none
Certificate Server 使用者憑證問題請教~ RRS feed

  • 問題

  • 請問從微軟CA Server中申請使用者憑證,有辦法設定成預設申請的使用者憑證,就不允許匯出私密金鑰嗎??防止人員私自將個人使用者憑證匯出覆製至其它電腦使用...

    謝謝...
    2010年1月13日 上午 07:13

解答

  • 如果你是要發行User憑證..然後都不允許匯出私密金鑰的話
    應該是可以做到的..因為憑證範本內有一個選項是可以決定是否可以匯出私密金鑰

    試試看下面動作

    1.在CA上面打開管理畫面 - 對憑證範本點右鍵 - 管理

    2.在旁邊對User憑證點右鍵 - 複製憑證,設定憑證名字 (名字設定後無法更改)

    3.點選上方的"處理要求",下面就有一個允許匯出私密金鑰的選項,將其取消勾選

    4.在安全性標籤下設定正確的權限,如Authenticated Users都有申請 & 自動申請 & 讀取的權限

    5.設定完成後回到CA的管理畫面 - 對憑證範本點右鍵 - 新增 - 發行憑證範本 - 選擇剛剛建立的範本

    6.之後只要權限夠的User去申請來的這張憑證,就無法做私密金鑰匯出的動作

    7.確定可以的話,可以在憑證範本內將原先的User範本做刪除

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已標示為解答 Vincent Lin 2010年1月18日 上午 02:25
    2010年1月14日 上午 10:13

所有回覆

  • 個人還是建議,要小心使用certificate, 若用戶把檔案加密,以後稽核或要還原時發生問題,就很難舉証了!!
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月13日 上午 08:19
  • Hi 小欣~

    看完了您提供的KB連結,連結內容好像是教如何匯出憑證的教學~

    我需要的是如何防止使用者自行匯出使用者憑證的方式...

    謝謝....
    2010年1月13日 上午 09:30
  • Hi 小欣~

    看完了您提供的KB連結,連結內容好像是教如何匯出憑證的教學~

    我需要的是如何防止使用者自行匯出使用者憑證的方式...

    謝謝....
    2010年1月13日 上午 09:31
  • 2010年1月13日 上午 11:10
  • Dear Sir,
    看看這能不能達到你的要求,

    Restrict loading of Certificates snap-in into MMC.

    MMC can load various snap-ins that are used to simplify system management tasks of daily routine. This setting can disable loading of the snap-in Certificates into MMC.


    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    • 已提議為解答 Gary Yuan. _ 2010年1月13日 上午 11:20
    2010年1月13日 上午 11:16
  • 如果你是要發行User憑證..然後都不允許匯出私密金鑰的話
    應該是可以做到的..因為憑證範本內有一個選項是可以決定是否可以匯出私密金鑰

    試試看下面動作

    1.在CA上面打開管理畫面 - 對憑證範本點右鍵 - 管理

    2.在旁邊對User憑證點右鍵 - 複製憑證,設定憑證名字 (名字設定後無法更改)

    3.點選上方的"處理要求",下面就有一個允許匯出私密金鑰的選項,將其取消勾選

    4.在安全性標籤下設定正確的權限,如Authenticated Users都有申請 & 自動申請 & 讀取的權限

    5.設定完成後回到CA的管理畫面 - 對憑證範本點右鍵 - 新增 - 發行憑證範本 - 選擇剛剛建立的範本

    6.之後只要權限夠的User去申請來的這張憑證,就無法做私密金鑰匯出的動作

    7.確定可以的話,可以在憑證範本內將原先的User範本做刪除

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已標示為解答 Vincent Lin 2010年1月18日 上午 02:25
    2010年1月14日 上午 10:13
  • 想請問一下上面的大大
    windows 2003標準版
    是否沒有辦法發行憑證
    因為我在第5項目
    5.設定完成後回到CA的管理畫面 - 對憑證範本點右鍵 - 新增 - 發行憑證範本 - 選擇剛剛建立的範本
    看不到我新增的範本
    感恩
    2010年1月22日 上午 05:54
  • 如果你是Standard的Server 2003的話..沒有辦法發行Version 2的憑證範本
    要使用Enterprise or Data Center版本的Server 2003才可以

    參考資料
    Building an Enterprise Root Certification Authority in Small and Medium Businesses (裡面的第一個表格)
    http://technet.microsoft.com/en-us/library/cc875810.aspx

    摘錄下面
    Configure the CA to issue certificates based on the certificate template     Enterprise Edition if a version 2 certificate template is needed. Otherwise, Standard Edition.
     

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄微軟)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2010年1月22日 上午 06:21