Υποστήριξη αρχής έκδοσης πιστοποιητικών άλλων κατασκευαστών για την κρυπτογράφηση συστήματος αρχείων

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:273856
Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Περίληψη
Αυτό το άρθρο περιγράφει τον τρόπο τα Windows 2000 υποστηρίζουν αρχών έκδοσης πιστοποιητικών άλλων κατασκευαστών (CA) που εκδίδουν πιστοποιητικά συστήματος αρχείων κρυπτογράφησης (EFS) και πιστοποιητικά παράγοντα αποκατάστασης EFS.

ΕΠΙΣΚΟΠΗΣΗ

Αυτό το άρθρο χωρίζεται σε δύο ενότητες που ακολουθούν:
 • Μια σύντομη επεξήγηση του EFS και τη χρήση της υποδομής δημόσιων κλειδιών.
 • Με τον τρόπο που μια αρχή έκδοσης Πιστοποιητικών άλλων κατασκευαστών επιτρέπεται να εκδίδει πιστοποιητικά για χρήση από το σύστημα EFS για κρυπτογράφηση αρχείων και αποκατάστασης.
Περισσότερες πληροφορίες

Επισκόπηση EFS και την υποδομή δημόσιου κλειδιού

EFS είναι η λύση στα Windows 2000 για την κρυπτογράφηση αρχείων σε τόμους συστήματος αρχείων NTFS. Το EFS χρησιμοποιεί τη δυνατότητα υποδομή δημόσιου κλειδιού και δυνατότητα Crypto αρχιτεκτονική των Windows 2000.

Η εγγραφή πιστοποιητικού

Κατά τη διάρκεια μιας λειτουργίας κρυπτογράφησης, EFS χρησιμοποιεί του τρέχοντος πιστοποιητικού EFS. Εάν δεν είναι διαθέσιμο, EFS εκτελεί αναζήτηση στον προσωπικό χώρο αποθήκευσης για ένα κατάλληλο πιστοποιητικό. Εάν το σύστημα EFS δεν μπορεί να εντοπίσει το τρέχον πιστοποιητικό, enrolls μπορείτε, για ένα πιστοποιητικό EFS. Μια ηλεκτρονική 2000 CA των Windows που υποστηρίζει το πρότυπο EFS μπορεί να εκδώσει ένα πιστοποιητικό EFS. Ένα πιστοποιητικό αυτόματης υπογραφής δημιουργείται από το σύστημα EFS, αν δεν μπορεί να πραγματοποιήσει εγγραφή για ένα πιστοποιητικό με μια ηλεκτρονική CA για τα Windows 2000 ή αν δεν χρησιμοποιείτε ένα λογαριασμό τομέα.

Αφού EFS επιλέγει ένα πιστοποιητικό, δεν μπορείτε να το αλλάξετε μέσω του περιβάλλοντος χρήστη του συστήματος. Επιπλέον, EFS δεν αυτόματα εναλλαγή πιστοποιητικά όταν ένα καλύτερα ένα διατεθεί (όπως όταν το EFS χρησιμοποιεί το δικό της πιστοποιητικό και να εγγραφεί για ένα πιστοποιητικό EFS από μια ηλεκτρονική CA για τα Windows 2000).

Υπάρχουν δύο τρόποι για να αλλάξετε το πιστοποιητικό που χρησιμοποιεί το σύστημα EFS:
 • Για να ορίσετε το νέο πιστοποιητικό EFS, χρησιμοποιήστε τοSetUserFileEncryptionKeyAPI, το οποίο τεκμηριώνεται από το Microsoft Developer Network (MSDN). EFS ξεκινά αμέσως με το νέο πιστοποιητικό.
 • Αλλάξτε τον κατακερματισμό του πιστοποιητικού το οποίο αποθηκεύεται στο ακόλουθο κλειδί μητρώου για τοΑποτύπωσητο πεδίο του νέου πιστοποιητικού:
  Version\EFS\CurrentKeys NT\Current HKEY_CURRENT_USER\Software\Microsoft\Windows

  Τιμή: CertificateHash
  Τύπος: REG_BINARY
  Δεδομένα: Αποτύπωση του νέου πιστοποιητικού
EFS αναμένει τα κλειδιά για το πιστοποιητικό EFS για να αποθηκευτούν στο Microsoft Base Rivest-Shamir-Adelman (RSABase) Crypto υπηρεσία παροχής (CSP). Για ναΒασικές πληροφορίεςχαρακτηριστικό του πιστοποιητικού θα πρέπει να οδηγεί σε αυτήν την υπηρεσία παροχής Κρυπτογράφησης. EFS που μοιάζει τοΜΟΥχώρος αποθήκευσης πιστοποιητικών, που περιέχει τα πιστοποιητικά και τα ιδιωτικά κλειδιά.

Αρχείο κρυπτογράφησης και αποκρυπτογράφησης δεδομένων

Το EFS χρησιμοποιεί ένα συμμετρικό κλειδί που δημιουργείται τυχαία για να κρυπτογραφήσετε το αρχείο δεδομένων. Δημιουργείται ένα νέο κλειδί για κάθε αρχείο που είναι κρυπτογραφημένο. Ο αλγόριθμος κρυπτογράφησης δεδομένων που χρησιμοποιείται είναι DESX (έναν ισχυρότερο έκδοση του Data Encryption Standard). Δεν υπάρχουν άλλες αλγόριθμοι μπορούν να ρυθμιστούν.

Το συμμετρικό κλειδί κρυπτογράφησης στη συνέχεια είναι κρυπτογραφημένο με το δημόσιο κλειδί που προέρχεται από το πιστοποιητικό EFS. Τα κρυπτογραφημένα δεδομένα που προκύπτουν, το εμφανιζόμενο όνομά σας και ο κατακερματισμός του πιστοποιητικού είναι αποθηκευμένο σε μια καθορισμένη ροή στο αρχείο που περιέχει τα μετα-δεδομένα EFS. Όταν το σύστημα EFS αποκρυπτογραφεί ένα αρχείο, χρησιμοποιεί το ιδιωτικό σας κλειδί να αποκρυπτογραφούν το συμμετρικό κλειδί κρυπτογράφησης. Το EFS χρησιμοποιεί στη συνέχεια το συμμετρικό κλειδί για την αποκρυπτογράφηση των δεδομένων.

Για να κρυπτογραφήσετε ένα αρχείο σε ένα διακομιστή δικτύου, EFS φορτώνει το προφίλ σας στο δίκτυο, αν έχετε προφίλ περιαγωγής. Εάν δεν έχετε προφίλ περιαγωγής, EFS αναμένει για να βρείτε το πιστοποιητικό και τα κλειδιά του διακομιστή και προσπαθεί να δημιουργήσει ένα προφίλ εκεί.

Κατά την αντιγραφή ενός αρχείου EFS σε ένα δίκτυο, έχει αποκρυπτογραφηθεί και αποστέλλεται μέσω του δικτύου σε απλό κείμενο. To protect your files while they are in transit on your network, use IP Security.

EFS certificate renewal

When the EFS certificate expires, EFS performs renewal by enrolling for a new certificate with a new key pair. EFS, itself, does not renew the current certificate when it expires.

If you renew the EFS certificate and archive the old certificate before it expires, EFS continues to use the old certificate until it expires. EFS then goes through the same process for enrollment to find a new certificate in the store or to acquire a new one if it cannot find a valid certificate. While looking for a new certificate to use, EFS can fetch a certificate that is different from the one that you acquired through renewal, if there is more than one EFS certificate in the store.

After EFS starts to use a new certificate, if it handles a file that was previously encrypted with a different certificate, EFS regenerates the metadata to use the new certificate.

Revocation checking

EFS does not perform any revocation checking.

EFS Recovery Agent

You can use EFS Recovery Agents to decrypt an encrypted file if the user who encrypted the file leaves your company. You can enroll for EFS Recovery Agent certificates using theEFS Recoverytemplate on Windows 2000 CAs.

You can set EFS Recovery Agent certificates in global domain policy for all users on the domain. You can also set these certificates for all the users on the local computer in local computer policy. If both policies are present, the global policy takes precedence.

To open the Add Recovery Agent Wizard, clickΠολιτική ομάδας (Group Policy)Κάντε κλικPublic Key Policies, και στη συνέχεια κάντε κλικ στο κουμπίEncrypted Data Recovery Agents. This wizard helps you designate Recovery Agent certificates. You can clickBrowse Folders, and then click the certificate file to directly import it as the Recovery Agent certificate. The certificate is imported with the Recovery Agent notationUser unknown. This occurs for any third-party CA certificate that you designate as a Recovery Agent certificate.

If you publish the certificate in the directory for a user (which occurs if you enroll against an online Windows 2000 CA for the EFS Recovery Agent certificate for the user), you can use the wizard to directly import the user as a recovery agent. Browse through the directory and select the user who you want to designate as the recovery agent.

During file encryption, the symmetric encrypting key is also encrypted to the recovery agent's public key, and the information is stored in the named stream containing EFS metadata. To recover an encrypted file, EFS uses the recovery agent's private key to decrypt the symmetric encrypting key, which EFS then uses to decrypt the data.

Rules for third-party CA for creating and using valid EFS and EFS Recovery Agent certificates

EFS certificates

The rules for forming the certificate are:
 • The Key Usage extension in the certificate must contain Key Encipherment and Data Encipherment.
 • The Enhanced Key Usage extension in the certificate must contain the Encrypting File System (1.3.6.1.4.1.311.10.3.4) identifier.
 • During usage, you must store the keys in the Microsoft RSABase CSP.
 • Για ναKey Infoproperty on the certificate must point to this key.
To contain the rightKeyUsageANDEnhancedKeyUsagevalues, you may have to customize the third-party certification authorities to issue certificates that contain the correct values.

There are two ways to enroll for the EFS certificates using third-party products:
 • The third-party CA may provide an enrollment that is independent of Microsoft Crypto Architecture. In that case, the third party must export the certificate, and the private key that is associated with the certificate, into a file that can be imported into your profile by using the Certificate Manager MMC snap-in. The keys are imported into the Microsoft RSABase CSP and theKey Infoproperty is set to this CSP.
 • The third-party CA may provide a Web-based enrollment procedure that uses the Microsoft XEnroll control for Microsoft clients to enroll for certificates. Using this method of enrollment, the keys are stored automatically in the Microsoft RSABase CSP and theKey Infoproperty is set.
After you enroll for a certificate, or after you renew a certificate, you must inform EFS about the change if it has used any certificate previously. You have to set up a call toSetUserFileEncryptionKeythat points at the new certificate. If the certificate is created before any EFS operation, you do not have to set up a callSetUserFileEncryptionKey. EFS finds the new certificate in your personal certificate store and sets it as the default certificate.

EFS recovery certificates

The rules for forming the certificate are:
 • Key Usage = Key Encipherment
 • EKU = File Recovery(1.3.6.1.4.1.311.10.3.4.1)
Όπως αναφέρεται στην ενότητα "Πιστοποιητικό EFS", μπορεί να παράσχει πελάτες της Microsoft με σελίδες εγγραφής στο Web, να εγγραφεί για τα πιστοποιητικά της αρχής έκδοσης Πιστοποιητικών άλλων κατασκευαστών ή η αρχή έκδοσης Πιστοποιητικών άλλων κατασκευαστών ενδέχεται να εξαγάγετε το πιστοποιητικό και το συσχετισμένο ιδιωτικό κλειδί σε ένα αρχείο που μπορεί να εισαχθεί σε ένα πρόγραμμα-πελάτης Microsoft.

Μετά τη δημιουργία του πιστοποιητικού μπορεί να εισαχθεί, χρησιμοποιώντας τον Οδηγό του παράγοντα αποκατάστασης.

Κατά την ανάκτηση του αρχείου, και το πιστοποιητικό αποκατάστασης αρχείου και το ιδιωτικό κλειδί πρέπει να εισαχθούν στο σύστημα που χρησιμοποιείται για να ανακτήσετε τα αρχεία σύμφωνα με τις παρακάτω οδηγίες:
 • Τα κλειδιά πρέπει να αποθηκεύονται σε υπηρεσία CSP RSABase της Microsoft.
 • Για ναΒασικές πληροφορίεςη ιδιότητα στο πιστοποιητικό πρέπει να αναφέρεται σε αυτό το κλειδί με την υπηρεσία παροχής Κρυπτογράφησης RSABase. Το όνομα της υπηρεσίας παροχής θα πρέπει να είναι "Υπηρεσία παροχής κρυπτογράφησης Microsoft Base v1.0."
Μπορείτε να χρησιμοποιήσετεΕισαγωγή πιστοποιητικούμε το πιστοποιητικό-συμπληρωματικό πρόγραμμα MMC για να εισαγάγετε το πιστοποιητικό και το ιδιωτικό κλειδί.Σημαντικό: Οι κανόνες που περιγράφονται σε αυτό το άρθρο επικυρώθηκαν από τη Microsoft, ρυθμίζοντας τις παραμέτρους στην αρχή, τρίτο πιστοποίησης έκδοσης προϊόντος να εκδώσει EFS και παράγοντα αποκατάστασης EFS πιστοποιητικά. Το EFS δοκιμή ομάδας δοκιμή κρυπτογράφησης και αποκατάσταση χρησιμοποιώντας αυτά τα πιστοποιητικά.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 273856 - Τελευταία αναθεώρηση: 12/05/2015 21:46:44 - Αναθεώρηση: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

 • kbnosurvey kbarchive kbarttypeinf kbefs kbfile kbinfo w2000efs kbmt KB273856 KbMtel
Σχόλια