Hỗ trợ thẩm quyền cấp giấy chứng nhận của bên thứ ba cho việc mật mã hóa tệp hệ thống

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:273856
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Bài viết này mô tả như thế nào Microsoft Windows 2000 hỗ trợ cơ quan cấp chứng nhận chức (CAs) rằng vấn đề chứng chỉ mật mã hóa tệp hệ thống (EFS) và giấy chứng nhận EFS phục hồi đại lý.

Tổng quan

Bài viết này được chia thành hai phần sau:
 • Một lời giải thích ngắn gọn của EFS và sử dụng của hạ tầng khóa công cộng.
 • Cách thức mà trong đó một CA bên thứ ba được phép cấp giấy chứng nhận để sử dụng bởi EFS cho cả hai tập tin mã hóa và phục hồi.
THÔNG TIN THÊM

EFS tổng quan và hạ tầng khóa công cộng

EFS là giải pháp trong Windows 2000 cho việc mật mã hóa tệp trên khối lượng hệ thống tệp NTFS. EFS sử dụng các tính năng kiến trúc Crypto và tính năng cơ sở hạ tầng khóa công cộng trong Windows 2000.

Kết nạp chứng chỉ

Trong một hoạt động mật mã, EFS sử dụng chứng chỉ EFS hiện tại của bạn. Nếu một là không có sẵn, EFS tìm kiếm cửa hàng cá nhân của bạn cho một giấy chứng nhận phù hợp. Nếu EFS không thể xác định vị trí một chứng chỉ hiện tại, nó hiện bạn cho một giấy chứng nhận EFS. Một trực tuyến Windows 2000 CA hỗ trợ của EFS mẫu có thể cấp một giấy chứng nhận EFS. Một chứng chỉ tự ký được tạo ra bởi EFS nếu nó không thể đăng ký cho một giấy chứng nhận với một trực tuyến Windows 2000 CA, hoặc nếu bạn không sử dụng trương mục vùng.

Sau khi EFS lựa chọn một chứng chỉ, bạn không thể thay đổi nó thông qua giao diện người dùng hệ thống. Ngoài ra, EFS không tự động chuyển chứng chỉ khi một tốt hơn một trong sẵn (chẳng hạn như khi EFS sử dụng riêng của mình chứng chỉ tự và bạn đăng ký cho một giấy chứng nhận EFS từ một trực tuyến Windows 2000 CA).

Có hai cách để thay đổi giấy chứng nhận sử dụng EFS:
 • Để thiết lập chứng chỉ mới cho EFS, sử dụng các SetUserFileEncryptionKey API, mà là tài liệu do Microsoft phát triển mạng (MSDN). EFS bắt đầu bằng cách sử dụng chứng chỉ mới ngay lập tức.
 • Thay đổi các hash của chứng chỉ này được lưu giữ trong khóa registry sau đây để các Candy lĩnh vực trong chứng chỉ mới:
  HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\EFS\CurrentKeys

  Giá trị: CertificateHash
  Loại: REG_BINARY
  Dữ liệu: Candy của chứng chỉ mới
EFS dự kiến các phím được lưu trữ trong cơ sở (RSABase) của Microsoft Rivest-Shamir-Adelman Crypto dịch vụ nhà cung cấp (CSP) EFS, chứng chỉ. Các Thông tin quan trọng thuộc tính trên chứng chỉ nên điểm đến này CSP. EFS trông các CỦA TÔI Kho chứng chỉ, chứa giấy chứng nhận và phím tư nhân.

Tệp dữ liệu mã hóa và giải mã

EFS sử dụng một cách ngẫu nhiên tạo ra khóa đối xứng để mã hóa dữ liệu tập tin. Khóa mới được tạo ra cho mỗi tập tin được mã hóa. Thuật toán mã hóa dữ liệu được sử dụng là DESX (một phiên bản mạnh mẽ hơn của Data Encryption Standard). Không có các thuật toán khác có thể được cấu hình.

Mã hóa khóa đối xứng sau đó được mã hóa bằng cách sử dụng chìa khóa công cộng có nguồn gốc từ EFS chứng chỉ của bạn. Dữ liệu được mã hóa kết quả, tên hiển thị của bạn và một băm của chứng chỉ được lưu trữ trong một dòng được đặt tên trong tập tin có chứa EFS siêu dữ liệu. Khi EFS decrypts một tập tin, nó sử dụng khóa riêng của bạn để giải mã hóa khóa đối xứng. EFS sau đó sử dụng khóa đối xứng để giải mã dữ liệu.

Để mã hóa một tập tin trên một máy chủ mạng, EFS tải hồ sơ của bạn trên mạng nếu bạn có hồ sơ di động. Nếu bạn không có hồ sơ di động, EFS hy vọng sẽ tìm thấy giấy chứng nhận và phím của bạn trên máy chủ và cố gắng tạo ra một hồ sơ có.

Khi tập tin EFS sao chép qua mạng, nó được giải mã và truyền qua mạng trong văn bản rõ ràng. Để bảo vệ các tập tin của bạn trong khi họ đang di chuyển trên mạng của bạn, sử dụng IP bảo mật.

Đổi mới EFS giấy chứng nhận

Khi hết hạn giấy chứng nhận EFS, EFS thực hiện đổi mới bởi tham gia đăng ký cho một giấy chứng nhận mới với một cặp mới quan trọng. EFS, riêng của mình, không gia hạn giấy chứng nhận hiện tại khi nó hết hạn.

Nếu bạn làm mới EFS giấy chứng nhận và lưu trữ chứng chỉ cũ trước khi nó hết hạn, EFS tiếp tục sử dụng chứng chỉ cũ cho đến khi nó hết hạn. EFS sau đó đi qua quá trình cho kết nạp sẽ tìm thấy một chứng chỉ mới trong các cửa hàng hoặc để có được một hình mới nếu nó không thể tìm thấy một chứng chỉ hợp lệ. Trong khi tìm kiếm một chứng chỉ mới để sử dụng, EFS có thể lấy một giấy chứng nhận là khác nhau từ một trong những bạn mua thông qua đổi mới, nếu có nhiều hơn một EFS chứng chỉ trong các cửa hàng.

Sau khi EFS bắt đầu sử dụng chứng chỉ mới, nếu nó xử lý một tệp trước đó được mã hóa với một chứng chỉ khác nhau, EFS regenerates siêu dữ liệu để sử dụng chứng chỉ mới.

Kiểm tra việc thu hồi

EFS không thực hiện bất kỳ kiểm tra việc thu hồi.

EFS Recovery Agent

Bạn có thể sử dụng EFS phục hồi các đại lý để giải mã tập tin được mã hóa nếu sử dụng mật mã hóa tệp lá công ty của bạn. Bạn có thể ghi danh cho giấy chứng nhận đại lý EFS phục hồi bằng cách sử dụng các EFS Recovery mẫu trên Windows 2000 CAs.

Bạn có thể đặt EFS phục hồi đại lý giấy chứng nhận trong tên miền toàn cầu chính sách cho tất cả người dùng trên tên miền. Bạn cũng có thể thiết lập các giấy chứng nhận cho tất cả người dùng trên máy tính địa phương trong máy tính cục bộ chính sách. Nếu cả hai chính sách đang có hiện nay, chính sách toàn cầu sẽ ưu tiên.

Mở thuật sĩ thêm tác nhân khôi phục, bấm Chính sách Nhóm, bấm Các chính sách chìa khóa công cộng, và sau đó nhấp vào Các đại lý phục hồi dữ liệu đã mật mã hóa. Thuật sĩ này giúp bạn chỉ định đại lý thu hồi giấy chứng nhận. Bạn có thể nhấp vào Duyệt các thư mục, và sau đó bấm Tệp chứng chỉ để trực tiếp chuyển nhập nó như giấy chứng nhận đại lý phục hồi. Chứng chỉ được nhập khẩu với ký hiệu đại lý phục hồi Người dùng không biết. Điều này xảy ra cho bất kỳ giấy chứng nhận CA bên thứ ba mà bạn chỉ định làm một giấy chứng nhận đại lý phục hồi.

Nếu bạn phát hành chứng chỉ trong thư mục cho một người sử dụng (trong đó xảy ra nếu bạn đăng ký với một trực tuyến Windows 2000 CA cho chứng chỉ EFS phục hồi đại lý cho người sử dụng), bạn có thể sử dụng thuật sĩ để trực tiếp chuyển nhập người sử dụng như là một đại lý phục hồi. Duyệt qua các thư mục và chọn người dùng bạn muốn chỉ định làm đại lý phục hồi.

Trong mật mã hoá tập tin, mã hóa khóa đối xứng cũng mật mã hóa khóa công khai của đại lý phục hồi, và các thông tin được lưu trữ trong các dòng tên chứa EFS siêu dữ liệu. Để khôi phục tập tin đã mật mã, EFS sau sử dụng khóa riêng của đại lý phục hồi để giải mã hóa khóa đối xứng, EFS nào đó sử dụng để giải mã dữ liệu.

Quy tắc cho các bên thứ ba CA cho việc tạo và sử dụng hợp lệ EFS và EFS phục hồi đại lý chứng chỉ

EFS giấy chứng nhận

Các quy tắc để tạo thành giấy chứng nhận là:
 • Phần mở rộng việc sử dụng chìa khóa trong chứng chỉ phải chứa Key Encipherment và dữ liệu Encipherment.
 • Phần mở rộng nâng cao sử dụng chìa khóa trong chứng chỉ phải chứa các định danh mật mã hóa tệp hệ thống (1.3.6.1.4.1.311.10.3.4).
 • Trong thời gian sử dụng, bạn phải lưu trữ các phím trong Microsoft RSABase CSP.
 • Các Thông tin quan trọng bất động sản trên giấy chứng nhận phải điểm để phím này.
Có chứa các quyền KeyUsageEnhancedKeyUsage các giá trị, bạn có thể tùy chỉnh chính quyền cấp giấy chứng nhận của bên thứ ba để cấp giấy chứng nhận có chứa các giá trị đúng.

Có hai cách để đăng ký cho các giấy chứng nhận EFS sử dụng bên thứ ba sản phẩm:
 • CA bên thứ ba có thể cung cấp một ghi danh là độc lập của Microsoft Crypto kiến trúc. Trong trường hợp đó, bên thứ ba phải xuất chuyển chứng chỉ, và khóa riêng gắn liền với chứng chỉ, vào một tập tin có thể được nhập khẩu vào hồ sơ của bạn bằng cách sử dụng quản lý chứng chỉ MMC snap-in. Các phím được nhập khẩu vào Microsoft RSABase CSP và các Thông tin quan trọng tài sản được thiết lập để sửa CSP.
 • CA bên thứ ba có thể cung cấp cho một thủ tục ghi danh trên Web có sử dụng điều khiển Microsoft XEnroll cho khách hàng Microsoft để ghi danh cho giấy chứng nhận. Bằng cách sử dụng phương pháp đăng ký, các phím được lưu tự động trong Microsoft RSABase CSP và các Thông tin quan trọng tài sản được thiết lập.
Sau khi bạn đăng ký cho một giấy chứng nhận, hoặc sau khi bạn làm mới một chứng chỉ, bạn phải thông báo cho EFS về sự thay đổi nếu nó đã sử dụng bất kỳ giấy chứng nhận trước đó. Bạn phải thiết lập một cuộc gọi đến SetUserFileEncryptionKey mà chỉ lúc chứng chỉ mới. Nếu chứng chỉ được tạo ra trước khi bất kỳ hoạt động EFS, bạn không cần phải thiết lập một cuộc gọi SetUserFileEncryptionKey. EFS thấy chứng chỉ mới trong kho chứng chỉ cá nhân của bạn và đặt nó như chứng chỉ mặc định.

EFS phục hồi chứng chỉ

Các quy tắc để tạo thành giấy chứng nhận là:
 • Phím cách sử dụng = Key Encipherment
 • EKU = tập tin Recovery(1.3.6.1.4.1.311.10.3.4.1)
Như đã nêu trong phần "EFS giấy chứng nhận", CA bên thứ ba có thể cung cấp cho khách hàng Microsoft với các trang Web đăng ký để đăng ký cho các giấy chứng nhận, hoặc CA bên thứ ba có thể xuất chuyển chứng chỉ và kết hợp tư nhân vào một tập tin có thể được nhập khẩu vào một khách hàng Microsoft.

Sau khi nó được tạo ra, chứng chỉ có thể được chuyển nhập bằng cách sử dụng thuật sĩ đại lý phục hồi.

Trong tập tin phục hồi, cả hai tập tin phục hồi chứng chỉ và tư nhân phải được chuyển nhập vào hệ thống được sử dụng để phục hồi các tập tin theo các nguyên tắc sau đây:
 • Phím phải được lưu trữ trong Microsoft RSABase CSP.
 • Các Thông tin quan trọng bất động sản trên giấy chứng nhận phải điểm để phím này trong RSABase CSP. Tên nhà cung cấp cần là "Nhà cung cấp mật mã cơ sở Microsoft v1.0."
Bạn có thể sử dụng Chuyển nhập chứng chỉ trong giấy chứng nhận MMC snap-in để chuyển nhập chứng chỉ và khóa riêng.QUAN TRỌNG: Các quy tắc được nêu trong bài viết này đã được xác nhận bởi Microsoft bằng cách cấu hình một hàng đầu, cấp chứng nhận cơ quan để sản phẩm cấp EFS và EFS phục hồi đại lý giấy chứng nhận. Các EFS kiểm tra mã hóa đội bóng được thử nghiệm và phục hồi bằng cách sử dụng các giấy chứng nhận.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 273856 - Xem lại Lần cuối: 12/05/2015 21:46:54 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition

 • kbnosurvey kbarchive kbarttypeinf kbefs kbfile kbinfo w2000efs kbmt KB273856 KbMtvi
Phản hồi