
# define CERT_NON_REPUDIATION_KEY_USAGE 0x40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0x02
# define CERT_CRL_SIGN_KEY_USAGE 0x02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0x01
比方說將值 03 02 01 86 集下列的金鑰使用方式與邏輯 OR 運算:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
如果您想要的憑證撤銷清單 (CRL) 簽章和憑證簽署只,十六進位值必須是 03 02 01 06。

其他相關資訊

Windows x64 版本中的技術支援人員

您的硬體製造商提供技術支援人員和 Microsoft Windows x64 版本的協助。您的硬體製造商提供的支援,因為 Windows x64 版是隨附在您的硬體。您的硬體製造商) 可能有自訂 Windows x64 版安裝與唯一的元件。唯一的元件可能包括特定的裝置驅動程式,或可能包含選擇性的設定,以充分發揮硬體效能。如果您需要與 Windows x64 版的技術協助 Microsoft 將提供合理努力尋求協助。但是,您可能必須直接連絡您的製造商。您的製造商最佳人選支援您的製造商安裝硬體的軟體。

如需 Microsoft Windows XP 商用版 x64 版的產品資訊,請造訪下列 Microsoft 網站]:
http://www.microsoft.com/windowsxp/64bit/default.mspx
如需產品有關資訊 Microsoft Windows Server 2003 64 版本 x,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

屬性

文章編號: 888180 - 上次校閱: 2007年10月11日 - 版次: 4.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
關鍵字:?
kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:888180
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com