Certificeringsinstantiecertificaten (CA)-certificaten importeren in het Enterprise NTAuth-archief
Er zijn twee methoden die u kunt gebruiken om de certificaten van ca's van derden te importeren in het Enterprise NTAuth-archief. Dit proces is vereist als u een externe CA gebruikt om smartcard- of domeincontrollercertificaten uit te geven. Door het CA-certificaat te publiceren in het Enterprise NTAuth-archief, geeft de beheerder aan dat de CA wordt vertrouwd met het verlenen van certificaten van dit type. Windows-CA's publiceren hun CA-certificaten automatisch naar dit archief.
Van toepassing op: Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 295663
Meer informatie
Het NTAuth-archief is een Active Directory-adreslijstserviceobject dat zich in de configuratiecontainer van het forest bevindt. De LDAP-naam (Lightweight Directory Access Protocol) is vergelijkbaar met het volgende voorbeeld:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Certificaten die zijn gepubliceerd naar het NTAuth-archief, worden geschreven naar het kenmerk cACertificate met meerdere waarden. Er zijn twee ondersteunde methoden om een certificaat toe te voegen aan dit kenmerk.
Methode 1: een certificaat importeren met behulp van het PKI Health Tool
PKI Health Tool (PKIView) is een ONDERDEEL van de MMC-module. Hiermee wordt de status weergegeven van een of meer Microsoft Windows-CA's die deel uitmaken van een PKI. Het is beschikbaar als onderdeel van de Windows Server 2003 Resource Kit Tools.
PKIView verzamelt informatie over de CA-certificaten en certificaatintrekkingslijsten (CRL's) van elke CA in de onderneming. Vervolgens worden de certificaten en CRL's gevalideerd om ervoor te zorgen dat ze correct werken. Als ze niet goed werken of als ze op het punt staan te mislukken, geeft PKIView een gedetailleerde waarschuwing of een aantal foutinformatie.
PKIView geeft de status weer van Windows Server 2003 CA's die zijn geïnstalleerd in een Active Directory-forest. U kunt PKIView gebruiken om alle PKI-onderdelen te detecteren, inclusief onderliggende en hoofd-CA's die zijn gekoppeld aan een ondernemings-CA. Het hulpprogramma kan ook belangrijke PKI-containers beheren, zoals basis-CA-vertrouwensrelatie en NTAuth-winkels, die zich ook in de configuratiepartitie van een Active Directory-forest bevinden. In dit artikel wordt deze laatste functionaliteit besproken. Zie de documentatie voor Microsoft Windows Server 2003 Resource Kit Tools voor meer informatie over PKIView.
Opmerking
U kunt PKIView gebruiken om zowel Windows 2000 CA's als Windows Server 2003-CA's te beheren. Als u windows Server 2003 Resource Kit Tools wilt installeren, moet Windows XP of hoger op uw computer worden uitgevoerd.
Voer de volgende stappen uit om een CA-certificaat te importeren in het Enterprise NTAuth-archief:
Exporteer het certificaat van de CA naar een .cer-bestand. De volgende bestandsindelingen worden ondersteund:
- DER gecodeerd binair X.509 (.cer)
- Met Base-64 gecodeerde X.509 (.cer)
Installeer de Windows Server 2003 Resource Kit Tools. Voor het pakket hulpprogramma's is Windows XP of hoger vereist.
Start Microsoft Management Console (Mmc.exe) en voeg vervolgens de PKI-statusmodule toe:
- Selecteer in het menu Console de optie Module toevoegen/verwijderen.
- Selecteer het tabblad Zelfstandig en selecteer vervolgens de knop Toevoegen .
- Selecteer Enterprise PKI in de lijst met modules.
- Selecteer Toevoegen en selecteer vervolgens Sluiten.
- Selecteer OK.
Klik met de rechtermuisknop op Enterprise PKI en selecteer vervolgens AD-containers beheren.
Selecteer het tabblad NTAuthCertificates en selecteer vervolgens Toevoegen.
Selecteer Openen in het menu Bestand.
Zoek en selecteer het CA-certificaat en selecteer vervolgens OK om het importeren te voltooien.
Methode 2: een certificaat importeren met behulp van Certutil.exe
Certutil.exe is een opdrachtregelprogramma voor het beheren van een Windows-CA. In Windows Server 2003 kunt u Certutil.exe gebruiken om certificaten te publiceren naar Active Directory. Certutil.exe is geïnstalleerd met Windows Server 2003. Het is ook beschikbaar als onderdeel van het Microsoft Windows Server 2003 Administration Tools Pack.
Voer de volgende stappen uit om een CA-certificaat te importeren in het Enterprise NTAuth-archief:
Exporteer het certificaat van de CA naar een .cer-bestand. De volgende bestandsindelingen worden ondersteund:
- DER gecodeerd binair X.509 (.cer)
- Met Base-64 gecodeerde X.509 (.cer)
Typ bij een opdrachtprompt de volgende opdracht en druk op Enter:
certutil -dspublish -f filename NTAuthCA
De inhoud van het NTAuth-archief wordt in de cache opgeslagen in de volgende registerlocatie:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Deze registersleutel moet automatisch worden bijgewerkt om de certificaten weer te geven die zijn gepubliceerd naar het NTAuth-archief in de Active Directory-configuratiecontainer. Dit gedrag treedt op wanneer groepsbeleid-instellingen worden bijgewerkt en wanneer de extensie aan de clientzijde die verantwoordelijk is voor automatische inschrijving wordt uitgevoerd. In bepaalde scenario's, zoals Active Directory-replicatielatentie of wanneer de beleidsinstelling Certificaten niet automatisch inschrijven is ingeschakeld, wordt het register niet bijgewerkt. In dergelijke scenario's voert u de volgende opdracht handmatig uit om het certificaat in te voegen in de registerlocatie:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor