Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Há dois métodos que você pode usar para importar os certificados de CAs de terceiros para o repositório Enterprise NTAuth. Esse processo será necessário se você estiver usando uma AC de terceiros para emitir certificados de logon de cartão inteligente ou controlador de domínio. Ao publicar o certificado de autoridade de certificação no repositório Enterprise NTAuth, o administrador indica que a autoridade de certificação é confiável para emitir certificados desses tipos. As CAs do Windows publicam automaticamente seus certificados de CA nesse repositório.
Número original do KB: 295663
Mais informações
O repositório NTAuth é um objeto de serviço de diretório do Active Directory localizado no contêiner de configuração da floresta. O nome distinto LDAP (Lightweight Directory Access Protocol) é semelhante ao exemplo a seguir:
CN=NTAuthCertificates,CN=Serviços de Chave Pública,CN=Serviços,CN=Configuração,DC=MeuDomínio,DC=com
Os certificados publicados no repositório NTAuth são gravados no atributo de vários valores cACertificate. Há dois métodos com suporte para acrescentar um certificado a esse atributo.
Método 1 – Importar um certificado usando a Ferramenta de Integridade da PKI
PKI Health Tool (PKIView) é um componente de snap-in do MMC. Ele exibe o status de uma ou mais CAs do Microsoft Windows que compõem uma PKI. Ele está disponível como parte das Ferramentas do Windows Server 2003 Resource Kit.
O PKIView coleta informações sobre os certificados de autoridade de certificação e as listas de revogação de certificados (CRLs) de cada autoridade de certificação na empresa. Em seguida, ele valida os certificados e CRLs para garantir que estejam funcionando corretamente. Se eles não estiverem funcionando corretamente ou estiverem prestes a falhar, o PKIView fornecerá um aviso detalhado ou algumas informações de erro.
O PKIView exibe o status das autoridades de certificação do Windows Server 2003 instaladas em uma floresta do Active Directory. Você pode usar o PKIView para descobrir todos os componentes da PKI, incluindo CAs subordinadas e raiz associadas a uma CA corporativa. A ferramenta também pode gerenciar contêineres PKI importantes, como confiança de CA raiz e repositórios NTAuth, que também estão contidos na partição de configuração de uma floresta do Active Directory. Este artigo discute essa última funcionalidade. Para obter mais informações sobre o PKIView, consulte a documentação das Ferramentas do Microsoft Windows Server 2003 Resource Kit.
Observação
Você pode usar o PKIView para gerenciar as autoridades de certificação do Windows 2000 e do Windows Server 2003. Para instalar as Ferramentas do Windows Server 2003 Resource Kit, seu computador deve estar executando o Windows XP ou posterior.
Para importar um certificado de CA para o repositório Enterprise NTAuth, siga estas etapas:
Exporte o certificado da CA para um arquivo .cer. Os seguintes formatos de arquivo são compatíveis:
- Binário codificado DER X.509 (.cer)
- X.509 codificado em base 64 (.cer)
Instale as ferramentas do Windows Server 2003 Resource Kit. O pacote de ferramentas requer o Windows XP ou posterior.
Inicie o Console de Gerenciamento Microsoft (Mmc.exe) e adicione o snap-in PKI Health:
- No menu Console, selecione Adicionar/Remover Snap-in.
- Selecione a guia Autônomo e, em seguida, selecione o botão Adicionar .
- Na lista de snap-ins, selecione PKI Empresarial.
- Selecione Adicionar e, em seguida, selecione Fechar.
- Clique em OK.
Clique com o botão direito do mouse em Enterprise PKI e selecione Gerenciar Contêineres do AD.
Selecione a guia NTAuthCertificates e, em seguida, selecione Adicionar.
No menu Arquivo, selecione Abrir.
Localize e selecione o certificado de autoridade de certificação e, em seguida, selecione OK para concluir a importação.
Método 2 – Importar um certificado usando Certutil.exe
Certutil.exe é um utilitário de linha de comando para gerenciar uma autoridade de certificação do Windows. No Windows Server 2003, você pode usar o Certutil.exe para publicar certificados no Active Directory. Certutil.exe é instalado com o Windows Server 2003. Ele também está disponível como parte do Pacote de Ferramentas de Administração do Microsoft Windows Server 2003.
Para importar um certificado de CA para o repositório Enterprise NTAuth, siga estas etapas:
Exporte o certificado da CA para um arquivo .cer. Os seguintes formatos de arquivo são compatíveis:
- Binário codificado DER X.509 (.cer)
- X.509 codificado em base 64 (.cer)
Em um prompt de comando, digite o seguinte comando e pressione ENTER:
certutil -dspublish -f filename NTAuthCA
O conteúdo do repositório NTAuth é armazenado em cache no seguinte local do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
Essa chave do Registro deve ser atualizada automaticamente para refletir os certificados publicados no repositório NTAuth no contêiner de configuração do Active Directory. Esse comportamento ocorre quando as configurações de Política de Grupo são atualizadas e quando a extensão do lado do cliente responsável pelo registro automático é executada. Em determinados cenários, como latência de replicação do Active Directory ou quando a configuração de política Não registrar certificados automaticamente está habilitada, o registro não é atualizado. Nesses cenários, execute o seguinte comando manualmente para inserir o certificado no local do Registro:
certutil -enterprise -addstore NTAuth CA_CertFilename.cer