Cómo hacer que una entidad de certificación independiente que ejecuta Windows Server 2003 con Service Pack 1 o una versión x64 de Windows Server 2003 compatible con ISIS-MTT versión 1.1

Resumen

Si desea que una entidad de certificación independiente (CA) compatible con la versión 1.1 de ISIS MTT estándar, siga los pasos que se describen en este artículo. La entidad emisora debe forzar la codificación UTF-8. Después se envía una solicitud de certificado, el atributo de uso de claves debe marcarse como "crítica" durante el proceso de envío de certificados. Puede emitir y comprobar el certificado.

INTRODUCCIÓN

ISIS MTT es un nuevo estándar para la interoperabilidad de la infraestructura de claves públicas (PKI) de alemán. ISIS MTT define los formatos de datos y protocolos de comunicación que se empleen en aplicaciones interoperables de PKI. El estándar se centra en los servicios de seguridad para la autenticación. Estos servicios incluyen usuario identificación e integridad de datos, confidencialidad y no rechazo. El estándar fue desarrollado por el gobierno alemán junto con los intereses bancarios, industriales y academic.


Para hacer que la entidad emisora de certificados (CA) compatible con ISIS-MTT versión 1.1, debe completar los pasos de configuración específicos. En este artículo paso a paso describe cómo inscribir certificados que cumplen con los requisitos de ISIS MTT para una CA independiente.

Nota: La entidad emisora de certificados debe ser un servidor que ejecuta Microsoft Windows Server 2003 Service Pack 1 (SP1), una versión x64 de Windows Server 2003 o una versión posterior de Windows.

Importante: Los cambios de configuración que se documentan en este artículo se deben aplicar a la entidad emisora que se inscriba el certificado. En una topología PKI, esto es la entidad emisora primaria del solicitante del certificado. Si se solicita un certificado de entidad emisora de certificados de una CA subordinada, el tipo de entidad que solicita el certificado no es relevante.

Utilice las instrucciones paso a paso en este artículo si se cumplen las condiciones siguientes:
  • La entidad emisora emite certificados compatible con ISIS-MTT a CA subordinadas o a entidades finales.
  • La entidad emisora realiza una de las siguientes funciones:
    • Entidad emisora raíz independiente
    • Entidad emisora de certificados subordinada independiente
Para configurar correctamente la entidad emisora, utilice los métodos siguientes:
  • Configurar la entidad emisora para forzar la codificación UTF8.
  • Marque el atributo uso de la clave como crítica durante el proceso de envío del certificado.
  • Para los certificados de entidad emisora de certificados, omita la entrada de firma digital en la sección uso de claves.
Volver al principio

Exigir la codificación UTF8

Después de configurar una entidad emisora de certificados para forzar la codificación UTF8, la opción de UTF8 se aplica a todos los certificados que se emiten con esta entidad emisora de certificados. En la entidad emisora de certificados que debe emitir certificados compatible con ISIS-MTT, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  2. Escriba lo siguiente y, a continuación, presione ENTRAR:
    certutil - setreg ca\forceteletex + 0 x 20
    Este comando establece el indicador para que la entidad emisora siempre codifica al asunto con UTF8.
  3. Para detener y reiniciar el servicio entidad emisora de certificados, escriba lo siguiente en un símbolo del sistema. Presione ENTRAR después de cada comando.
    net stop "servicios de certificate Server"
    Net start "servicios de certificate Server"
Para deshacer este cambio, siga estos pasos:
  1. Escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
    certutil - setreg ca\forceteletex-0 x 20
  2. Para detener y reiniciar el servicio entidad emisora de certificados, escriba los comandos siguientes. Presione ENTRAR después de cada comando.
    net stop "servicios de certificate Server"
    Net start "servicios de certificate Server"
Nota: Las versiones de Windows anteriores a Windows Server 2003 SP1 no pueden interpretar el bit "0 x 20" y pasará por alto.

Volver al principio

Enviar la solicitud de certificado

Dado que las entidades emisoras independientes no admiten plantillas de certificado, deben establecerse las propiedades de clave durante el procesamiento de la solicitud de certificado. Para ello, siga estos pasos:
  1. En la entidad emisora, haga clic en Inicio, seleccione Herramientas administrativasy, a continuación, haga clic en Entidad emisora de certificados.
  2. Haga clic en el certificado y, a continuación, haga clic en Propiedades.
  3. Haga clic en la ficha Módulo de directivas y, a continuación, haga clic en Propiedades.
  4. Haga clic en el estado de la solicitud de certificado como pendiente del conjunto. El administrador debe emitir explícitamente el certificadoy, a continuación, haga clic en Aceptar.
  5. Crear un archivo de solicitud de certificado para utilizar con la entidad emisora de certificados subordinada o con la entidad final.
  6. En la entidad emisora de certificados subordinada o entidad final, envíe la solicitud de certificado a la entidad emisora de certificados independiente. Para ello, utilice uno de los métodos siguientes.

    Método 1: Enviar la entidad emisora mediante una interfaz Web

    Para obtener información acerca de cómo enviar la entidad emisora mediante una interfaz Web, visite el siguiente sitio Web de Microsoft y, a continuación, vea "para solicitar un certificado de un Windows Server 2003 CA using a PKCS #10 o PKCS #7 archivo":

    Método 2: Enviar la entidad emisora de certificados mediante el comando Certreq

    1. En un símbolo del sistema, escriba certreq-enviar Path_To_Request_File\Certificate_Request_Filenamey, a continuación, haga clic en Aceptar.
    2. En la lista Seleccione una entidad emisora de certificados (CA) que desea utilizar , haga clic en el archivo de solicitud de certificado de la entidad emisora y, a continuación, haga clic en Aceptar.
  7. Tenga en cuenta el certificado de ID de solicitud que se devuelve.
Para cambiar el uso de claves y para marcar como crítica, consulte la sección "Cambiar el uso de claves y, a continuación, se marca como crítica". Dejar el uso de la clave predeterminada, pero para marcar el uso de la clave como crítica, consulte la sección "Dejar el uso de la clave predeterminada, pero marcar como crítica".

Nota: El estándar de ISIS MTT requiere que el nombre de una entidad emisora de certificados contiene los siguientes atributos de nombre completo:
  • País (c)
  • organizationName (o)
La entidad solicitante debe elegir un nombre apropiado para la entidad emisora de certificados.

Volver al principio

Cambiar el uso de claves y, a continuación, se marca como crítica

De forma predeterminada, el valor de uso de claves de certificados de entidad emisora de certificados en Windows es diferente del valor de uso de claves de certificados de entidad emisora de certificados de ISIS MTT. Un certificado de CA que es compatible con ISIS MTT conlleva el uso de la clave siguiente:
CRL sin conexión, firma, firma CRL del certificado de firma
Para aplicar este uso de la clave si se solicita un certificado de entidad emisora de certificados, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
Echo 03 02 01 06 >nombre_archivo.txt
Para obtener una explicación de los números hexadecimales que se utilizan en este comando, consulte la sección "Uso de interpretación de la clave".

Para modificar la solicitud de certificado de entidad emisora de certificados pendiente para establecer el uso de claves y para marcar como crítica, escriba lo siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

Volver al principio

Dejar el uso de la clave predeterminada, pero marcar como crítica

Utilice este método sólo si el uso de la clave no se ha cambiado y debe establecerse como crítico.

Para ello, escriba lo siguiente en un símbolo del sistema y presione ENTRAR:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Para obtener una explicación de los números hexadecimales que se utilizan en este comando, consulte la sección "Uso de interpretación de la clave".

Volver al principio

Emitir y comprobar el certificado

  1. Emitir la solicitud pendiente.
  2. Para comprobar que el certificado se ha creado correctamente, escriba el comando siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
    certutil - v Path_Of_File/Certificate_File
  3. Ver el archivo de salida para asegurarse de que el nombre común está formateado como CERT_RDN_UTF8_STRING.
  4. Asegúrese de que el uso de claves está establecido correctamente.
  5. Asegúrese de que está establecido el indicador crítico para el identificador de objeto de uso de la clave 2.5.29.15.
Volver al principio

Interpretar el uso de claves

El uso de claves se representa como una cadena de bits. El primer byte es la codificación del tipo de cadena de bits. Esto es 03 estático. El segundo bit define la longitud del valor y se establece como 02. Los siguientes bits representan el valor real de la cadena de bits donde es fijo 01. El uso de claves valores se definen en el Wincrypt.h incluya el archivo siguiente:
#define CERT_DIGITAL_SIGNATURE_KEY_USAGE0x80

#define CERT_NON_REPUDIATION_KEY_USAGE0x40

#define CERT_KEY_ENCIPHERMENT_KEY_USAGE0x20

#define CERT_DATA_ENCIPHERMENT_KEY_USAGE0x10

#define CERT_KEY_AGREEMENT_KEY_USAGE0x08

#define CERT_KEY_CERT_SIGN_KEY_USAGE0x04

#define CERT_OFFLINE_CRL_SIGN_KEY_USAGE0x02

#define CERT_CRL_SIGN_KEY_USAGE0x02

#define CERT_ENCIPHER_ONLY_KEY_USAGE0x01
Por ejemplo, el valor 03 02 01 86 establece los siguientes usos de clave con una operación OR lógica:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |

CERT_CRL_SIGN_KEY_USAGE
Si desea firmar la lista de revocación de certificados (CRL) y sólo firma de certificados, el valor hexadecimal debe ser 03 02 01 06.

Volver al principio

Más información

Soporte técnico para las ediciones de Windows x64

El fabricante del hardware proporciona soporte técnico y asistencia para las ediciones de Microsoft Windows x64. El fabricante del hardware proporciona soporte porque un Windows x64 edition se incluyó con su hardware. Su fabricante de hardware podría haber personalizado la instalación de Windows x64 edition con componentes exclusivos. Componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Si necesita ayuda técnica con su edición de Windows x64, Microsoft ofrecerá asistencia de esfuerzo razonable. Sin embargo, tendrá que ponerse en contacto directamente con el fabricante. El fabricante es el mejor cualificado para admitir el software que instaló el fabricante del hardware.

Para obtener información sobre x64 de Microsoft Windows XP Professional Edition, visite el siguiente sitio Web de Microsoft:Para obtener información acerca de las ediciones de Microsoft Windows Server 2003 x64, visite el siguiente sitio Web de Microsoft:
Propiedades

Id. de artículo: 888180 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios