Pomocí nástroje Cipher.exe k migraci certifikáty podepsané svým držitelem certifikáty certifikační úřad vydal

Souhrn

Tento článek popisuje proces pomocí příkazového řádku nástroj Cipher.exe pro usnadnění přenesení uživatelé z jejich stávající certifikáty podepsané svým držitelem certifikačního úřadu (CÚ)-vydané certifikáty.

Další informace

Chcete-li povolit šifrování a obnovení uživatelských souborů systém souborů EFS (Encrypting File System) používá digitální certifikáty. Při neexistenci certifikačního úřadu (CÚ), který vydává certifikáty pro šifrování souborů služby EFS generuje nový certifikát a digitálně podepíše pomocí soukromého klíče uživatele. Tento certifikát se nazývá certifikát podepsaný svým držitelem.

Certifikáty podepsané svým držitelem povolení uživatelům používat systém souborů EFS v případě neexistence infrastruktury veřejných klíčů (PKI) nebo Active Directory. Však tyto certifikáty nelze spravovat centrálně správci. Nasazení certifikační Autority, bude mnohem snadnější správa uživatelských certifikátů v organizaci, ale správci pak čelí problému migrace uživatelů ze svých stávajících certifikátů certifikáty vydané certifikační Autority podepsán sám sebou.


Cipher.exe je nástroj příkazového řádku, který je k dispozici v systému Microsoft Windows 2000 a Microsoft Windows XP Professional x64 Edition s aktualizací Service Pack 2. Pomocí tohoto nástroje mohou uživatelé žádat o nové šifrovací certifikáty souborů certifikační úřad vydal nahradit jejich existující šifrovací certifikáty podepsané svým držitelem souborů.

Příkaz cipher /k může způsobit systému Windows 2000 a Windows XP Professional x64 Edition s aktualizací Service Pack 2 archivovat stávající certifikát podepsaný svým držitelem a požádat o novou certifikační autoritou. Možné dešifrovat všechny soubory, které byly zašifrovány pomocí starší veřejného klíče, a když jsou následně uložena, může být zašifrován pomocí veřejného klíče nové.

Nástroj Cipher lze volat v přihlašovací skript, který automaticky a tedy bez zásahu uživatele migrovat uživatele. Tento nástroj lze použít pouze místně; Nelze požádat o nové certifikáty pro soubory, které byly zašifrovány na vzdálených serverech.

Příkaz cipher /k neupraví podklíč registru, který určuje, jaký certifikát je použit pro šifrování souborů. Chcete-li použít nově požadovaný certifikát, který byl vytvořen pomocí cipher /k, musí mít otisků prstů certifikační úřad vydal osvědčení o následující podklíč registru. Jinak systém souborů EFS pokračuje v šifrování souborů pomocí certifikátu podepsaného svým držitelem.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\EFS\CurrentKeys
Otisk z certifikační úřad vydal certifikát zkopírujte a vložte jej do podklíče registru. Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, do pole Otevřít zadejte příkaz certmgr.msc a potom klepněte na tlačítko OK.
  2. Vyhledejte certifikační úřad (CÚ)-vydáno osvědčení.
  3. Poklepejte na certifikát, klepněte
    Na kartě Podrobnosti klepněte na miniaturua potom zkopírujte data Miniatura, která se zobrazí v poli pod miniaturou.

    Poznámka: Tento krok platí pouze pro systém Windows 2000. Edition s aktualizací Service Pack 2 systému Windows XP Professional x64 máte ručně zadávat Miniatura do registru.
  4. Otevřete Editor registru a potom vyhledejte podklíč registru, který již bylo zmíněno dříve.
  5. V pravém podokně klepněte na tlačítko CertificateHash, klepněte na tlačítko Upravita potom klepněte na příkaz změnit.
  6. Vložit data Miniatura, kterou jste zkopírovali v kroku 3 do
    Údaj hodnoty a klepněte na tlačítko OK.
  7. Ukončete Editor registru.
Poznámka: Pokud certifikační úřad není k dispozici nebo není nakonfigurován k vydávání certifikátů pro šifrování souboru, příkaz cipher /k způsobí místní služba EFS vydat certifikát podepsaný svým držitelem pro uživatele.


Cipher /k by měla nahradit certifikát podepsaný svým držitelem. Cipher /k, který se pokusí zapsat certifikát z Certifikačního úřadu správně nakonfigurovaným základní systém souborů EFS. Je-li tento proces neúspěšné, je vydán nový certifikát podepsaný svým držitelem. Pokud je vydán certifikát základní systém souborů EFS, je můžete poté automatický zápis u nového certifikátu verze 2. Pokud je správně nakonfigurována šablona certifikátu verze 2 nové nahrazuje všechny existující certifikát základní systém souborů EFS a archivů v osobním úložišti uživatele. Však v systému Windows XP systém souborů EFS nadále používat certifikát základní systém souborů EFS a klíčů pro všechny operace šifrování a dešifrování operace, dokud nevyprší platnost tohoto certifikátu. Po vypršení platnosti certifikátu, začne systém Windows XP pomocí nových certifikátů verze 2 zapsány automaticky. Jedná se o známý problém.
Vlastnosti

ID článku: 295680 - Poslední kontrola: 19. 1. 2017 - Revize: 1

Váš názor