如何将第三方证书颁发机构 (CA) 证书导入企业 NTAuth 存储

  • 项目

可以使用两种方法将第三方 CA 的证书导入企业 NTAuth 存储。 如果使用第三方 CA 颁发智能卡登录证书或域控制器证书,则需要此过程。 通过将 CA 证书发布到企业 NTAuth 存储,管理员指示 CA 信任颁发这些类型的证书。 Windows CA 会自动将其 CA 证书发布到此存储。

适用于:Windows Server 2016、Windows Server 2012 R2
原始 KB 编号: 295663

更多信息

NTAuth 存储是位于林的配置容器中的 Active Directory 目录服务对象。 轻型目录访问协议 (LDAP) 可分辨名称类似于以下示例:

CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com

发布到 NTAuth 存储的证书将写入 cACertificate 多值属性。 有两种受支持的方法可用于将证书追加到此属性。

方法 1 - 使用 PKI 运行状况工具导入证书

PKI Health Tool (PKIView) 是 MMC 管理单元组件。 它显示构成 PKI 的一个或多个 Microsoft Windows CA 的状态。 它作为 Windows Server 2003 资源工具包工具的一部分提供。

PKIView 收集有关 CA 证书和证书吊销列表的信息, (CRL) 企业中的每个 CA。 然后,它会验证证书和 CRL,以确保它们正常工作。 如果它们无法正常工作,或者它们即将失败,PKIView 会提供详细的警告或某些错误信息。

PKIView 显示安装在 Active Directory 林中的 Windows Server 2003 CA 的状态。 可以使用 PKIView 发现所有 PKI 组件,包括与企业 CA 关联的从属 CA 和根 CA。 该工具还可以管理重要的 PKI 容器,例如根 CA 信任和 NTAuth 存储,这些容器也包含在 Active Directory 林的配置分区中。 本文介绍后一种功能。 有关 PKIView 的详细信息,请参阅 Microsoft Windows Server 2003 资源工具包工具文档。

注意

可以使用 PKIView 来管理 Windows 2000 CA 和 Windows Server 2003 CA。 若要安装 Windows Server 2003 资源工具包工具,计算机必须运行 Windows XP 或更高版本。

若要将 CA 证书导入企业 NTAuth 存储,请执行以下步骤:

  1. 将 CA 证书导出到.cer文件。 支持以下文件格式:

    • DER 编码的二进制 X.509 (.cer)
    • Base-64 编码 X.509 (.cer)

  2. 安装 Windows Server 2003 资源工具包工具。 工具包需要 Windows XP 或更高版本。

  3. 启动 Microsoft 管理控制台 (Mmc.exe) ,然后添加 PKI Health 管理单元:

    1. 在“控制台”菜单上,选择“ 添加/删除管理单元”。
    2. 选择“ 独立 ”选项卡,然后选择“ 添加 ”按钮。
    3. 在管理单元列表中,选择“ 企业 PKI”。
    4. 选择“ 添加”,然后选择“ 关闭”。
    5. 选择“确定”。

  4. 右键单击“ 企业 PKI”,然后选择“ 管理 AD 容器”。

  5. 选择“ NTAuthCertificates ”选项卡,然后选择“ 添加”。

  6. 在“文件”菜单上,选择“打开”

  7. 找到并选择 CA 证书,然后选择“ 确定” 以完成导入。

方法 2 - 使用 Certutil.exe 导入证书

Certutil.exe 是用于管理 Windows CA 的命令行实用工具。 在 Windows Server 2003 中,可以使用 Certutil.exe 将证书发布到 Active Directory。 Certutil.exe 随 Windows Server 2003 一起安装。 它还作为 Microsoft Windows Server 2003 管理工具包的一部分提供。

若要将 CA 证书导入企业 NTAuth 存储,请执行以下步骤:

  1. 将 CA 证书导出到.cer文件。 支持以下文件格式:

    • DER 编码的二进制 X.509 (.cer)
    • Base-64 编码 X.509 (.cer)

  2. 在命令提示符下,键入以下命令,然后按 Enter:

    certutil -dspublish -f filename NTAuthCA

NTAuth 存储的内容缓存在以下注册表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

应自动更新此注册表项,以反映发布到 Active Directory 配置容器中的 NTAuth 存储的证书。 更新组策略设置和执行负责自动注册的客户端扩展时,将发生此行为。 在某些情况下,例如 Active Directory 复制延迟或启用“自动注册证书”策略设置时,不会更新注册表。 在这种情况下,请手动运行以下命令,将证书插入注册表位置:

certutil -enterprise -addstore NTAuth CA_CertFilename.cer