Certificaten van certificeringsinstanties van derden importeren in het NTAuth-archief van de onderneming

Samenvatting

In dit artikel worden twee methoden beschreven waarmee u de certificaten van certificeringsinstanties (CA's) van derden kunt importeren in het NTAuth-archief van de onderneming. Dit proces is vereist als u gebruikmaakt van een CA van derden om een certificaat voor smartcardaanmelding of domeincontrollers uit te geven. Door het CA-certificaat te publiceren naar het NTAuth-archief van de onderneming, geeft de beheerder aan dat de CA wordt vertrouwd bij het uitgeven van dergelijke certificaten. De CA-certificaten van Windows-CA's worden automatisch naar dit archief gepubliceerd.

Het NTAuth-archief is een Active Directory-object dat zich bevindt in de container Configuration van het forest. De DN (Distinguished Name) van het LDAP (Lightweight Directory Access Protocol) heeft de volgende syntaxis:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Certificaten die worden gepubliceerd naar het NTAuth-archief, worden geschreven naar het kenmerk met meerdere waarden cACertificate. U kunt een certificaat op twee manieren toevoegen aan dit kenmerk.

Methode 1: Een certificaat importeren met het hulpprogramma PKI Health

Het hulpprogramma PKI Health (PKIView) is een MMC-module die de status weergeeft van een of meer Microsoft Windows-CA's die samen een PKI (Public Key Infrastructure) vormen. Het hulpprogramma maakt deel uit van de Windows Server 2003 Resource Kit Tools. Als u deze wilt downloaden, gaat u naar de volgende Microsoft-website: PKIView verzamelt gegevens over de CA-certificaten en lijsten met ingetrokken certificaten (CRL's) van alle CA's in de onderneming. Deze certificaten en CRL's worden daarna gevalideerd om te controleren of ze naar behoren functioneren. Als dat niet het geval is, of als ze op het punt staan om uit te vallen, genereert PKIView een gedetailleerde waarschuwing of andere informatie over de fout.

PKIView geeft de status weer van Windows Server 2003-CA's die zijn geïnstalleerd in een Active Directory-forest. Met PKIView kunt u alle onderdelen van de PKI achterhalen, waaronder onderliggende en basis-CA's die zijn gekoppeld aan een ondernemings-CA. U kunt met dit hulpprogramma ook belangrijke containers van de PKI beheren, zoals vertrouwde basis-CA's en NTAuth-archieven, die zich ook bevinden in de configuratiepartitie van een Active Directory-forest. In dit artikel wordt deze tweede functionaliteit beschreven. Raadpleeg de documentatie bij de Microsoft Windows Server 2003 Resource Kit Tools voor meer informatie over het hulpprogramma PKIView.

Opmerking U kunt PKIView gebruiken voor het beheer van zowel Windows 2000-CA' s als Windows Server 2003-CA' s. U kunt de Windows Server 2003 Resource Kit Tools alleen installeren als Windows XP of later wordt uitgevoerd op de computer.

Ga als volgt te werk om een CA-certificaat te importeren in het NTAuth-archief van de onderneming:
 1. Exporteer het certificaat van de CA naar een CER-bestand. Hierbij worden de volgende bestandsindelingen ondersteund:
  • DER Encoded Binary X.509 (.CER)
  • Base-64 encoded X.509 (.CER)
 2. Installeer de Windows Server 2003 Resource Kit Tools. Hiervoor hebt u Windows XP of later nodig.
 3. Start Microsoft Management Console (Mmc.exe) en voeg de module PKI Health toe:
  1. Klik in het menu Bestand op Module toevoegen/verwijderen.
  2. Open het tabblad Zelfstandige module en klik op de knop Toevoegen.
  3. Klik in de lijst met modules op Enterprise PKI.
  4. Klik op Toevoegen en klik op Sluiten.
  5. Klik op OK.
 4. Klik met de rechtermuisknop op Enterprise PKI en klik op Manage AD Containers.
 5. Open het tabblad NTAuthCertificates en klik op Toevoegen.
 6. Kies Openen in het menu Bestand.
 7. Zoek het CA-certificaat, klik erop en klik op OK om het certificaat te importeren.

Methode 2: Een certificaat importeren met het hulpprogramma Certutil.exe

Certutil.exe is een opdrachtregelprogramma waarmee u een Windows-CA kunt beheren. In Windows Server 2003 kunt u Certutil.exe gebruiken om certificaten te publiceren naar Active Directory. Certutil.exe wordt geïnstalleerd bij Windows Server 2003. Het is ook beschikbaar als onderdeel van het pakket met beheerprogramma's voor Microsoft Windows Server 2003. Ga naar de volgende Microsoft-website om dit pakket te downloaden: Ga als volgt te werk om een CA-certificaat te importeren in het NTAuth-archief van de onderneming:
 1. Exporteer het certificaat van de CA naar een CER-bestand. Hierbij worden de volgende bestandsindelingen ondersteund:
  • DER Encoded Binary X.509 (.CER)
  • Base-64 encoded X.509 (.CER)
 2. Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
  certutil -dspublish -f bestandsnaam NTAuthCA
Eigenschappen

Artikel-id: 295663 - Laatst bijgewerkt: 17 jul. 2008 - Revisie: 1

Feedback