Làm thế nào để nhập khẩu giấy chứng nhận authority (CA) cấp giấy chứng nhận của bên thứ ba vào cửa hàng doanh nghiệp NTAuth

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:295663
GIỚI THIỆU
Bài viết này mô tả hai phương pháp dùng để chuyển nhập chứng chỉ của chính quyền cấp giấy chứng nhận của bên thứ ba (CAs) vào cửa hàng doanh nghiệp NTAuth. Quá trình này là bắt buộc nếu bạn đang sử dụng một bên thứ ba CA để phát hành thẻ thông minh đăng nhập hoặc tên miền cấp giấy chứng nhận điều khiển. Bằng cách xuất bản giấy chứng nhận CA để lưu trữ doanh nghiệp NTAuth, các quản trị viên chỉ ra rằng CA là đáng tin cậy cấp giấy chứng nhận của các loại. Windows CAs tự động phát hành chứng chỉ CA của họ đến cửa hàng này.
THÔNG TIN THÊM
Các cửa hàng NTAuth là một đối tượng dịch vụ thư mục Active Directory mà nằm ở sự Cấu hình container của rừng. Lightweight Directory Access Protocol (LDAP) mà phân biệt tên là tương tự như sau:
CN = NTAuthCertificates, CN = dịch vụ chìa khóa công cộng, CN = dịch vụ, CN = Configuration, DC = MyDomain, DC = com
Chứng chỉ được xuất bản để NTAuth cửa hàng được viết để các cACertificate có giá trị nhiều thuộc tính. Có hai phương pháp được hỗ trợ để nối thêm chứng chỉ vào thuộc tính này.

Phương pháp 1: Nhập khẩu giấy chứng nhận bằng cách sử dụng công cụ sức khỏe PKI

PKI sức khỏe công cụ (PKIView) là một MMC snap-in phần hiển thị tình trạng của một hoặc nhiều Microsoft Windows cấp giấy chứng nhận quyền đó bao gồm một hạ tầng khóa công khai (PKI). Nó có sẵn như là một phần của Windows Server 2003 Resource Kit công cụ. Để tải về các công cụ này, ghé thăm Web site sau của Microsoft:PKIView thu thập thông tin về chứng chỉ CA và thu hồi chứng chỉ liệt kê (CRLs) từ mỗi CA trong doanh nghiệp. Sau đó, PKIView xác nhận giấy chứng nhận và CRLs để đảm bảo rằng họ đang làm việc một cách chính xác. Nếu họ không làm việc một cách chính xác, hoặc nếu họ sắp thất bại, PKIView cung cấp một cảnh báo chi tiết hoặc một số thông tin lỗi.

PKIView hiển thị tình trạng của các cơ quan chức chứng nhận Windows Server 2003 được cài đặt trong một rừng Active Directory. Bạn có thể sử dụng PKIView để khám phá tất cả các thành phần PKI, bao gồm cả cấp dưới và gốc CAs có liên quan đến doanh nghiệp CA. Công cụ cũng có thể quản lý quan trọng PKI container, chẳng hạn như sự tin tưởng gốc CA và các cửa hàng NTAuth, mà cũng được bao gồm trong cấu hình phân chia một rừng Active Directory. Bài viết này thảo luận về chức năng sau này. Để biết thêm chi tiết về PKIView, xem tài liệu Microsoft Windows Server 2003 Resource Kit Tools.

Chú ý Bạn có thể sử dụng PKIView để quản lý cả Windows 2000 CAs và Windows Server 2003 CAs. Để cài đặt Windows Server 2003 Resource Kit công cụ, máy tính phải chạy Windows XP hoặc sau này.

Chuyển nhập chứng chỉ CA vào cửa hàng doanh nghiệp NTAuth, hãy làm theo các bước sau:
  1. Xuất chuyển chứng chỉ CA vào một tập tin .cer. Định dạng tập tin sau đây được hỗ trợ:
    • DER mã hóa nhị phân X.509 (.cer)
    • Base-64 mã hóa X.509 (.cer)
  2. Cài đặt Windows Server 2003 Resource Kit công cụ. Các gói phần mềm công cụ yêu Windows XP hoặc sau này.
  3. Bắt đầu Microsoft Management Console (Mmc.exe), và sau đó thêm PKI y tế-theo:
    1. Trên các Giao diện điều khiển trình đơn, nhấp vào Thêm/loại bỏ-theo.
    2. Bấm vào các Độc lập tab, và sau đó bấm các Thêm nút.
    3. Trong danh sách snap-in, nhấp vào Enterprise PKI.
    4. Nhấp vào Thêm, sau đó bấm Đóng.
    5. Nhấp vào Ok.
  4. Nhấp chuột phải Enterprise PKI, sau đó bấm Quản lý quảng cáo container.
  5. Bấm vào các NTAuthCertificates tab, và sau đó nhấp vào Thêm.
  6. Trên các Tệp trình đơn, nhấp vào Mở.
  7. Xác định vị trí và sau đó bấm vào chứng chỉ CA, và sau đó nhấp vào Ok để hoàn thành việc nhập khẩu.

Cách 2: Nhập khẩu giấy chứng nhận bằng cách sử dụng Certutil.exe

Certutil.exe là một tiện ích dòng lệnh để quản lý một CA Windows. Trong Windows Server 2003, bạn có thể sử dụng Certutil.exe phát hành chứng chỉ tới Active Directory. Certutil.exe đã được cài đặt với Windows Server 2003. Cũng có sẵn như là một phần của Microsoft Windows Server 2003 Administration Tools Pack. Để tải về điều này các công cụ gói, ghé thăm Web site sau của Microsoft:Chuyển nhập chứng chỉ CA vào cửa hàng doanh nghiệp NTAuth, hãy làm theo các bước sau:
  1. Xuất chuyển chứng chỉ CA vào một tập tin .cer. Định dạng tập tin sau đây được hỗ trợ:
    • DER mã hóa nhị phân X.509 (.cer)
    • Base-64 mã hóa X.509 (.cer)
  2. Tại dấu nhắc lệnh, gõ lệnh sau, và sau đó nhấn ENTER:
    certutil - dspublish -f tên tập tin NTAuthCA
Nội dung của các cửa hàng NTAuth được lưu trữ tại địa điểm đăng ký sau đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Khóa sổ đăng ký này nên được tự động Cập Nhật để phản ánh các chứng chỉ được xuất bản cho các cửa hàng NTAuth trong thùng chứa cấu hình Active Directory. Hành vi này xuất hiện khi thiết đặt chính sách nhóm được Cập Nhật và khi thực hiện một phần mở rộng phía khách hàng chịu trách nhiệm cho autoenrollment.Trong các tình huống nhất định, chẳng hạn như độ trễ nhân rộng thư mục hoạt động hoặc khi các Không đăng ký chứng chỉ tự động thiết lập chính sách được kích hoạt, cơ quan đăng ký không được Cập Nhật. Trong tình huống như vậy, bạn có thể chạy lệnh bằng tay để chèn giấy chứng nhận vào vị trí registry:
certutil-doanh nghiệp - addstore NTAuth CA_CertFilename.cer
dịch vụ chứng nhận bảo mật

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 295663 - Xem lại Lần cuối: 08/25/2011 13:29:00 - Bản sửa đổi: 3.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbenv kbhowtomaster kbmt KB295663 KbMtvi
Phản hồi