Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Esistono due metodi che è possibile usare per importare i certificati di ca di terze parti nell'archivio ENTERPRISE NTAuth. Questo processo è necessario se si usa una CA di terze parti per rilasciare certificati di accesso tramite smart card o controller di dominio. Pubblicando il certificato DELLA CA nell'archivio NTAuth enterprise, l'amministratore indica che la CA è attendibile per rilasciare certificati di questi tipi. Le CA di Windows pubblicano automaticamente i certificati della CA in questo archivio.
Numero KB originale: 295663
Ulteriori informazioni
L'archivio NTAuth è un oggetto servizio directory di Active Directory che si trova nel contenitore Configuration della foresta. Il nome distinto LDAP (Lightweight Directory Access Protocol) è simile all'esempio seguente:
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
I certificati pubblicati nell'archivio NTAuth vengono scritti nell'attributo con più valori cACertificate. Esistono due metodi supportati per aggiungere un certificato a questo attributo.
Metodo 1- Importare un certificato usando lo strumento di integrità PKI
PKI Health Tool (PKIView) è un componente snap-in MMC. Visualizza lo stato di uno o più ca di Microsoft Windows che comprendono un'infrastruttura a chiave pubblica. È disponibile come parte degli strumenti di Resource Kit di Windows Server 2003.
PKIView raccoglie informazioni sui certificati CA e sugli elenchi di revoche di certificati (CRL) da ogni CA dell'organizzazione. Convalida quindi i certificati e i CRL per assicurarsi che funzionino correttamente. Se non funzionano correttamente o stanno per avere esito negativo, PKIView fornisce un avviso dettagliato o alcune informazioni sull'errore.
PKIView visualizza lo stato delle ca di Windows Server 2003 installate in una foresta Active Directory. È possibile usare PKIView per individuare tutti i componenti PKI, inclusi ca subordinate e radice associate a una CA aziendale. Lo strumento può anche gestire importanti contenitori PKI, ad esempio l'attendibilità della CA radice e gli archivi NTAuth, contenuti anche nella partizione di configurazione di una foresta Active Directory. Questo articolo illustra questa seconda funzionalità. Per altre informazioni su PKIView, vedere la documentazione di Microsoft Windows Server 2003 Resource Kit Tools.
Note
È possibile usare PKIView per gestire le ca di Windows 2000 e windows Server 2003. Per installare gli strumenti di Resource Kit di Windows Server 2003, il computer deve eseguire Windows XP o versione successiva.
Per importare un certificato CA nell'archivio NTAuth enterprise, seguire questa procedura:
Esportare il certificato della CA in un file di .cer. Sono supportati i seguenti formati di file:
- DER encoded binary X.509 (.cer)
- X.509 con codifica Base 64 (.cer)
Installare gli strumenti di Resource Kit di Windows Server 2003. Il pacchetto degli strumenti richiede Windows XP o versione successiva.
Avviare Microsoft Management Console (Mmc.exe) e quindi aggiungere lo snap-in Integrità PKI:
- Nel menu Console selezionare Aggiungi/Rimuovi snap-in.
- Selezionare la scheda Autonomo e quindi selezionare il pulsante Aggiungi .
- Nell'elenco degli snap-in selezionare Infrastruttura a chiave pubblica (PKI) aziendale.
- Seleziona Aggiungi e quindi seleziona Chiudi.
- Seleziona OK.
Fare clic con il pulsante destro del mouse su Infrastruttura a chiave pubblica (PKI aziendale) e quindi scegliere Manage AD Containers (Gestisci contenitori AD).
Selezionare la scheda NTAuthCertificates e quindi selezionare Aggiungi.
Nel menu File, fare clic su Apri.
Individuare e quindi selezionare il certificato della CA e quindi selezionare OK per completare l'importazione.
Metodo 2: Importare un certificato usando Certutil.exe
Certutil.exe è un'utilità della riga di comando per la gestione di una CA Windows. In Windows Server 2003 è possibile usare Certutil.exe per pubblicare i certificati in Active Directory. Certutil.exe è installato con Windows Server 2003. È disponibile anche come parte del Pacchetto strumenti di amministrazione di Microsoft Windows Server 2003.
Per importare un certificato CA nell'archivio NTAuth enterprise, seguire questa procedura:
Esportare il certificato della CA in un file di .cer. Sono supportati i seguenti formati di file:
- DER encoded binary X.509 (.cer)
- X.509 con codifica Base 64 (.cer)
Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:
certutil -dspublish -f filename NTAuthCA
Il contenuto dell'archivio NTAuth viene memorizzato nella cache nel percorso del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Questa chiave del Registro di sistema deve essere aggiornata automaticamente per riflettere i certificati pubblicati nell'archivio NTAuth nel contenitore di configurazione di Active Directory. Questo comportamento si verifica quando vengono aggiornate le impostazioni di Criteri di gruppo e quando viene eseguita l'estensione lato client responsabile della registrazione automatica. In alcuni scenari, ad esempio la latenza di replica di Active Directory o quando l'impostazione dei criteri Non registrare automaticamente i certificati è abilitata, il Registro di sistema non viene aggiornato. In questi scenari eseguire manualmente il comando seguente per inserire il certificato nel percorso del Registro di sistema:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer