如何將第三方證書頒發機構單位 (CA) 憑證匯入企業 NTAuth 存放區

  • 發行項

有兩種方法可用來將第三方 CA 的憑證匯入企業 NTAuth 存放區。 如果您使用第三方 CA 來發出智慧卡登入或域控制器憑證,則需要此程式。 系統管理員將 CA 憑證發佈至 Enterprise NTAuth 存放區,表示 CA 受信任,可發行這些類型的憑證。 Windows CA 會自動將其 CA 憑證發佈至此存放區。

適用於:Windows Server 2016、Windows Server 2012 R2
原始 KB 編號: 295663

其他相關資訊

NTAuth 存放區是 Active Directory 目錄服務對象,位於樹系的組態容器中。 輕量型目錄存取通訊協定 (LDAP) 辨別名稱類似下列範例:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

發行至 NTAuth 存放區的憑證會寫入 cACertificate 多重值屬性。 有兩個支援的方法可將憑證附加至此屬性。

方法 1 - 使用 PKI 健全狀況工具匯入憑證

PKI Health Tool (PKIView) 是 MMC 嵌入式管理單元元件。 它會顯示組成 PKI 之一或多個 Microsoft Windows CA 的狀態。 它是 Windows Server 2003 Resource Kit Tools 的一部分。

PKIView 會收集來自企業中每個 CA (CRL) CA 憑證和證書吊銷清單的相關信息。 然後它會驗證憑證和 CRL,以確保它們正常運作。 如果它們無法正常運作,或即將失敗,PKIView 會提供詳細的警告或一些錯誤資訊。

PKIView 會顯示安裝在 Active Directory 樹系中的 Windows Server 2003 CA 狀態。 您可以使用 PKIView 來探索所有 PKI 元件,包括與企業 CA 相關聯的次級和根 CA。 此工具也可以管理重要的 PKI 容器,例如根 CA 信任和 NTAuth 存放區,這些容器也包含在 Active Directory 樹系的組態分割區中。 本文討論後者的功能。 如需 PKIView 的詳細資訊,請參閱 Microsoft Windows Server 2003 Resource Kit Tools 檔。

注意事項

您可以使用 PKIView 來管理 Windows 2000 CA 和 Windows Server 2003 CA。 若要安裝 Windows Server 2003 Resource Kit Tools,您的電腦必須執行 Windows XP 或更新版本。

若要將 CA 憑證匯入 Enterprise NTAuth 存放區,請遵循下列步驟:

  1. 將 CA 的憑證導出至.cer檔案。 支援下列檔案格式:

    • DER 編碼的二進位 X.509 (.cer)
    • Base-64 編碼的 X.509 (.cer)

  2. 安裝 Windows Server 2003 Resource Kit Tools。 工具套件需要 Windows XP 或更新版本。

  3. 啟動 Microsoft Management Console (Mmc.exe) ,然後新增 PKI 健全狀況嵌入式管理單元:

    1. 在 [控制台] 功能表上,選取 [新增/移除嵌入式管理單元]
    2. 選取 [獨立] 索引 標籤,然後選取 [ 新增] 按鈕。
    3. 在嵌入式管理單元清單中,選取 [企業 PKI]
    4. 選取 [新增],然後選取 [ 關閉]
    5. 選取 [確定]

  4. 以滑鼠右鍵按兩下 [企業 PKI],然後選取 [ 管理 AD 容器]

  5. 選取 [NTAuthCertificates ] 索引卷標,然後選取 [ 新增]

  6. 在 [檔案] 功能表上,選取 [開啟]

  7. 找出並選取 CA 憑證,然後選取 [ 確定 ] 以完成匯入。

方法 2 - 使用 Certutil.exe 匯入憑證

Certutil.exe 是用來管理 Windows CA 的命令行公用程式。 在 Windows Server 2003 中,您可以使用 Certutil.exe 將憑證發佈至 Active Directory。 Certutil.exe 隨 Windows Server 2003 一起安裝。 它也可作為 Microsoft Windows Server 2003 管理工具套件的一部分。

若要將 CA 憑證匯入 Enterprise NTAuth 存放區,請遵循下列步驟:

  1. 將 CA 的憑證導出至.cer檔案。 支援下列檔案格式:

    • DER 編碼的二進位 X.509 (.cer)
    • Base-64 編碼的 X.509 (.cer)

  2. 在命令提示中輸入下列命令,然後按 ENTER:

    certutil -dspublish -f filename NTAuthCA

NTAuth 存放區的內容會快取在下列登錄位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

此登錄機碼應該會自動更新,以反映發佈至 Active Directory 組態容器中 NTAuth 存放區的憑證。 當更新 群組原則 設定,以及當負責自動註冊的用戶端擴充功能執行時,就會發生此行為。 在某些情況下,例如 Active Directory 複寫延遲,或啟用 [不註冊憑證自動] 原則設定時,不會更新登錄。 在這種情況下,請手動執行下列命令,將憑證插入登錄位置:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer