Importieren von Zertifizierungsstellenzertifikaten von Drittanbietern in den NTAuth-Speicher für Unternehmen

Es gibt zwei Methoden, mit denen Sie die Zertifikate von Drittanbieter-Zertifizierungsstellen in den Enterprise NTAuth-Speicher importieren können. Dieser Vorgang ist erforderlich, wenn Sie eine Drittanbieterzertifizierungsstelle verwenden, um Smartcardanmeldungen oder Domänencontrollerzertifikate auszustellen. Durch die Veröffentlichung des Zertifizierungsstellenzertifikats im NTAuth-Speicher für Unternehmen gibt der Administrator an, dass die Zertifizierungsstelle vertrauenswürdig ist, um Zertifikate dieser Typen auszustellen. Windows-Zertifizierungsstellen veröffentlichen ihre Zertifizierungsstellenzertifikate automatisch in diesem Speicher.

Ursprüngliche KB-Nummer: 295663

Weitere Informationen

Der NTAuth-Speicher ist ein Active Directory-Verzeichnisdienstobjekt, das sich im Konfigurationscontainer der Gesamtstruktur befindet. Der distinguished Name des Lightweight Directory Access Protocol (LDAP) ähnelt dem folgenden Beispiel:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

Zertifikate, die im NTAuth-Speicher veröffentlicht werden, werden in das attribut "cACertificate multiple-valued" geschrieben. Es gibt zwei unterstützte Methoden zum Anfügen eines Zertifikats an dieses Attribut.

Methode 1 : Importieren eines Zertifikats mithilfe des PKI-Integritätstools

Das PKI-Integritätstool (PKIView) ist eine MMC-Snap-In-Komponente. Er zeigt den Status einer oder mehrerer Microsoft Windows-CAs an, die eine PKI umfassen. Es ist als Teil der Windows Server 2003 Resource Kit Tools verfügbar.

PKIView sammelt Informationen zu den Zertifizierungsstellenzertifikaten und Zertifikatsperrlisten (CRLs) von jeder Zertifizierungsstelle im Unternehmen. Anschließend werden die Zertifikate und CRLs überprüft, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn sie nicht ordnungsgemäß funktionieren, oder sie sind dabei, fehlzuschlagen, bietet PKIView eine detaillierte Warnung oder einige Fehlerinformationen.

PKIView zeigt den Status von Windows Server 2003-CAs an, die in einer Active Directory-Gesamtstruktur installiert sind. Sie können PKIView verwenden, um alle PKI-Komponenten zu ermitteln, einschließlich untergeordneter und Stamm-CAs, die einer Unternehmenszertifizierungsstelle zugeordnet sind. Das Tool kann auch wichtige PKI-Container verwalten, z. B. Stammzertifizierungsstellenvertrauens- und NTAuth-Speicher, die auch in der Konfigurationspartition einer Active Directory-Gesamtstruktur enthalten sind. In diesem Artikel werden diese letzteren Funktionen erläutert. Weitere Informationen zu PKIView finden Sie in der Dokumentation zum Microsoft Windows Server 2003 Resource Kit Tools.

Notiz

Sie können PKIView zum Verwalten von Windows 2000-CAs und Windows Server 2003-CAs verwenden. Um die Windows Server 2003 Resource Kit Tools zu installieren, muss Auf Ihrem Computer Windows XP oder höher ausgeführt werden.

Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den NtAuth-Speicher des Unternehmens zu importieren:

1. Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine .cer Datei. Die folgenden Dateiformate werden unterstützt:

   • DER-codierte binär X.509 (.cer)
   • Base64-codierte X.509 (.cer)

2. Installieren Sie die Windows Server 2003 Resource Kit-Tools. Für das Toolspaket ist Windows XP oder höher erforderlich.

3. Starten Sie die Microsoft Management Console (Mmc.exe), und fügen Sie dann das PKI Health-Snap-In hinzu:

   1. Wählen Sie im Menü "Konsole" die Option "Snap-In hinzufügen/entfernen" aus.
   2. Wählen Sie die Registerkarte "Eigenständig" und dann die Schaltfläche "Hinzufügen " aus.
   3. Wählen Sie in der Liste der Snap-Ins enterprise PKI aus.
   4. Wählen Sie Hinzufügen und anschließend Schließen aus.
   5. Wählen Sie OK aus.

4. Klicken Sie mit der rechten Maustaste auf Enterprise PKI, und wählen Sie dann "AD-Container verwalten" aus.

5. Wählen Sie die Registerkarte "NTAuthCertificates" und dann "Hinzufügen" aus.

6. Wählen Sie im Menü Datei die Option Öffnen aus.

7. Suchen Sie das Zertifizierungsstellenzertifikat, und wählen Sie dann "OK " aus, um den Import abzuschließen.

Methode 2 : Importieren eines Zertifikats mithilfe von Certutil.exe

Certutil.exe ist ein Befehlszeilenprogramm zum Verwalten einer Windows-Zertifizierungsstelle. In Windows Server 2003 können Sie Certutil.exe verwenden, um Zertifikate in Active Directory zu veröffentlichen. Certutil.exe ist mit Windows Server 2003 installiert. Sie ist auch im Rahmen des Microsoft Windows Server 2003 Administration Tools Packs verfügbar.

Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den NtAuth-Speicher des Unternehmens zu importieren:

1. Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine .cer Datei. Die folgenden Dateiformate werden unterstützt:

   • DER-codierte binär X.509 (.cer)
   • Base64-codierte X.509 (.cer)

2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

   certutil -dspublish -f filename NTAuthCA
   

Der Inhalt des NTAuth-Speichers wird am folgenden Registrierungsspeicherort zwischengespeichert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Dieser Registrierungsschlüssel sollte automatisch aktualisiert werden, um die Zertifikate widerzuspiegeln, die im NTAuth-Speicher im Active Directory-Konfigurationscontainer veröffentlicht werden. Dieses Verhalten tritt auf, wenn Gruppenrichtlinieneinstellungen aktualisiert werden und wenn die clientseitige Erweiterung, die für die automatische Registrierung verantwortlich ist, ausgeführt wird. In bestimmten Szenarien, z. B. active Directory-Replikationslatenz oder wenn die Richtlinieneinstellung "Zertifikate nicht automatisch registrieren" aktiviert ist, wird die Registrierung nicht aktualisiert. Führen Sie in solchen Szenarien den folgenden Befehl manuell aus, um das Zertifikat an den Registrierungsspeicherort einzufügen:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer