Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
CAPolicy.inf är en konfigurationsfil som definierar tillägg, begränsningar och andra konfigurationsinställningar som tillämpas på ett rot-CA-certifikat och alla certifikat som utfärdats av rot-CA. CAPolicy.inf-filen måste installeras på en värdserver innan installationsrutinen för rotcertifikatutfärdaren börjar. När säkerhetsbegränsningarna för en rotcertifikatutfärdare ska ändras måste rotcertifikatet förnyas och en uppdaterad CAPolicy.inf-fil måste installeras på servern innan förnyelseprocessen påbörjas.
CAPolicy.inf är:
Skapad och definierad manuellt av en administratör
Används när rotcertifikat och underordnade CA-certifikat skapas
Definierad på signerings-CA där du utfärdar certifikatet (inte den CA där begäran beviljas)
När du har skapat caPolicy.inf-filen måste du kopiera den till %systemroot%-mappen på servern innan du installerar ADCS eller förnyar CA-certifikatet.
CAPolicy.inf gör det möjligt att ange och konfigurera en mängd olika CA-attribut och alternativ. I följande avsnitt beskrivs alla alternativ för att skapa en .inf-fil som är anpassad efter dina specifika behov.
CAPolicy.inf-filstruktur
Följande termer används för att beskriva .inf-filstrukturen:
Avsnitt – är ett område i filen som omfattar en logisk grupp med nycklar. Avsnittsnamn i .inf-filer identifieras genom att visas inom hakparenteser. Många, men inte alla, avsnitt används för att konfigurera certifikattillägg.
Key – är namnet på en post och visas till vänster om likhetstecknet.
Värde – är parametern och visas till höger om likhetstecknet.
I följande exempel är [Version] avsnittet Signatur är nyckeln och "$Windows NT$" är värdet.
Exempel:
[Version]
Signature="$Windows NT$"
Utgåva
Identifierar filen som en .inf-fil. Versionen är det enda obligatoriska avsnittet och måste vara i början av din CAPolicy.inf-fil.
PolicyuttalandeFörlängning
Visar en lista över de principer som har definierats av organisationen och om de är valfria eller obligatoriska. Flera principer avgränsas med kommatecken. Namnen har betydelse i kontexten för en specifik distribution, eller i förhållande till anpassade program som söker efter förekomsten av dessa principer.
För varje princip som definieras måste det finnas ett avsnitt som definierar inställningarna för den specifika principen. För varje princip måste du ange en användardefinierad objektidentifierare (OID) och antingen den text som du vill ska visas som principuttryck eller en URL-pekare till principsatsen. URL:en kan vara i form av en HTTP-, FTP- eller LDAP-URL.
Om du ska ha beskrivande text i princip-instruktionen ser de följande tre raderna i CAPolicy.inf ut så här:
[InternalPolicy]
OID=1.1.1.1.1.1.1
Notice="Legal policy statement text"
Om du kommer använda en URL för att publicera CA-policysatsen, kommer de nästa tre raderna istället att se ut så här:
[InternalPolicy]
OID=1.1.1.1.1.1.2
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
Dessutom bör du notera:
Flera URL- och meddelandenycklar stöds.
Meddelande- och URL-nycklar i samma principavsnitt stöds.
URL:er med mellanslag eller text med mellanslag måste omges av citattecken. Detta gäller för URL-nyckeln , oavsett i vilket avsnitt den visas.
Ett exempel på flera meddelanden och URL:er i ett principavsnitt skulle se ut så här:
[InternalPolicy]
OID=1.1.1.1.1.1.1
URL=https://pki.wingtiptoys.com/policies/legalpolicy.asp
URL=ftp://ftp.wingtiptoys.com/pki/policies/legalpolicy.asp
Notice="Legal policy statement text"
CRLDistributionPoint
Du kan ange distributionspunkter för CRL (CDP) för ett rotcertifikat i CAPolicy.inf. När du har installerat en certifikatmyndighet (CA) kan du konfigurera CDP-URL:er som CA:n inkluderar i varje certifikat som utfärdas. Rot CA-certifikatet visar webbadresserna som anges i det här avsnittet i CAPolicy.inf-filen.
[CRLDistributionPoint]
URL=http://pki.wingtiptoys.com/cdp/WingtipToysRootCA.crl
Stöd för CRL-distributionsplatser (CDP:er):
- HTTP
- Fil-URL:er
- LDAP-URL:er
- Flera URL:er
Viktigt!
CRL-distributionsplatser (CDP:er) stöder inte HTTPS-URL:er.
Citattecken måste omge URL:er med mellanslag.
Om inga URL har angetts – d.v.s. om avsnittet [CRLDistributionPoint] finns i filen men är tomt – utelämnas CRL-distributionsplatstillägget från rot-CA-certifikatet. Detta är att föredra när du konfigurerar en rotcertifikatutfärdare. Windows utför inte återkallningskontroll på ett root CA-certifikat, så CDP-tillägget är överflödigt i ett root CA-certifikat.
CA kan publicera till FILE UNC, till exempel till en resurs som representerar mappen för en webbplats där en klient hämtar data via HTTP.
Använd bara det här avsnittet om du konfigurerar en rotcertifikat eller förnyar rotcertifikatet. Ca:n avgör de underordnade CA CDP-tilläggen.
Myndighetsinformationsåtkomst
Du kan ange åtkomstpunkter för auktoritetsinformation i CAPolicy.inf för rot-CA-certifikatet.
[AuthorityInformationAccess]
URL=http://pki.wingtiptoys.com/Public/myCA.crt
Några fler kommentarer om avsnittet för auktoritetsinformationsåtkomst:
Flera URL:er stöds.
HTTP-, FTP-, LDAP- och FIL-URL:er stöds. HTTPS-URL:er stöds inte.
Det här avsnittet används bara om du konfigurerar en rotcertifikatutfärdare eller förnyar rotcertifikatet. AIA-tillägg för underordnade CA-certifikat bestäms av CA:n som utfärdade den underordnade CA:ns certifikat.
URL:ar med blanksteg måste omges av citattecken.
Om inga URL:er har angetts, d.v.s. om avsnittet [AuthorityInformationAccess] finns i filen men är tomt, utelämnas tillägget Auktoritetsinformation från rot-CA-certifikatet. Återigen skulle detta vara den föredragna inställningen när det inte finns någon certifikatutfärdare högre än en rotcertifikatutfärdare som skulle behöva refereras till genom en länk till certifikatet.
certsrv_Server
Avsnittet [certsrv_server] i CAPolicy.inf är valfritt. Elementet [certsrv_server] används för att ange längden på förnyelsenyckeln, giltighetsperioden för förnyelsen samt giltighetsperioden för certifikatåterkallningslistan (CRL) för en certifikatutfärdare som förnyas eller installeras. Ingen av nycklarna i det här avsnittet krävs. Många av de här inställningarna har standardvärden som är tillräckliga för de flesta behov och som kan utelämnas från CAPolicy.inf-filen. Du kan också ändra många av de här inställningarna när ca:en har installerats.
Ett exempel skulle se ut så här:
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0
RenewalKeyLength anger endast nyckelstorleken för förnyelse. Detta används endast när ett nytt nyckelpar genereras vid förnyelse av CA-certifikat. Nyckelstorleken för det inledande CA-certifikatet anges när CA installeras.
När du förnyar ett CA-certifikat med ett nytt nyckelpar kan nyckellängden ökas eller minskas. Om du till exempel har angett en nyckelstorlek för rotcertifikatutfärdare (CA) på 4096 bitar eller högre och sedan upptäcker att du har Java-appar eller nätverksenheter som endast stöder nyckelstorlekar på 2048 bitar. Oavsett om du ökar eller minskar storleken måste du återutfärda alla certifikat som utfärdats av certifikatutfärdare.
RenewalValidityPeriod och RenewalValidityPeriodUnits etablerar livslängden för det nya rotcertifikatutfärdarcertifikatet när det gamla rotcertifikatutfärdarcertifikatet förnyas. Det gäller bara för en rot-CA. Certifikatets livslängd för en underordnad certifikatutfärdare bestäms av dess överordnade. RenewalValidityPeriod kan ha följande värden: Timmar, dagar, veckor, månader och år.
CRLPeriod och CRLPeriodUnits fastställer giltighetsperioden för bas-CRL. CRLPeriod kan ha följande värden: Timmar, dagar, veckor, månader och år.
CRLDeltaPeriod och CRLDeltaPeriodUnits fastställer giltighetsperioden för delta CRL. CRLDeltaPeriod kan ha följande värden: Timmar, dagar, veckor, månader och år.
Var och en av dessa inställningar kan konfigureras när certifikatet har installerats:
Certutil -setreg CACRLPeriod Weeks
Certutil -setreg CACRLPeriodUnits 1
Certutil -setreg CACRLDeltaPeriod Days
Certutil -setreg CACRLDeltaPeriodUnits 1
Kom ihåg att starta om Active Directory Certificate Services för att eventuella ändringar ska börja gälla.
LoadDefaultTemplates gäller endast under installationen av en Enterprise CA. Den här inställningen, antingen Sant eller Falskt (eller 1 eller 0), avgör om certifikatutfärdare har konfigurerats med någon av standardmallarna.
I en standardinstallation av certifikatutfärdare läggs en delmängd av standardcertifikatmallarna till i mappen Certifikatmallar i snapin-modulen Certifikatutfärdare. Det innebär att så snart AD CS-tjänsten startar efter att rollen har installerats kan en användare eller dator med tillräcklig behörighet omedelbart registrera sig för ett certifikat.
Du kanske inte vill utfärda några certifikat omedelbart efter att en certifikatutfärdare har installerats, så du kan använda inställningen LoadDefaultTemplates för att förhindra att standardmallarna läggs till i företagscertifikatutfärdaren. Om det inte finns några mallar konfigurerade på certifikatutfärdare kan den inte utfärda några certifikat.
AlternateSignatureAlgorithm konfigurerar certifikatutfärdare för att stödja signaturformatet PKCS#1 V2.1 för både CA-certifikatet och certifikatbegäranden. När det är inställt på 1 på en rotcertifikatutfärdare innehåller CA-certifikatet signaturformatet PKCS#1 V2.1. När den är inställd på en underordnad certifikatutfärdare skapar den underordnade certifikatutfärdare en certifikatbegäran som innehåller signaturformatet PKCS#1 V2.1.
ForceUTF8 ändrar standardkodningen av relativa unika namn (RDN) i subjekt och utfärdarens unika namn till UTF-8. Endast de RDN:er som stöder UTF-8, till exempel de som definieras som katalogsträngstyper av en RFC, påverkas. RDN för domänkomponent (DC) stöder till exempel kodning som antingen IA5 eller UTF-8, medan Country RDN (C) endast stöder kodning som en utskrivbar sträng. ForceUTF8-direktivet påverkar därför ett DC RDN men påverkar inte ett C RDN.
EnableKeyCounting konfigurerar ca:en för att öka en räknare varje gång certifikatets signeringsnyckel används. Aktivera inte den här inställningen om du inte har en maskinvarusäkerhetsmodul (HSM) och en associerad kryptografitjänstleverantör (CSP) som stöder nyckelräkning. Nyckelräkning stöds inte av vare sig Microsoft Strong CSP eller Microsoft Software Key Storage Provider (KSP).
Skapa filen CAPolicy.inf
Innan du installerar AD CS konfigurerar du CAPolicy.inf-filen med specifika inställningar för distributionen.
Förutsättning: Du måste vara medlem i gruppen Administratörer.
På den dator där du planerar att installera AD CS öppnar du Windows PowerShell, skriver notepad.exe och trycker på RETUR.
Ange följande text:
[Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID=1.2.3.4.1455.67.89.5 Notice="Legal Policy Statement" URL=https://pki.corp.contoso.com/pki/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=5 CRLPeriod=weeks CRLPeriodUnits=1 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 [CRLDistributionPoint] [AuthorityInformationAccess]Välj Arkiv och sedan Spara som.
Gå till mappen %systemroot% .
Kontrollera att följande alternativ är inställda:
Filnamnet är inställt på CAPolicy.inf
Spara som-typ är inställt på Alla filer
Kodning är ANSI
Välj Spara.
När du uppmanas att skriva över filen väljer du Ja.
Försiktighet
Se till att spara CAPolicy.inf med inf-tillägget. Om du inte specifikt skriver .inf i slutet av filnamnet och väljer alternativen enligt beskrivningen sparas filen som en textfil och kommer inte att användas under CA-installationen.
Stäng Anteckningsblock.
Viktigt!
I CAPolicy.inf ser du att det finns en rad som anger URL:en https://pki.corp.contoso.com/pki/cps.txt. Avsnittet för intern policy i CAPolicy.inf visas bara som ett exempel på hur du anger platsen för ett certifikatpraxisdokument (CPS). I den här guiden instrueras du inte att skapa certifikatpraxisutlåtandet (CPS).