从第三方 CA 的域控制器证书的要求

文章翻译 文章翻译
文章编号: 291010 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍您需要满足颁发第三方证书颁发机构 (CA) 的域控制器证书的要求。

从第三方 CA 的 Windows Server 2008 R2 域控制器证书的要求有关的详细信息,请访问下面的 Microsoft 网站:
从第三方 CA 的 Windows Server 2008 R2 域控制器证书的要求有关的信息

更多信息

支持

  • 目前,Microsoft 支持的第三方域控制器只允许进行智能卡登录证书的使用。
  • 目前,Microsoft 不支持使用从第三方 Ca 以支持 SMTP 域控制器之间的复制的证书。
  • 自动注册和续订的域控制器或计算机证书不支持第三方 Ca。

要求

  • 为域控制器,可以手动颁发证书。域控制器证书都必须满足以下特定格式要求:
    • 证书必须具有一个指向有效的证书吊销列表 (CRL) 的 CRL 分发点扩展。
    • (可选) 证书主题部分应例如包含服务器对象 (可分辨名称) 的目录路径:
      CN=server1.northwindtraders.com OU = 域控制器 DC = northwwindtraders DC = com
    • 证书密钥用法部分必须包含:
      密钥加密的数字签名
    • (可选) 证书基本约束部分应包含:
      [使用者类型 = 最终实体,路径长度限制 = 无]
    • 增强型密钥用法部分的证书必须包含:
      • 客户端身份验证 (1.3.6.1.5.5.7.3.2)
      • 服务器身份验证 (1.3.6.1.5.5.7.3.1)
    • 证书主题备用名称部分必须包含域名系统 (DNS) 名称。如果使用 SMTP 复制,则证书主题备用名称部分也必须在目录中的域控制器对象包含的全局唯一标识符 (GUID)。例如:
      其他名称: 1.3.6.1.4.1.311.25.1 = 交流 4b 29 06 aa d6 5d 4f a9 9 c 4 c 业务连续性 b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 证书模板必须具有扩展名具有 BMP 数据值"域控制器。"

      注意 " dsstore.exe dcmon 命令无法识别不使用这些扩展的证书。
    • 您必须使用 Schannel 加密服务提供程序 (CSP) 生成密钥。
  • 域控制器证书必须安装在本地计算机的证书存储区中。

示例证书

X509 Certificate:
Version: 3
Serial Number: 61497f5e000000000006
Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..
Issuer:
    CN=TestCA
    DC=northwindtraders
    DC=com

NotBefore: 2/12/2001 3:57 PM
NotAfter: 7/10/2001 10:24 AM

Subject:
    CN=TEST-DC1
    OU=Domain Controllers
    DC=northwindtraders
    DC=com

Public Key Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA
    Algorithm Parameters:
    05 00                                              ..
Public Key Length: 1024 bits
Public Key: UnusedBits = 0
    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23
    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68
    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49
    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6
    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e
    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b
    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45
    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb
    0080  89 16 5a 4d a4 34 27 02  03 01 00 01
Certificate Extensions: 9
    1.2.840.113549.1.9.15: Flags = 0, Length = 37
    SMIME Capabilities
        [1]SMIME Capability
             Object ID=1.2.840.113549.3.2
             Parameters=02 02 00 80
        [2]SMIME Capability
             Object ID=1.2.840.113549.3.4
             Parameters=02 02 00 80
        [3]SMIME Capability
             Object ID=1.3.14.3.2.7
        [4]SMIME Capability
             Object ID=1.2.840.113549.3.7

    2.5.29.15: Flags = 0, Length = 4
    Key Usage
        Digital Signature, Key Encipherment (a0)

    2.5.29.37: Flags = 0, Length = 16
    Enhanced Key Usage
        Client Authentication (1.3.6.1.5.5.7.3.2)
        Server Authentication (1.3.6.1.5.5.7.3.1)

    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22
    Certificate Template Name
        DomainController

    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7

    2.5.29.31: Flags = 0, Length = f8
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl
                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt
        [2]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority

    2.5.29.17: Flags = 0, Length = 3d
    Subject Alternative Name
        Other Name:
             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a
        DNS Name=test-dc1.northwindtraders.com

Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..

如何确定域控制器的 GUID

开始 Ldp.exe 并找到域命名上下文。双击您要查看域控制器的名称。该对象的属性的列表中包含"对象 GUID"后面是一个 long 类型的值的数字。数是该对象的 GUID。

有关对象标识符的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
287547使用 Microsoft 加密相关的对象标识
有关如何使用 Ldp.exe 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
224543使用 Ldp.exe 查找 活动目录(AD) 中的数据

属性

文章编号: 291010 - 最后修改: 2013年4月10日 - 修订: 1.0
这篇文章中的信息适用于:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kb3rdparty kbcertservices kbinfo w2000certsrv kbmt KB291010 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 291010
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com