Importación de certificados de entidad de certificación (CA) de terceros en el almacén ntauth empresarial

  • Artículo

Hay dos métodos que puede usar para importar los certificados de ca de terceros en el almacén NTAuth empresarial. Este proceso es necesario si usa una entidad de certificación de terceros para emitir certificados de controlador de dominio o inicio de sesión de tarjeta inteligente. Al publicar el certificado de ca en el almacén NTAuth de empresa, el administrador indica que la entidad de certificación es de confianza para emitir certificados de estos tipos. Las ENTIDADes de certificación de Windows publican automáticamente sus certificados de CA en este almacén.

Se aplica a: Windows Server 2016, Windows Server 2012 R2
Número de KB original: 295663

Más información

El almacén NTAuth es un objeto de servicio de directorio de Active Directory que se encuentra en el contenedor De configuración del bosque. El nombre distintivo del Protocolo ligero de acceso a directorios (LDAP) es similar al siguiente ejemplo:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

Los certificados que se publican en el almacén NTAuth se escriben en el atributo cACertificate con varios valores. Hay dos métodos admitidos para anexar un certificado a este atributo.

Método 1: Importación de un certificado mediante la herramienta de mantenimiento de PKI

PKI Health Tool (PKIView) es un componente de complemento MMC. Muestra el estado de una o varias CA de Microsoft Windows que componen una PKI. Está disponible como parte de las herramientas del kit de recursos de Windows Server 2003.

PKIView recopila información sobre los certificados de ca y las listas de revocación de certificados (CRL) de cada entidad de certificación de la empresa. A continuación, valida los certificados y las CRL para asegurarse de que funcionan correctamente. Si no funcionan correctamente o están a punto de producir un error, PKIView proporciona una advertencia detallada o alguna información de error.

PKIView muestra el estado de las CA de Windows Server 2003 instaladas en un bosque de Active Directory. Puede usar PKIView para detectar todos los componentes de PKI, incluidas las entidades de certificación subordinadas y raíz asociadas a una CA empresarial. La herramienta también puede administrar contenedores PKI importantes, como la confianza de ca raíz y los almacenes NTAuth, que también están incluidos en la partición de configuración de un bosque de Active Directory. En este artículo se describe esta última funcionalidad. Para obtener más información sobre PKIView, consulte la documentación de Herramientas del kit de recursos de Microsoft Windows Server 2003.

Nota:

Puedes usar PKIView para administrar ca de Windows 2000 y CA de Windows Server 2003. Para instalar las herramientas del kit de recursos de Windows Server 2003, el equipo debe ejecutar Windows XP o versiones posteriores.

Para importar un certificado de ENTIDAD de certificación en el almacén NTAuth empresarial, siga estos pasos:

  1. Exporte el certificado de la entidad de certificación a un archivo .cer. Se admiten los siguientes formatos de archivo:

    • Binario codificado de DER X.509 (.cer)
    • X.509 codificado en base 64 (.cer)

  2. Instale las herramientas del kit de recursos de Windows Server 2003. El paquete de herramientas requiere Windows XP o posterior.

  3. Inicie Microsoft Management Console (Mmc.exe) y agregue el complemento PKI Health:

    1. En el menú Consola, seleccione Agregar o quitar complemento.
    2. Seleccione la pestaña Independiente y, a continuación, seleccione el botón Agregar .
    3. En la lista de complementos, seleccione PKI empresarial.
    4. Seleccione Agregar y, después, Cerrar.
    5. Seleccione Aceptar.

  4. Haga clic con el botón derecho en PKI empresarial y, a continuación, seleccione Administrar contenedores de AD.

  5. Seleccione la pestaña NTAuthCertificates y, a continuación, seleccione Agregar.

  6. En el menú Archivo, seleccione Abrir.

  7. Busque y, a continuación, seleccione el certificado de ca y, a continuación, seleccione Aceptar para completar la importación.

Método 2: importación de un certificado mediante Certutil.exe

Certutil.exe es una utilidad de línea de comandos para administrar una CA de Windows. En Windows Server 2003, puede usar Certutil.exe para publicar certificados en Active Directory. Certutil.exe se instala con Windows Server 2003. También está disponible como parte del paquete de herramientas de administración de Microsoft Windows Server 2003.

Para importar un certificado de ENTIDAD de certificación en el almacén NTAuth empresarial, siga estos pasos:

  1. Exporte el certificado de la entidad de certificación a un archivo .cer. Se admiten los siguientes formatos de archivo:

    • Binario codificado de DER X.509 (.cer)
    • X.509 codificado en base 64 (.cer)

  2. En un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

    certutil -dspublish -f filename NTAuthCA

El contenido del almacén NTAuth se almacena en caché en la siguiente ubicación del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Esta clave del Registro se debe actualizar automáticamente para reflejar los certificados que se publican en el almacén NTAuth en el contenedor de configuración de Active Directory. Este comportamiento se produce cuando se actualiza directiva de grupo configuración y cuando se ejecuta la extensión del lado cliente responsable de la inscripción automática. En determinados escenarios, como la latencia de replicación de Active Directory o cuando la configuración de directiva No inscribir certificados automáticamente está habilitada, el registro no se actualiza. En estos escenarios, ejecute manualmente el siguiente comando para insertar el certificado en la ubicación del Registro:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer