Importieren von Zertifizierungsstellenzertifikaten von Drittanbietern in den Enterprise NTAuth-Speicher
Es gibt zwei Methoden, mit denen Sie die Zertifikate von Drittanbieter-CAs in den Enterprise NTAuth-Speicher importieren können. Dieser Vorgang ist erforderlich, wenn Sie eine Zertifizierungsstelle eines Drittanbieters zum Ausstellen von Smartcard-Anmelde- oder Domänencontrollerzertifikaten verwenden. Durch die Veröffentlichung des Zertifizierungsstellenzertifikats im Enterprise NTAuth-Speicher gibt der Administrator an, dass die Zertifizierungsstelle vertrauenswürdig ist, um Zertifikate dieser Typen auszustellen. Windows-Zertifizierungsstellen veröffentlichen ihre Zertifizierungsstellenzertifikate automatisch in diesem Speicher.
Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 295663
Weitere Informationen
Der NTAuth-Speicher ist ein Active Directory-Verzeichnisdienstobjekt, das sich im Konfigurationscontainer der Gesamtstruktur befindet. Der Distinguished Name des Lightweight Directory Access Protocol (LDAP) ähnelt dem folgenden Beispiel:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
Zertifikate, die im NTAuth-Speicher veröffentlicht werden, werden in das mehrfachwertige cACertificate-Attribut geschrieben. Es gibt zwei unterstützte Methoden zum Anfügen eines Zertifikats an dieses Attribut.
Methode 1: Importieren eines Zertifikats mithilfe des PKI-Integritätstools
PKI Health Tool (PKIView) ist eine MMC-Snap-In-Komponente. Es zeigt den Status eines oder mehrerer Microsoft Windows-CAs an, die eine PKI umfassen. Es ist als Teil der Windows Server 2003 Resource Kit-Tools verfügbar.
PKIView sammelt Informationen zu den Zertifizierungsstellenzertifikaten und Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) von jeder Zertifizierungsstelle im Unternehmen. Anschließend werden die Zertifikate und CRLs überprüft, um sicherzustellen, dass sie ordnungsgemäß funktionieren. Wenn sie nicht ordnungsgemäß funktionieren oder ein Fehler auftritt, bietet PKIView eine detaillierte Warnung oder einige Fehlerinformationen.
PKIView zeigt den Status von Windows Server 2003-CAs an, die in einer Active Directory-Gesamtstruktur installiert sind. Sie können PKIView verwenden, um alle PKI-Komponenten zu ermitteln, einschließlich untergeordneter und Stamm-CAs, die einer Unternehmenszertifizierungsstelle zugeordnet sind. Das Tool kann auch wichtige PKI-Container verwalten, z. B. die Vertrauensstellung der Stammzertifizierungsstelle und NTAuth-Speicher, die auch in der Konfigurationspartition einer Active Directory-Gesamtstruktur enthalten sind. In diesem Artikel wird diese letztgenannte Funktionalität erläutert. Weitere Informationen zu PKIView finden Sie in der Dokumentation zu Den Microsoft Windows Server 2003 Resource Kit Tools.
Hinweis
Sie können PKIView verwenden, um sowohl Windows 2000-CAs als auch Windows Server 2003-CAs zu verwalten. Um die Windows Server 2003 Resource Kit-Tools zu installieren, muss auf Ihrem Computer Windows XP oder höher ausgeführt werden.
Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den Enterprise NTAuth-Speicher zu importieren:
Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine CER-Datei. Die folgenden Dateiformate werden unterstützt:
- DER-codierte Binärdatei X.509 (CER)
- Base-64-codierter X.509 (CER)
Installieren Sie die Windows Server 2003 Resource Kit-Tools. Das Tools-Paket erfordert Windows XP oder höher.
Starten Sie die Microsoft Management Console (Mmc.exe), und fügen Sie dann das PKI Health-Snap-In hinzu:
- Wählen Sie im Menü "Konsole" die Option "Snap-In hinzufügen/entfernen" aus.
- Wählen Sie die Registerkarte "Eigenständig " und dann die Schaltfläche " Hinzufügen " aus.
- Wählen Sie in der Liste der Snap-Ins die Enterprise-PKI aus.
- Wählen Sie "Hinzufügen" und dann " Schließen" aus.
- Wählen Sie OK aus.
Klicken Sie mit der rechten Maustaste auf Enterprise-PKI, und wählen Sie dann "AD-Container verwalten" aus.
Wählen Sie die Registerkarte "NTAuthCertificates " und dann " Hinzufügen" aus.
Wählen Sie im Menü Datei die Option Öffnen aus.
Suchen Sie das Zertifizierungsstellenzertifikat, wählen Sie es aus, und wählen Sie dann OK aus, um den Import abzuschließen.
Methode 2: Importieren eines Zertifikats mithilfe von Certutil.exe
Certutil.exe ist ein Befehlszeilenprogramm zum Verwalten einer Windows-Zertifizierungsstelle. In Windows Server 2003 können Sie Certutil.exe verwenden, um Zertifikate in Active Directory zu veröffentlichen. Certutil.exe wird mit Windows Server 2003 installiert. Es ist auch als Teil des Microsoft Windows Server 2003 Administration Tools Packs verfügbar.
Führen Sie die folgenden Schritte aus, um ein Zertifizierungsstellenzertifikat in den Enterprise NTAuth-Speicher zu importieren:
Exportieren Sie das Zertifikat der Zertifizierungsstelle in eine CER-Datei. Die folgenden Dateiformate werden unterstützt:
- DER-codierte Binärdatei X.509 (CER)
- Base-64-codierter X.509 (CER)
Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
certutil -dspublish -f filename NTAuthCA
Die Inhalte des NTAuth-Speichers werden am folgenden Registrierungsspeicherort zwischengespeichert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Dieser Registrierungsschlüssel sollte automatisch aktualisiert werden, um die Zertifikate widerzuspiegeln, die im NTAuth-Speicher im Active Directory-Konfigurationscontainer veröffentlicht wurden. Dieses Verhalten tritt auf, wenn Gruppenrichtlinie Einstellungen aktualisiert werden und wenn die clientseitige Erweiterung, die für die automatische Registrierung verantwortlich ist, ausgeführt wird. In bestimmten Szenarien, z. B. der Latenz der Active Directory-Replikation oder wenn die Richtlinieneinstellung "Zertifikate nicht automatisch registrieren" aktiviert ist, wird die Registrierung nicht aktualisiert. Führen Sie in solchen Szenarien den folgenden Befehl manuell aus, um das Zertifikat an den Registrierungsspeicherort einzufügen:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer