現在オフラインです。再接続するためにインターネットの接続を待っています

Windows Server 2003 Service Pack 1 または Windows Server 2003 準拠イシス-MTT バージョン 1. 1 の x x64 ベース バージョンを実行しているスタンドアロン証明機関を行う方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:888180
概要
スタンドアロン証明機関 (CA)、イシス MTT バージョン 1. 1 準拠標準、この資料に記載されている手順したい場合は、。 発行 CA UTF-8 エンコードでを強制する必要があります。 証明書の要求が送信すると、後に、キー使用法属性する必要があります、証明書の送信中として「緊急」マークされます。 発行後および証明書を確認できます。
概要
イシス MTT は、公開キー基盤 (PKI) の相互運用性標準の新しい、ドイツ語です。 イシス MTT は、データ形式および通信プロトコル相互運用性の高い PKI ベースのアプリケーションで採用されていることを定義します。 認証のセキュリティ サービスに重点を標準。 これらのサービスとしてユーザーの識別とデータの整合性、機密性、および否認不能があります。 標準的な銀行、工業、アカデミック興味と共にドイツ語、政府が開発されました。

イシス-MTT バージョン 1. 1 に準拠して、Windows 証明機関 (CA) を使用するには、特定の構成手順を完了する必要があります。 手順説明、スタンドアロンの CA のイシス MTT 要件に準拠した証明書登録方法します。

メモ CA は、Microsoft Windows Server 2003 Service Pack 1 (SP1)、x64 ベース バージョン、Windows Server 2003 のまたはより新しいバージョンの Windows を実行するサーバーとして使用する必要があります。

重要です この資料に記載されている構成の変更は、CA 証明書の登録に適用 必要があります。 PKI トポロジでは、これは、証明書の要求者の親 CA です。 下位の CA から CA 証明書が要求された場合、証明書を要求する CA の種類は関連ありません。

次の条件に該当する場合この資料のステップ バイ ステップの手順を使用します。
  • 発行元 CA は下位の CA またはエンド エンティティ イシス-MTT 準拠の証明書を発行します。
  • 次のロールのいずれかを発行 CA になります。
    • スタンドアロンのルート CA
    • スタンドアロンの下位 CA
発行元 CA を正しく構成するには、次の方法を使用します。
  • 発行 CA を UTF8 エンコーディングを強制的に構成します。
  • 証明書の送信処理中に重要なものとして、キー使用法属性をマークします。
  • CA 証明書、[キー使用法セクションのデジタル署名のエントリは省略します。
back to the top

UTF8 エンコーディングを適用します。

UTF8 エンコーディングを強制的に CA を構成した後、UTF8 の設定がこの CA で発行されるすべての証明書に適用されます。 イシス-MTT 準拠の証明書を発行する必要があります、CA、次の手順に従います。
  1. 開始 実行 cmd ] を入力 [ OK] をクリックします。
  2. 次は、入力して Enter キーを押します。
    certutil - setreg ca\forceteletex + 0x20
    CA は常に UTF8、件名をエンコードするよう設定フラグします。
  3. 中止し、CA サービスを再起動するには、コマンド プロンプトで、次を入力します。 各コマンドの後 Enter キーを押します。
    net stop「証明書サービス」
    net start「証明書サービス」
この変更を取り消す場合は、次の手順を実行します。
  1. 次のコマンド プロンプトを入力しして押します。
    certutil - setreg ca\forceteletex - 0x20
  2. 停止し、CA サービスを再起動するには、次のコマンドに入力します。 各コマンドの後 Enter キーを押します。
    net stop「証明書サービス」
    net start「証明書サービス」
メモ Windows Server 2003 SP1 より前のバージョンの Windows のバージョン"0x20"ビットを解釈できないし、はこのは無視されます。

back to the top

証明書の要求を送信します。

スタンドアロン CA は証明書テンプレートをサポートしない、ためには証明書要求の処理中に、キーのプロパティを設定する必要があります。 これを行うには、次の手順を実行します。
  1. 発行 CA 上 開始 ] をクリックして、 管理ツール ] をポイントして 証明機関 をクリックします。
  2. 証明書を右クリックし、 プロパティ を実行します。
  3. [ ポリシー モジュール ] タブをクリックし、 プロパティ を実行します。
  4. 設定を保留に証明書の要求の状態をクリックします。 管理者明示的に証明書を発行する必要があります 、[ OK] をクリック します。
  5. または、エンド エンティティ、下位の CA で使用する証明書要求ファイルを作成します。
  6. 下位 CA またはエンド エンティティには証明書要求をスタンドアロンの CA を送信します。 そのためには、以下のいずれかの方法を実行します。

    方法 1: Web インターフェイスを使用して、CA を送信します。

    Web インターフェイスを使用して、CA を送信する方法については、次のマイクロソフト Web サイトにアクセスしてを参照してください"を Windows からの証明書の要求に Server 2003 CA を使用して A」を参照して PKCS # 10 または PKCS # 7 ファイル"。

    方法 2: Certreq コマンドを使用して、CA を送信します。

    1. コマンド プロンプトで入力 で certreq - 送信 Path_To_Request_File\Certificate_Request_Filename、[ OK] をクリック します。
    2. [ 使用する証明機関 (CA) の選択 </a0>] で、発行 CA から証明書要求ファイルをクリックを [OK] をクリックします。
  7. メモ、証明書要求の ID が返されます。
キーの使用法の変更や、[キーの使用法を変更してし、その重要としてマーク] セクション、重要な参照としてマークします。 既定キー使用法のままには、重要なものとして、キー使用法をマークするを参照して、「既定キー使用法を置くが重要としてマーク」のセクション。

メモ イシス MTT 標準、CA の名前が、次の識別名属性を含めることが必要です。
  • countryName (c)
  • organizationName (o)
要求、CA は、CA 用の適切な名前を選択する必要があります。

back to the top

キーの使用法を変更し、その重要としてマーク

既定では、Windows での CA 証明書のキー使用法の設定はイシス-MTT で CA 証明書のキー使用法の設定を異なるです。 イシス-MTT に準拠している CA 証明書は、次のキーの使用率を実行します。
証明書の署名、署名、オフライン CRL CRL 署名
CA 証明書が要求される場合は、このキーの使用法を適用するには、次のコマンド プロンプトを入力しして押します。
エコー 03 02 01 06 >File_Name.txt
このコマンドで使用される 16 進数値の詳細については、「「Interpret キー使用法」。

キーの使用法を設定して重要としてマークする、次のコマンド プロンプト、入力し、Enter キーを押してに保留中 CA 証明書要求: 変更するには
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1 @File_Name.txt

back to the top

既定キー使用法は、重要としてマーク

キーの使用法が変更されていないおよびに設定する必要があります重要な場合にのみは、このメソッドを使用します。

これを行うには、次のよう入力、コマンド プロンプトで Enter キーを押してします。
certutil - setextension Request_ID_Noted_ In_Step_7_Of_The_Submit_The_Certificate_Request_Section 2.5.29.15 1
このコマンドで使用される 16 進数値の詳細については、「「Interpret キー使用法」。

back to the top

発行および証明書を確認

  1. 保留中の要求を発行します。
  2. 証明書が正しく作成されたことを確認をするには、コマンド プロンプトで次のコマンドを入力しして押します。
    certutil-v Path_Of_FileCertificate_File
  3. 出力の共通名は CERT_RDN_UTF8_STRING としてフォーマットされていることを確認するファイルを表示します。
  4. キーの使用法が正しく設定を確認します。
  5. キー使用法のオブジェクト識別子 2.5.29.15、重要なフラグが設定を確認します。
back to the top

キー使用法を解釈します。

キーの使用法はビット文字列として表されます。 最初のバイトは、ビット文字列型のエンコーディングです。 これは静的 03 です。 2 番目のビット値の長さを定義し、02 に設定します。 以下のビットは 01 が固定されているビット文字列の実際の値を表します。 値が、Wincrypt.h で定義されているキー使用法インクルードとおりファイル。
#define CERT_DIGITAL_SIGNATURE_KEY_USAGE 0x80
#define CERT_NON_REPUDIATION_KEY_USAGE 0x40
#define CERT_KEY_ENCIPHERMENT_KEY_USAGE 0x20
#define CERT_DATA_ENCIPHERMENT_KEY_USAGE 0x10
#define CERT_KEY_AGREEMENT_KEY_USAGE 0x08
#define CERT_KEY_CERT_SIGN_KEY_USAGE 0x04
#define CERT_OFFLINE_CRL_SIGN_KEY_USAGE 0x02
#define CERT_CRL_SIGN_KEY_USAGE 0x02
#define CERT_ENCIPHER_ONLY_KEY_USAGE 0x01
たとえば、値 03 02 01 86 セットを論理 OR 演算で次のキー使用法:
CERT_DIGITAL_SIGNATURE_KEY_USAGE |
CERT_KEY_CERT_SIGN_KEY_USAGE |
CERT_OFFLINE_CRL_SIGN_KEY_USAGE |
CERT_CRL_SIGN_KEY_USAGE
16 進数値を 03 は証明書失効リスト (CRL) の署名と証明書の署名のみ場合は、02 01 06。

back to the top
詳細

Windows x64 エディションのテクニカル サポート

ハードウェアの製造元は、技術のサポートおよび Microsoft Windows x64 エディションの支援提供されます。 ハードウェアの製造元は、Windows x64 版が、ハードウェアに付属ためサポートします。 ハードウェアの製造元固有のコンポーネントとインストールした Windows x64 エディション カスタマイズしている可能性があります。 固有のコンポーネントは特定のデバイス ドライバーを含めることがあります。 またはハードウェアのパフォーマンスを最大化のオプション設定があります。 マイクロソフトは、Windows x64 エディションで技術的なヘルプをする場合合理的で支援を提供は。 ただし、する製造元に直接問い合わせて必要があります。 製造元は、製造元のハードウェアにインストールされているソフトウェアをサポートする修飾最適。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトにアクセスしてください:Microsoft Windows Server 2003 x64 エディションの製品情報については、以下のマイクロソフト Web サイトにアクセスしてください:
64 ビット 64 ビットの Winx64 Windowsx64

警告: この記事は自動翻訳されています

プロパティ

文書番号:888180 - 最終更新日: 10/11/2007 02:33:00 - リビジョン: 4.4

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Standard x64 Edition

  • kbhowtomaster kbinfo kbactivedirectory kbcertservices kbwinservds kbmt KB888180 KbMtja
フィードバック