如何将第三方证书颁发机构 (CA) 的证书导入 Enterprise NTAuth 存储

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

概要
本文介绍两种将第三方证书颁发机构 (CA) 的证书导入 Enterprise NTAuth 存储的方法。如果您使用第三方 CA 颁发智能卡登录或域控制器证书,则此过程是必须的。管理员通过将 CA 证书发布到 Enterprise NTAuth 存储,表明信任 CA 颁发的这些类型的证书。Windows CA 会将其 CA 证书自动发布到此存储。

NTAuth 存储是一个 Active Directory 目录服务对象,位于林的“配置”容器中。轻型目录访问协议 (LDAP) 可分辨名称类似以下形式:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
发布到 NTAuth 存储的证书被写入“cACertificate”多值属性。支持两种将证书附加到此属性的方法。

返回页首

方法 1:使用 PKI Health Tool 导入证书

PKI Health Tool (PKIView) 是一个 MMC 管理单元组件,它显示组成公钥基础结构 (PKI) 的一个或多个 Microsoft Windows 证书颁发机构的状态。它作为 Windows Server 2003 资源工具包工具的一部分提供。要下载这些工具,请访问以下 Microsoft 网站:PKIView 从每个企业的 CA 中收集有关 CA 证书和证书吊销列表 (CRL) 的信息。然后,PKIView 验证证书和 CRL 以确保其正常工作。如果它们不能正常工作或即将失败,则 PKIView 会提供详细警告或一些出错信息。

PKIView 显示安装在 Active Directory 林中的 Windows Server 2003 证书颁发机构的状态。您可以使用 PKIView 发现所有 PKI 组件,包括与企业 CA 相关联的从属 CA 和根 CA。此工具也可以管理重要的 PKI 容器,例如根 CA 信任和 NTAuth 存储(也包含在 Active Directory 林的配置分区中)。本文介绍后一种功能。有关 PKIView 的详细信息,请参阅 Microsoft Windows Server 2003 资源工具包工具文档。

注意:您可以使用 PKIView 管理 Windows 2000 CA 和 Windows Server 2003 CA。要安装 Windows Server 2003 资源工具包工具,您的计算机必须运行 Windows XP 或更高版本。

要将 CA 证书导入 Enterprise NTAuth 存储,请按照以下步骤操作:
  1. 将 CA 的证书导出到 .cer 文件。支持以下文件格式:
    • DER 编码二进制 X.509 (.cer)
    • Base64 编码 X.509 (.cer)
  2. 安装 Windows Server 2003 资源工具包工具。此工具包需要 Windows XP 或更高版本。
  3. 启动 Microsoft 管理控制台 (Mmc.exe),然后添加 PKI Health 管理单元:
    1. 在“控制台”菜单上,单击“添加/删除管理单元”。
    2. 单击“独立”选项卡,然后单击“添加”。
    3. 在管理单元列表中,单击“Enterprise PKI”。
    4. 单击“添加”,然后单击“关闭”。
    5. 单击“确定”。
  4. 右键单击“企业 PKI”,然后单击“管理 AD 容器”。
  5. 单击“NTAuthCertificates”选项卡,然后单击“添加”。
  6. 在“文件”菜单上,单击“打开”。
  7. 找到并单击 CA 证书,然后单击“确定”以完成导入。
返回页首

方法 2:使用 Certutil.exe 导入证书

Certutil.exe 是一个用于管理 Windows CA 的命令行实用程序。在 Windows Server 2003 中,您可以使用 Certutil.exe 将证书发布到 Active Directory。Certutil.exe 与 Windows Server 2003 一起安装。它作为 Microsoft Windows Server 2003 管理工具包的一部分提供。要下载该工具包,请访问以下 Microsoft 网站:要将 CA 证书导入 Enterprise NTAuth 存储,请按照以下步骤操作:
  1. 将 CA 的证书导出到 .cer 文件。支持以下文件格式:
    • DER 编码二进制 X.509 (.cer)
    • Base64 编码 X.509 (.cer)
  2. 在命令提示符下键入下面的命令,然后按 Enter:
    certutil -dspublish -f filename NTAuthCA
security certification services
属性

文章 ID:295663 - 上次审阅时间:09/06/2006 12:45:00 - 修订版本: 2.1

Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbhowtomaster kbenv KB295663
反馈