Все сертификаты центра сертификации (ЦС) в домене Active Directory текущего леса хранятся в контейнере NTAuthCertificates. Сертификаты ЦС предприятия автоматически добавляются при установке нового центра сертификации.
Если сертификат ЦС не добавляется автоматически при создании нового ЦС, например автономного ЦС, созданного пользователем, который не является участником группы «Администраторы предприятия», сертификат ЦС, тем не менее, можно добавить в контейнер NTAuthCertificates вручную. Эту процедуру также можно использовать для добавления сертификата ЦС, созданного сторонним центром сертификации, который используется для выпуска сертификатов входа с помощью смарт-карт или контроллера домена. Публикуя сертификаты таких ЦС в хранилище NTAuth предприятия, администратор тем самым показывает, что ЦС является доверенным для выпуска сертификатов этих типов.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы предприятия или аналогичной.
Добавление сертификата в контейнер NTAuthCertificates с помощью интерфейса Windows |
Экспортируйте сертификат ЦС в CER-файл, который поддерживает либо двоичный формат в кодировке DER (Distinguished Encoding Rules), либо формат X.509 в кодировке base-64.
Откройте оснастку «PKI предприятия», правой кнопкой мыши щелкните PKI предприятия в дереве консоли и выберите команду Управление контейнерами AD.
Выберите контейнер NTAuthCertificates.
Нажмите кнопку Добавить и перейдите к CER-файлу добавляемого сертификата. Нажмите кнопку ОК.
Добавить сертификат в контейнер NTAuthCertificates можно и при помощи программы командной строки Certutil.
Добавление сертификата в контейнер NTAuthCertificates с помощью командной строки |
Выполните экспорт сертификата ЦС в CER-файл, который поддерживает либо двоичный формат в кодировке DER, либо формат X.509 в кодировке base-64.
Откройте окно командной строки, введите следующую команду и нажмите клавишу ВВОД:
certutil -dspublish -f filename NTAuthCA