Jak zaimportować certyfikaty urzędu certyfikacji innej firmy do magazynu Enterprise NTAuth

Istnieją dwie metody, których można użyć do zaimportowania certyfikatów urzędów certyfikacji innych firm do magazynu Enterprise NTAuth. Ten proces jest wymagany, jeśli używasz urzędu certyfikacji innej firmy do wystawiania certyfikatów logowania karty inteligentnej lub kontrolera domeny. Publikując certyfikat urzędu certyfikacji w magazynie Enterprise NTAuth, administrator wskazuje, że urząd certyfikacji jest zaufany do wystawiania certyfikatów tego typu. Urzędy certyfikacji systemu Windows automatycznie publikują swoje certyfikaty urzędu certyfikacji w tym magazynie.

Oryginalny numer KB: 295663

Więcej informacji

Magazyn NTAuth jest obiektem usługi katalogowej Active Directory znajdującym się w kontenerze Konfiguracji lasu. Nazwa wyróżniająca protokołu LDAP (Lightweight Directory Access Protocol) jest podobna do następującej:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

Certyfikaty publikowane w magazynie NTAuth są zapisywane w atrybucie cACertificate o wielu wartościach. Istnieją dwie obsługiwane metody dołączania certyfikatu do tego atrybutu.

Metoda 1 — importowanie certyfikatu przy użyciu narzędzia kondycji infrastruktury kluczy publicznych

Narzędzie PKI Health Tool (PKIView) to składnik przystawki PROGRAMU MMC. Wyświetla on stan co najmniej jednego urzędu certyfikacji systemu Microsoft Windows składającego się na infrastrukturę kluczy publicznych. Jest ona dostępna w ramach narzędzi Zestawu zasobów systemu Windows Server 2003.

Element PKIView zbiera informacje o certyfikatach urzędu certyfikacji i listach odwołania certyfikatów (CRL) z każdego urzędu certyfikacji w przedsiębiorstwie. Następnie weryfikuje certyfikaty i listy CRL, aby upewnić się, że działają prawidłowo. Jeśli nie działają prawidłowo lub nie powiedzie się, funkcja PKIView udostępnia szczegółowe ostrzeżenie lub niektóre informacje o błędzie.

PKIView wyświetla stan urzędów certyfikacji systemu Windows Server 2003 zainstalowanych w lesie usługi Active Directory. Widok PKIView umożliwia odnajdywanie wszystkich składników infrastruktury kluczy publicznych, w tym podrzędnych i głównych urzędów certyfikacji skojarzonych z urzędem certyfikacji przedsiębiorstwa. Narzędzie może również zarządzać ważnymi kontenerami infrastruktury kluczy publicznych, takimi jak zaufanie głównego urzędu certyfikacji i magazyny NTAuth, które są również zawarte w partycji konfiguracji lasu usługi Active Directory. W tym artykule omówiono tę ostatnią funkcjonalność. Aby uzyskać więcej informacji na temat interfejsu PKIView, zobacz dokumentację zestawu Resource Kit Tools systemu Microsoft Windows Server 2003.

Uwaga 16.

Przy użyciu PKIView można zarządzać urzędami certyfikacji systemu Windows 2000 i Windows Server 2003. Aby zainstalować narzędzia Resource Kit dla systemu Windows Server 2003, na komputerze musi być uruchomiony system Windows XP lub nowszy.

Aby zaimportować certyfikat urzędu certyfikacji do magazynu Enterprise NTAuth, wykonaj następujące kroki:

1. Wyeksportuj certyfikat urzędu certyfikacji do pliku .cer. Obsługiwane są następujące formaty plików:

   • Kodowany binarnie DER X.509 (.cer)
   • Kodowane w formacie Base-64 X.509 (.cer)

2. Zainstaluj narzędzia Resource Kit dla systemu Windows Server 2003. Pakiet narzędzi wymaga systemu Windows XP lub nowszego.

3. Uruchom program Microsoft Management Console (Mmc.exe), a następnie dodaj przystawkę Kondycja infrastruktury kluczy publicznych:

   1. W menu Konsola wybierz pozycję Dodaj/Usuń przystawkę.
   2. Wybierz kartę Autonomiczna , a następnie wybierz przycisk Dodaj .
   3. Na liście przystawek wybierz pozycję Enterprise PKI.
   4. Wybierz opcję Dodaj, a następnie opcję Zamknij.
   5. Wybierz przycisk OK.

4. Kliknij prawym przyciskiem myszy pozycję Infrastruktura kluczy publicznych przedsiębiorstwa, a następnie wybierz pozycję Zarządzaj kontenerami usługi AD.

5. Wybierz kartę NTAuthCertificates , a następnie wybierz pozycję Dodaj.

6. W menu Plik kliknij polecenie Otwórz.

7. Znajdź, a następnie wybierz certyfikat urzędu certyfikacji, a następnie wybierz przycisk OK , aby ukończyć importowanie.

Metoda 2 . Importowanie certyfikatu przy użyciu Certutil.exe

Certutil.exe to narzędzie wiersza polecenia do zarządzania urzędem certyfikacji systemu Windows. W systemie Windows Server 2003 można użyć Certutil.exe do publikowania certyfikatów w usłudze Active Directory. Certutil.exe jest instalowany z systemem Windows Server 2003. Jest on również dostępny w ramach pakietu Microsoft Windows Server 2003 Administration Tools Pack.

Aby zaimportować certyfikat urzędu certyfikacji do magazynu Enterprise NTAuth, wykonaj następujące kroki:

1. Wyeksportuj certyfikat urzędu certyfikacji do pliku .cer. Obsługiwane są następujące formaty plików:

   • Kodowany binarnie DER X.509 (.cer)
   • Kodowane w formacie Base-64 X.509 (.cer)

2. W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij ENTER:

   certutil -dspublish -f filename NTAuthCA
   

Zawartość magazynu NTAuth jest buforowana w następującej lokalizacji rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

Ten klucz rejestru powinien zostać automatycznie zaktualizowany w celu odzwierciedlenia certyfikatów publikowanych w magazynie NTAuth w kontenerze konfiguracji usługi Active Directory. To zachowanie występuje, gdy ustawienia zasad grupy są aktualizowane i gdy rozszerzenie po stronie klienta, które jest odpowiedzialne za automatyczne rejestrowanie jest wykonywane. W niektórych scenariuszach, takich jak opóźnienie replikacji usługi Active Directory lub gdy ustawienie zasad Nie rejestruj certyfikatów jest włączone, rejestr nie jest aktualizowany. W takich scenariuszach uruchom następujące polecenie ręcznie, aby wstawić certyfikat do lokalizacji rejestru:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer