Come importare certificati dell'autorità di certificazione (CA) di terze parti nell'archivio NTAuth dell'organizzazione

Esistono due metodi che è possibile usare per importare i certificati di CA di terze parti nell'archivio NTAuth dell'organizzazione. Questo processo è necessario se si usa una CA di terze parti per rilasciare certificati di accesso alle smart card o controller di dominio. Pubblicando il certificato CA nell'archivio NTAuth dell'organizzazione, l'amministratore indica che la CA è attendibile per rilasciare certificati di questi tipi. Le autorità di certificazione Windows pubblicano automaticamente i certificati CA in questo archivio.

Si applica a: Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 295663

Ulteriori informazioni

L'archivio NTAuth è un oggetto servizio directory Active Directory che si trova nel contenitore Configuration della foresta. Il nome distinto LDAP (Lightweight Directory Access Protocol) è simile all'esempio seguente:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

I certificati pubblicati nell'archivio NTAuth vengono scritti nell'attributo multivalore cACertificate. Sono disponibili due metodi supportati per accodare un certificato a questo attributo.

Metodo 1- Importare un certificato usando lo strumento di integrità PKI

PKI Health Tool (PKIView) è un componente snap-in MMC. Visualizza lo stato di una o più CA di Microsoft Windows che costituiscono un'infrastruttura a chiave pubblica. È disponibile come parte degli strumenti di Resource Kit di Windows Server 2003.

PKIView raccoglie informazioni sui certificati ca e sugli elenchi di revoche di certificati (CRL) da ogni CA nell'organizzazione. Convalida quindi i certificati e i CRL per assicurarsi che funzionino correttamente. Se non funzionano correttamente o stanno per avere esito negativo, PKIView fornisce un avviso dettagliato o alcune informazioni sull'errore.

PKIView visualizza lo stato delle ca di Windows Server 2003 installate in una foresta di Active Directory. È possibile usare PKIView per individuare tutti i componenti PKI, incluse le CA subordinate e radice associate a una CA aziendale. Lo strumento può anche gestire contenitori PKI importanti, ad esempio l'attendibilità ca radice e gli archivi NTAuth, contenuti anche nella partizione di configurazione di una foresta di Active Directory. Questo articolo illustra quest'ultima funzionalità. Per altre informazioni su PKIView, vedere la documentazione degli strumenti di Microsoft Windows Server 2003 Resource Kit.

Nota

È possibile usare PKIView per gestire sia le CA di Windows 2000 che le CA di Windows Server 2003. Per installare gli strumenti di Windows Server 2003 Resource Kit, il computer deve eseguire Windows XP o versione successiva.

Per importare un certificato CA nell'archivio NTAuth dell'organizzazione, seguire questa procedura:

  1. Esportare il certificato della CA in un file .cer. Sono supportati i formati di file seguenti:

    • Binario con codifica DER X.509 (.cer)
    • Codificato in base 64 X.509 (.cer)
  2. Installare gli strumenti di Windows Server 2003 Resource Kit. Il pacchetto di strumenti richiede Windows XP o versioni successive.

  3. Avviare Microsoft Management Console (Mmc.exe) e quindi aggiungere lo snap-in Integrità PKI:

    1. Nel menu Console selezionare Aggiungi/Rimuovi snap-in.
    2. Selezionare la scheda Standalone e quindi selezionare il pulsante Aggiungi .
    3. Nell'elenco degli snap-in selezionare Enterprise PKI.In the list of snap-ins, select Enterprise PKI.
    4. Selezionare Aggiungi e quindi Chiudi.
    5. Selezionare OK.
  4. Fare clic con il pulsante destro del mouse su Enterprise PKI e quindi scegliere Gestisci contenitori DI Active Directory.

  5. Selezionare la scheda NTAuthCertificates e quindi selezionare Aggiungi.

  6. Nel menu File, fare clic su Apri.

  7. Individuare e quindi selezionare il certificato ca e quindi selezionare OK per completare l'importazione.

Metodo 2: importare un certificato usando Certutil.exe

Certutil.exe è un'utilità da riga di comando per la gestione di una CA di Windows. In Windows Server 2003 è possibile usare Certutil.exe per pubblicare i certificati in Active Directory. Certutil.exe viene installato con Windows Server 2003. È disponibile anche come parte di Microsoft Windows Server 2003 Administration Tools Pack.

Per importare un certificato CA nell'archivio NTAuth dell'organizzazione, seguire questa procedura:

  1. Esportare il certificato della CA in un file .cer. Sono supportati i formati di file seguenti:

    • Binario con codifica DER X.509 (.cer)
    • Codificato in base 64 X.509 (.cer)
  2. Al prompt dei comandi digitare il comando seguente e premere INVIO:

    certutil -dspublish -f filename NTAuthCA
    

Il contenuto dell'archivio NTAuth viene memorizzato nella cache nel percorso del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Questa chiave del Registro di sistema deve essere aggiornata automaticamente in modo da riflettere i certificati pubblicati nell'archivio NTAuth nel contenitore di configurazione di Active Directory. Questo comportamento si verifica quando vengono aggiornate Criteri di gruppo impostazioni e quando viene eseguita l'estensione sul lato client responsabile della registrazione automatica. In alcuni scenari, ad esempio la latenza di replica di Active Directory o quando l'impostazione dei criteri Non registrare automaticamente i certificati è abilitata, il Registro di sistema non viene aggiornato. In questi scenari eseguire manualmente il comando seguente per inserire il certificato nel percorso del Registro di sistema:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer