Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come creare un'autorità di certificazione autonoma che esegue Windows Server 2003 con Service Pack 1 o una versione x 64 di Windows Server 2003 compatibile con la versione 1.1 di MTT ISIS

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 888180
Sommario
Se si desidera rendere un'autorità di certificazione autonoma (standalone) (CA) compatibile con la versione 1.1 di ISIS-MTT standard, attenersi alla procedura descritta in questo articolo. La CA di emissione deve imporre la codifica UTF-8. Una volta che viene inviata una richiesta di certificato, l'attributo di utilizzo della chiave deve essere contrassegnato come "critico" durante il processo di invio del certificato. È quindi possibile emettere e verificare il certificato.
INTRODUZIONE
-MTT ISIS è un nuovo tedesco standard per l'interoperabilità dell'infrastruttura a chiave pubblica (PKI). -MTT ISIS definisce i formati di dati e i protocolli di comunicazione per essere utilizzati in applicazioni interoperabili basate su PKI. Lo standard si concentra sui servizi di protezione per l'autenticazione. Tali servizi includono utente identificazione e integrità dei dati, la riservatezza dei dati e non ripudio. Lo standard è stato sviluppato dal governo tedesco con interessi bancari, accademici e industriali.

Per rendere compatibile con la versione 1.1 di MTT ISIS l'autorità di certificazione (CA) di Windows, è necessario completare procedure di configurazione specifiche. In questo articolo viene descritto come registrare certificati che soddisfa i requisiti ISIS-MTT per una CA autonoma.

Nota L'autorità di certificazione deve essere un server di cui è in esecuzione Windows Server 2003 Service Pack 1 (SP1), una versione x 64 di Windows Server 2003 o una versione successiva di Windows.

importante Alla CA che registra il certificato è necessario applicare le modifiche di configurazione sono documentate in questo articolo. In una topologia PKI, questa è la CA padre del richiedente del certificato. Se a una CA subordinata, viene richiesto un certificato della CA, il tipo di CA che richiede il certificato non è pertinente.

Utilizzare le istruzioni dettagliate riportate in questo articolo se le seguenti condizioni sono true:
  • La CA di emissione generato ISIS MTT compatibili con i certificati per CA subordinate o a entità di fine.
  • La CA di emissione accetta uno dei seguenti ruoli:
    • CA principale autonoma
    • CA subordinata autonoma
Per configurare correttamente la CA di emissione, utilizzare i metodi seguenti:
  • Configurare la CA emittente per imporre la codifica UTF8.
  • Contrassegnare l'attributo di utilizzo della chiave come critica durante l'elaborazione dell'invio del certificato.
  • Per i certificati CA, è possibile omettere la voce di firma digitale nella sezione Utilizzo della chiave.
back to the top

Applicare la codifica UTF8

Dopo aver configurato una CA per imporre la codifica UTF8, l'impostazione di UTF8 viene applicata a tutti i certificati rilasciati con questa CA. Livello della CA deve emettere certificati di ISIS MTT compatibili, attenersi alla seguente procedura:
  1. Fare clic su Start , scegliere Esegui , digitare cmd e quindi fare clic su OK .
  2. Digitare quanto segue e premere INVIO:
    certutil - setreg ca\forceteletex + 0 x 20
    Questo comando imposta il flag in modo che l'autorità di certificazione consente di codificare sempre l'oggetto con UTF8.
  3. Per interrompere e riavviare il servizio CA, digitare quanto segue al prompt dei comandi. Premere INVIO dopo ciascun comando.
    net stop "Servizi certificati"
    net start "Servizi certificati"
Per annullare questa modifica, attenersi alla seguente procedura:
  1. Digitare il comando che segue al prompt dei comandi, quindi premere INVIO:
    certutil - setreg ca\forceteletex - 0 x 20
  2. Per interrompere e riavviare il servizio CA, digitare i comandi seguenti. Premere INVIO dopo ciascun comando.
    net stop "Servizi certificati"
    net start "Servizi certificati"
Nota Versioni di Windows precedenti a Windows Server 2003 SP1 non è in grado di interpretare il bit "0 x 20" e verranno ignorato.

back to the top

Inviare la richiesta di certificato

Poiché le CA autonome non supportano i modelli di certificato, è necessario impostare le proprietà chiave durante l'elaborazione della richiesta certificato. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Nella CA di emissione, fare clic su Start , scegliere Strumenti di amministrazione , quindi Autorità di certificazione .
  2. Il certificato fare clic con il pulsante destro del mouse e scegliere Proprietà .
  3. Fare clic sulla scheda Modulo criterio e quindi fare clic su Proprietà .
  4. Fare clic su Imposta lo stato della richiesta certificato su sospeso. L'amministratore deve esplicitamente emettere il certificato e quindi fare clic su OK .
  5. Consente di creare un file di richiesta di certificato da utilizzare con la CA subordinata o con l'entità di fine.
  6. Inviare la richiesta di certificato alla CA autonoma subordinata CA o entità finale. Per effettuare questa operazione, utilizzare uno dei metodi descritti di seguito.

    Metodo 1: Invia l'autorità di certificazione utilizzando un'interfaccia Web

    Per informazioni su come inviare l'autorità di certificazione utilizzando un'interfaccia Web, visitare il seguente sito e quindi vedere "per richiedere un certificato da un Windows Server 2003 CA utilizzando un PKCS # 10 o PKCS # 7 file":

    Metodo 2: Invia la CA utilizzando il comando Certreq

    1. A un prompt dei comandi, digitare certreq - inviare Path_To_Request_File\Certificate_Request_Filename e quindi fare clic su OK .
    2. Nell'elenco Selezionare un'autorità di certificazione (CA) si desidera utilizzare , fare clic sul file richiesta certificato dalla CA emittente e scegliere OK .
  7. Si noti il certificato ID richiesta che viene restituito.
Per modificare l'utilizzo della chiave e per contrassegnarlo come critica, vedere la sezione "Modifica l'utilizzo della chiave e quindi contrassegnarlo come critico". Per lasciare l'utilizzo di chiavi predefinito, ma per contrassegnare l'utilizzo della chiave come critica, vedere la sezione “ lascia l'utilizzo di chiavi predefinito, ma contrassegnata come critica ”.

Nota Lo standard di ISIS-MTT richiede che il nome di una CA contenga i seguenti attributi di nome distinto:
  • countryName (c)
  • organizationName (o)
La CA richiedente è necessario scegliere un nome appropriato per la CA.

back to the top

Modificare l'utilizzo della chiave e quindi contrassegnarla come critica

Per impostazione predefinita, l'impostazione per l'utilizzo dei certificati CA in Windows delle chiavi è diversa da quella impostata per l'utilizzo dei certificati CA in ISIS-MTT delle chiavi. Un certificato della CA è compatibile con ISIS-MTT comporta l'utilizzo della seguente chiave:
firma di certificato di firma CRL non in linea, Firma CRL
Per applicare questo utilizzo della chiave, se è richiesto un certificato della CA, digitare quanto segue al prompt dei comandi e premere INVIO:
echo 03/02/01 06 >txt File_Name
Per una spiegazione dei numeri esadecimali che vengono utilizzati in questo comando, vedere la sezione di “ utilizzo chiave Interpret ”.

Per modificare la richiesta di certificato in sospeso CA per impostare l'utilizzo della chiave e per contrassegnarlo come critica, digitare quanto segue al prompt dei comandi e premere INVIO:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

back to the top

Lasciare l'utilizzo di chiavi predefinito, ma contrassegnata come critica

Utilizzare questo metodo solo se l'utilizzo della chiave non è stato modificato e deve essere impostato su critico.

Per effettuare questa operazione, digitare quanto segue un prompt dei comandi e premere INVIO:
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
Per una spiegazione dei numeri esadecimali che vengono utilizzati in questo comando, vedere la sezione di “ utilizzo chiave Interpret ”.

back to the top

Emettere e verificare il certificato

  1. Inviare la richiesta in sospeso.
  2. Per verificare che il certificato è stato creato correttamente, digitare il seguente comando al prompt dei comandi e premere INVIO:
    certutil - v Path_Of_File / Certificate_File
  3. Visualizzare il file di output per assicurarsi che il nome comune viene formattato come CERT_RDN_UTF8_STRING.
  4. Assicurarsi che l'utilizzo della chiave è impostato correttamente.
  5. Assicurarsi che il flag importanti sia impostato per l'identificatore oggetto di utilizzo della chiave 2.5.29.15.
back to the top

Interpretare l'utilizzo della chiave

L'utilizzo della chiave è rappresentato come una stringa di bit. Il primo byte è la codifica del tipo di stringa di bit. Si tratta di 03 statico. Il secondo bit definisce la lunghezza del valore e viene impostato su 02. Il bit seguenti rappresentano il valore effettivo della stringa di bit in cui è stato risolto 01. L'utilizzo della chiave valori sono definiti in wincrypt.h il file di inclusione come indicato di seguito:
# define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0 x 80
# define CERT_NON_REPUDIATION_KEY_USAGE 0 x 40
# define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0 x 20
# define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0 x 10
# define CERT_KEY_AGREEMENT_KEY_USAGE 0 x 08
# define CERT_KEY_CERT_SIGN_KEY_USAGE 0 x 04
# define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_CRL_SIGN_KEY_USAGE 0 x 02
# define CERT_ENCIPHER_ONLY_KEY_USAGE 0 x 01
Ad esempio, il valore 03/02/01 86 set gli utilizzi della seguenti chiave con un'operazione OR logica:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
Se si desidera la firma elenco di revoche certificati (CRL) e la firma solo certificati, il valore esadecimale sia 03/02/01 06.

back to the top
Informazioni

Supporto tecnico per le versioni x 64 di Windows

Il produttore dell'hardware offre supporto tecnico e assistenza per le versioni x 64 di Microsoft Windows. Il produttore dell'hardware supporta poiché una versione x 64 di Windows è stato inclusa con l'hardware. Il produttore dell'hardware se si potrebbe avere personalizzato l'installazione della versione x 64 di Windows con particolari componenti. Componenti univoci possono includere specifici driver di periferica o impostazioni facoltative per ottimizzare le prestazioni dell'hardware. Microsoft fornirà assistenza impegna a caso di problemi con la versione x 64 di Windows. Tuttavia, potrebbe essere necessario contattare direttamente il produttore. Quanto soggetto più qualificato per supportare il software preinstallato sull'hardware.

Per informazioni su Microsoft Windows XP Professional x 64 Edition, visitare il sito di Web di Microsoft:Per informazioni di prodotto su Microsoft Windows Server 2003 x 64, visitare il sito di Web di Microsoft:
Winx64 Windowsx64 64-bit a 64 bit

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 888180 - Ultima revisione: 10/11/2007 02:32:42 - Revisione: 4.4

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbmt kbwinservds kbactivedirectory kbcertservices kbhowtomaster kbinfo KB888180 KbMtit
Feedback
mp;t=">