Jak importovat certifikáty jiných výrobců certifikačního úřadu (CA) do úložiště Enterprise NTAuth

ÚVOD

Tento článek popisuje dvě metody, které můžete použít, chcete-li importovat certifikáty jiných výrobců certifikační úřady (CÚ) do úložiště Enterprise NTAuth. Tento proces je vyžadován, pokud používáte výrobců CÚ vystavovat certifikáty řadič přihlášení pomocí čipové karty nebo domény. Publikováním certifikátu certifikačního úřadu v úložišti Enterprise NTAuth správce označuje, že certifikační úřad důvěryhodný k vydávání osvědčení o těchto typů. Certifikáty CÚ certifikační autority systému Windows automaticky publikovat do tohoto úložiště.

Další informace


V úložišti NTAuth je objekt služby Active Directory directory service, který je umístěn v kontejneru Konfigurace doménové struktury. Rozlišující název Lightweight Directory Access Protocol (LDAP) je podobná následující:
CN = NTAuthCertificates, CN = Public Key Services, CN = Services, CN = Configuration, DC = doména, DC = com
Certifikáty, které jsou publikovány v úložišti NTAuth store jsou zapisovány do cACertificate atribut oceněn více. Existují dvě podporované metody připojit certifikát k tomuto atributu.

Metoda 1: Importujte certifikátu pomocí nástroje zdraví PKI

Nástroje zdraví PKI (PKIView) je MMC modul snap-in komponentu, která zobrazuje stav jednoho nebo více certifikačních úřadů systému Windows, které tvoří infrastrukturu veřejných klíčů (PKI). Je k dispozici jako součást nástroje systému Windows Server 2003 Resource Kit. Chcete-li stáhnout tyto nástroje, navštivte následující Web společnosti Microsoft:PKIView shromažďuje informace o certifikáty certifikační Autority a seznamy odvolaných certifikátů (CRL) z každého certifikačního úřadu v rozlehlé síti. Potom PKIView ověří certifikáty a seznamy odvolaných certifikátů zajistit pracovat správně. Pokud nefungují správně, nebo pokud mají selhání, PKIView poskytuje podrobné upozornění nebo některé informace o chybě.

PKIView zobrazí stav certifikačních úřadů systému Windows Server 2003, které jsou nainstalovány v doménové struktuře služby Active Directory. Můžete použít PKIView zjistit všechny součásti infrastruktury veřejných KLÍČŮ, včetně podřízených a kořenových certifikačních úřadů, které jsou spojeny s CÚ rozlehlé sítě. Nástroj lze také spravovat důležité PKI kontejnerů, například důvěryhodnost kořenového certifikačního úřadu a úložiště NTAuth, které jsou také obsaženy v oddílu konfigurace doménové struktury služby Active Directory. Tento článek pojednává o tuto jeho funkci. Další informace o PKIView naleznete v dokumentaci Microsoft Windows Server 2003 Resource Kit Tools.

Poznámka: PKIView můžete použít ke správě certifikační autority systému Windows 2000 a Windows Server 2003 CÚ. Chcete-li nainstalovat nástroje systému Windows Server 2003 Resource Kit, musíte v počítači systém Windows XP nebo novější.

Chcete-li importovat certifikát certifikační Autority do úložiště Enterprise NTAuth, postupujte takto:
  1. Exportujte certifikát certifikačního úřadu do souboru s příponou CER. Jsou podporovány následující formáty souborů:
    • DER binární x.509 (CER)
    • Base64 X.509 (.cer)
  2. Nainstalujte nástroje systému Windows Server 2003 Resource Kit. Balíček nástroje vyžaduje systém Windows XP nebo novější.
  3. Spustit konzola Microsoft Management Console (Mmc.exe) a přidejte modul snap-in Infrastruktura veřejných klíčů PKI zdraví:
    1. V nabídce Konzola klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    2. Na samostatnou kartu a potom klepněte na tlačítko Přidat .
    3. V seznamu moduly snap in klepněte na tlačítko Infrastruktury veřejných KLÍČŮ rozlehlé sítě.
    4. Klepněte na tlačítko Přidata potom klepněte na tlačítko Zavřít.
    5. Klepněte na tlačítko OK
  4. Infrastruktury veřejných KLÍČŮ rozlehlé sítěklepněte pravým tlačítkem myši a potom klepněte na tlačítko Spravovat kontejnery služby AD.
  5. Klepněte NTAuthCertificates a potom klepněte na tlačítko Přidat.
  6. V nabídce soubor klepněte na tlačítko Otevřít.
  7. Vyhledejte a klepněte na certifikát certifikačního úřadu a klepněte na tlačítko OK dokončete import.

Metoda 2: Importujte certifikátu pomocí nástroje Certutil.exe

Certutil.exe je nástroj příkazového řádku pro správu systému Windows. V systému Windows Server 2003 můžete Certutil.exe certifikáty publikovány ve službě Active Directory. Certutil.exe je nainstalován v systému Windows Server 2003. Je také k dispozici jako součást Microsoft Windows Server 2003 Administration Tools Pack. Chcete-li stáhnout nástroje pack, navštivte následující Web společnosti Microsoft:Chcete-li importovat certifikát certifikační Autority do úložiště Enterprise NTAuth, postupujte takto:
  1. Exportujte certifikát certifikačního úřadu do souboru s příponou CER. Jsou podporovány následující formáty souborů:
    • DER binární x.509 (CER)
    • Base64 X.509 (.cer)
  2. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
    certutil - dspublish -f název souboru NTAuthCA
Obsah úložiště NTAuth jsou ukládány do mezipaměti v následujícím umístění registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Tento klíč registru by měly být automaticky aktualizován certifikáty, které jsou publikovány do úložiště NTAuth v kontejneru konfigurace služby Active Directory. K tomuto chování dochází při aktualizaci nastavení Zásady skupiny a rozšíření straně klienta, která je zodpovědná za automatický zápis provede. V některých scénářích, jako je čekací doba replikace služby Active Directory nebo pokud je povoleno nastavení zásad Nezapisovat certifikáty automaticky není aktualizován v registru. V takových případech lze spustit příkaz ručně, chcete-li vložit certifikát do umístění registru:
certutil-enterprise - addstore NTAuth CA_CertFilename.cer
Vlastnosti

ID článku: 295663 - Poslední kontrola: 19. 1. 2017 - Revize: 1

Váš názor