NTAuth مصدق من جهة خارجية في مخزن المؤسسة (CA)كيفية استيراد شهادات المرجع المصدق

مقدمة

توضح هذه المقالة طريقتين يمكنك استخدامها لاستيراد شهادات المراجع المصدقة خارجية (Ca) إلى مخزن NTAuth المؤسسة. هذه العملية مطلوب إذا كنت تستخدم مرجع مصدق من جهة خارجية لإصدار الشهادات وحدة تحكم تسجيل دخول البطاقة الذكية أو مجال. عن طريق نشر الشهادة (ca) إلى مخزن NTAuth المؤسسة، المسؤول يشير إلى أن المرجع المصدق CA موثوق بها لإصدار الشهادات من هذه الأنواع. Windows CAs تلقائياً نشر شهادات المراجع المصدقة الخاصة بها لهذا المخزن.

مزيد من المعلومات


مخزن NTAuth هو كائن خدمة دليل "Active Directory" الموجود في حاوية التكوين من مجموعة التفرعات. الاسم المميز بروتوكول الوصول الخفيف إلى الدليل (LDAP) يشبه ما يلي:
CN = نتاوثسيرتيفيكاتيس، CN = الخدمات العامة الأساسية، CN خدمات، CN = التكوين، DC = MyDomain، DC = = com
الشهادات التي تم نشرها إلى NTAuth مخزن تتم كتابة السمة كاسيرتيفيكاتي قيم متعددة. هناك طريقتان معتمدتان لإلحاق شهادة بهذه السمة.

الطريقة الأولى: استيراد شهادة باستخدام "أداة الحماية مرفق المفاتيح العمومية"

أداة حماية المفاتيح (بكيفيو) يشكل عنصرا MMC الإضافية التي تعرض حالة المراجع المصدقة ل Microsoft Windows أو أكثر التي تؤلف بنية مفتاح عام (PKI). يتوفر كجزء من أدوات مجموعة أدوات الموارد 2003 ملقم Windows. لتنزيل هذه الأدوات، قم بزيارة موقع Microsoft التالي على الويب:بكيفيو بجمع معلومات حول شهادات CA وقوائم إبطال الشهادات (CRLs) من كل مرجع مصدق CA في المؤسسة. ثم بكيفيو بالتحقق من صحة الشهادات و CRLs للتأكد من أنها تعمل بشكل صحيح. إذا كانت لا تعمل بشكل صحيح أو أنها على وشك الفشل، بكيفيو يوفر بعض المعلومات خطأ أو تحذير مفصلة.

يعرض بكيفيو حالة المراجع المصدقة في Windows Server 2003 المثبت في مجموعة تفرعات "Active Directory". يمكنك استخدام بكيفيو لاكتشاف كافة المكونات مرفق المفاتيح العمومية، بما في ذلك الثانوية والمراجع المصدقة التي تقترن بمؤسسة CA الجذر. كما يمكنك إدارة الأداة حاويات PKI الهامة، مثل الثقة في المرجع المصدق الجذر ومخازن NTAuth، التي ترد أيضا في قسم التكوين من مجموعة تفرعات "Active Directory". تتناول هذه المقالة هذه الوظيفة الأخيرة. لمزيد من المعلومات حول بكيفيو، راجع وثائق Microsoft Windows Server 2003 الموارد مجموعة أدوات.

ملاحظة: يمكنك استخدام بكيفيو لإدارة كل من استراتيجية المساعدة القطرية ل Windows 2000 و Windows Server 2003 CAs. لتثبيت أدوات مجموعة أدوات الموارد Windows الخادم 2003، جهاز الكمبيوتر الخاص بك يجب أن يكون نظام التشغيل Windows XP أو أحدث.

لاستيراد شهادة CA إلى مخزن NTAuth المؤسسة، اتبع الخطوات التالية:
  1. تصدير شهادة المرجع المصدق CA إلى ملف.cer. يتم اعتماد تنسيقات الملفات التالية:
    • ترميز DER X.509 الثنائية (.cer)
    • مرمزة أساس 64 X.509 (.cer)
  2. تثبيت Windows Server 2003 الموارد مجموعة أدوات. تتطلب حزمة أدوات نظام التشغيل Windows XP أو أحدث.
  3. بدء تشغيل وحدة التحكم بالإدارة ل Microsoft (Mmc.exe) ثم قم بإضافة الأداة الإضافية "صيانة مرافق المفاتيح العمومية":
    1. في قائمة وحدة التحكم ، انقر فوق إضافة/إزالة أداة إضافية.
    2. انقر فوق علامة التبويب مستقل ومن ثم انقر فوق الزر إضافة .
    3. في قائمة الأدوات الإضافية، انقر فوق PKI المؤسسة.
    4. انقر فوق إضافة، ومن ثم انقر فوق إغلاق.
    5. انقر فوق موافق.
  4. انقر نقراً مزدوجاً فوق PKI المؤسسة، وثم انقر فوق إدارة الحاويات AD.
  5. انقر فوق علامة التبويب نتاوثسيرتيفيكاتيس ، ومن ثم انقر فوق إضافة.
  6. من القائمة ملف ، انقر فوق فتح.
  7. تحديد موقع وثم انقر فوق شهادة المرجع المصدق ثم انقر فوق "موافق" لإكمال عملية الاستيراد.

الطريقة الثانية: استيراد شهادة باستخدام Certutil.exe

Certutil.exe أداة سطر أوامر لإدارة مرجع مصدق Windows. في Windows Server 2003، يمكنك استخدام Certutil.exe لنشر الشهادات إلى "Active Directory". يتم تثبيت Certutil.exe مع Windows Server 2003. ومتوفر أيضا كجزء من حزمة أدوات الإدارة 2003 ملقم Microsoft Windows. قم بتنزيل حزمة الأدوات، قم بزيارة موقع Microsoft التالي على الويب:لاستيراد شهادة CA إلى مخزن NTAuth المؤسسة، اتبع الخطوات التالية:
  1. تصدير شهادة المرجع المصدق CA إلى ملف.cer. يتم اعتماد تنسيقات الملفات التالية:
    • ترميز DER X.509 الثنائية (.cer)
    • مرمزة أساس 64 X.509 (.cer)
  2. في موجه الأوامر، اكتب الأمر التالي، ومن ثم اضغط ENTER:
    certutil-دسبوبليش-و اسم الملف نتاوثكا
محتويات مخزن NTAuth يتم تخزينها مؤقتاً في موقع التسجيل التالي:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

يجب تحديث مفتاح التسجيل هذا تلقائياً ليعكس الشهادات التي تم نشرها إلى مخزن NTAuth في حاوية تكوين "خدمة active Directory". يحدث هذا السلوك عندما يتم تحديث إعدادات "نهج المجموعة" وعند تنفيذ ملحق جانب العميل المسؤول عن التسجيل التلقائي. في بعض وحدات السيناريو، مثل زمن الوصول النسخ المتماثل ل Active Directory أو عند تمكين إعداد النهج غير انتساب الشهادات تلقائياً ، لا يتم تحديث السجل. في وحدات السيناريو هذه، يمكنك تشغيل الأمر التالي لإدراج الشهادة في موقع التسجيل يدوياً:
certutil-أدستوري-المؤسسة NTAuth CA_CertFilename.cer
خصائص

رقم الموضوع: 295663 - آخر مراجعة: 18‏/01‏/2017 - المراجعة: 1

تعليقات