Importieren von Zertifikaten einer Zertifizierungsstelle von Drittanbietern in den NTAuth-Speicher für Unternehmen

Es gibt zwei Methoden, mit denen Sie zertifikate von Zertifizierungsstellen von Drittanbietern in den NTAuth-Speicher für Unternehmen importieren können. Dieser Prozess ist erforderlich, wenn Sie eine Drittanbieterzertifizierungsstelle verwenden, um Smart Karte-Anmelde- oder Domänencontrollerzertifikate auszustellen. Durch die Veröffentlichung des Zertifizierungsstellenzertifikats im NTAuth-Speicher für Unternehmen gibt der Administrator an, dass die Zertifizierungsstelle vertrauenswürdig ist, um Zertifikate dieser Typen auszustellen. Windows-Zertifizierungsstellen veröffentlichen ihre Zertifizierungsstellenzertifikate automatisch in diesem Speicher.

Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 295663

Weitere Informationen

Der NTAuth-Speicher ist ein Active Directory-Verzeichnisdienstobjekt, das sich im Konfigurationscontainer der Gesamtstruktur befindet. Der LDAP-Distinguished-Name (Lightweight Directory Access Protocol) ähnelt dem folgenden Beispiel:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

Zertifikate, die im NTAuth-Speicher veröffentlicht werden, werden in das mehrwertige Attribut cACertificate geschrieben. Es gibt zwei unterstützte Methoden zum Anfügen eines Zertifikats an dieses Attribut.

Methode 1: Importieren eines Zertifikats mithilfe des PKI-Integritätstools

Das PKI-Integritätstool (PKIView) ist eine MMC-Snap-In-Komponente. Es zeigt die status einer oder mehrerer Microsoft Windows-Zertifizierungsstellen an, die eine PKI bilden. Es ist als Teil der Windows Server 2003 Resource Kit-Tools verfügbar.

PKIView sammelt Informationen zu den Zertifizierungsstellenzertifikaten und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) von jeder Zertifizierungsstelle im Unternehmen. Anschließend werden die Zertifikate und CRLs überprüft, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn sie nicht ordnungsgemäß funktionieren oder ein Fehler auftritt, bietet PKIView eine detaillierte Warnung oder einige Fehlerinformationen.

PKIView zeigt die status von Windows Server 2003-Zertifizierungsstellen an, die in einer Active Directory-Gesamtstruktur installiert sind. Sie können PKIView verwenden, um alle PKI-Komponenten zu ermitteln, einschließlich untergeordneter und Stammzertifizierungsstellen, die einer Unternehmenszertifizierungsstelle zugeordnet sind. Das Tool kann auch wichtige PKI-Container verwalten, z. B. Vertrauensstellungen der Stammzertifizierungsstelle und NTAuth-Speicher, die ebenfalls in der Konfigurationspartition einer Active Directory-Gesamtstruktur enthalten sind. In diesem Artikel wird diese letztere Funktionalität erläutert. Weitere Informationen zu PKIView finden Sie in der Dokumentation zu Microsoft Windows Server 2003 Resource Kit Tools.

Hinweis

Sie können PKIView verwenden, um sowohl Windows 2000-Zertifizierungsstellen als auch Windows Server 2003-Zertifizierungsstellen zu verwalten. Um die Windows Server 2003 Resource Kit-Tools installieren zu können, muss auf Ihrem Computer Windows XP oder höher ausgeführt werden.

Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den NTAuth-Speicher für Unternehmen zu importieren:

  1. Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine .cer Datei. Die folgenden Dateiformate werden unterstützt:

    • DER-codierte binäre X.509 (.cer)
    • Base64-codierte x.509 (.cer)
  2. Installieren Sie die Windows Server 2003 Resource Kit-Tools. Das Tools-Paket erfordert Windows XP oder höher.

  3. Starten Sie die Microsoft Management Console (Mmc.exe), und fügen Sie dann das Snap-In PKI-Integrität hinzu:

    1. Wählen Sie im Menü Konsole die Option Snap-In hinzufügen/entfernen aus.
    2. Wählen Sie die Registerkarte Eigenständig und dann die Schaltfläche Hinzufügen aus.
    3. Wählen Sie in der Liste der Snap-Ins Enterprise PKI aus.
    4. Wählen Sie Hinzufügen und dann Schließen aus.
    5. Wählen Sie OK aus.
  4. Klicken Sie mit der rechten Maustaste auf Enterprise PKI, und wählen Sie dann AD-Container verwalten aus.

  5. Wählen Sie die Registerkarte NTAuthCertificates und dann Hinzufügen aus.

  6. Wählen Sie im Menü Datei die Option Öffnen aus.

  7. Suchen Sie das Zertifizierungsstellenzertifikat, wählen Sie es aus, und klicken Sie dann auf OK , um den Import abzuschließen.

Methode 2: Importieren eines Zertifikats mithilfe von Certutil.exe

Certutil.exe ist ein Befehlszeilenprogramm zum Verwalten einer Windows-Zertifizierungsstelle. In Windows Server 2003 können Sie Certutil.exe verwenden, um Zertifikate in Active Directory zu veröffentlichen. Certutil.exe wird mit Windows Server 2003 installiert. Es ist auch als Teil des Microsoft Windows Server 2003-Verwaltungstoolspakets verfügbar.

Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den NTAuth-Speicher für Unternehmen zu importieren:

  1. Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine .cer Datei. Die folgenden Dateiformate werden unterstützt:

    • DER-codierte binäre X.509 (.cer)
    • Base64-codierte x.509 (.cer)
  2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    certutil -dspublish -f filename NTAuthCA
    

Der Inhalt des NTAuth-Speichers wird am folgenden Registrierungsspeicherort zwischengespeichert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Dieser Registrierungsschlüssel sollte automatisch aktualisiert werden, um die Zertifikate widerzuspiegeln, die im NTAuth-Speicher im Active Directory-Konfigurationscontainer veröffentlicht werden. Dieses Verhalten tritt auf, wenn Gruppenrichtlinie Einstellungen aktualisiert werden und wenn die clientseitige Erweiterung ausgeführt wird, die für die automatische Registrierung verantwortlich ist. In bestimmten Szenarien, z. B. bei der Active Directory-Replikationslatenz oder wenn die Richtlinieneinstellung Zertifikate nicht automatisch registrieren aktiviert ist, wird die Registrierung nicht aktualisiert. Führen Sie in solchen Szenarien den folgenden Befehl manuell aus, um das Zertifikat in den Registrierungsspeicherort einzufügen:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer