向協力廠商 CA 的網域控制站憑證需求

文章翻譯 文章翻譯
文章編號: 291010 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文將告訴您需要滿足發出第三方憑證授權單位 (CA) 的網域控制站憑證的需求。

如需有關 Windows Server 2008 R2 網域控制站憑證,向協力廠商 CA 的需求的詳細資訊,請造訪下列 Microsoft 網站:
向協力廠商 CA 的 Windows Server 2008 R2 網域控制站憑證的需求的相關資訊

其他相關資訊

支援

  • 目前,Microsoft 支援協力廠商網域控制站憑證,以僅使用智慧卡登入使用。
  • 目前,Microsoft 不支援使用來自協力廠商 Ca,以支援網域控制站之間的 SMTP 複寫的憑證。
  • 協力廠商 Ca 不支援自動註冊及更新的網域控制站或電腦的憑證。

需求

  • 您可以手動將憑證簽發給網域控制站。網域控制站憑證必須符合下列特定的格式需求:
    • 憑證必須有指向有效的憑證廢止清單 (CRL) 的 CRL 發佈點延伸模組。
    • (選擇性) 的憑證主旨區段應該例如包含伺服端物件 (辨別名稱),使用的目錄路徑:
      CN=server1.northwindtraders.com OU = 網域控制站 DC = northwwindtraders DC = com
    • 憑證金鑰使用方法區段必須包含:
      數位簽章,金鑰編密
    • (選擇性) 應該包含憑證基本限制] 區段:
      [主旨類型 = 終端實體,路徑長度限制 = 無]
    • 增強金鑰使用方法區段中的憑證必須包含:
      • 用戶端驗證 (1.3.6.1.5.5.7.3.2)
      • 伺服器驗證 (1.3.6.1.5.5.7.3.1)
    • 憑證主體的別名一節必須包含網域名稱系統 (DNS) 名稱。若使用 SMTP 複寫時,憑證主體的別名一節也必須在目錄中的網域控制站物件包含全域唯一識別項 (GUID)。舉例如下:
      其他的名稱: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 的防空砲火 d6 5d 4f a9 9 c 4 c bc b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 憑證範本必須有副檔名 BMP 資料值"DomainController"。

      附註 [ dsstore.exe dcmon 指令無法辨識的憑證不需要的副檔名。
    • 您必須使用 Schannel 密碼編譯服務提供者 (CSP) 來產生金鑰。
  • 網域控制站憑證必須安裝在本機電腦的憑證存放區。

範例憑證

X509 Certificate:
Version: 3
Serial Number: 61497f5e000000000006
Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..
Issuer:
    CN=TestCA
    DC=northwindtraders
    DC=com

NotBefore: 2/12/2001 3:57 PM
NotAfter: 7/10/2001 10:24 AM

Subject:
    CN=TEST-DC1
    OU=Domain Controllers
    DC=northwindtraders
    DC=com

Public Key Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA
    Algorithm Parameters:
    05 00                                              ..
Public Key Length: 1024 bits
Public Key: UnusedBits = 0
    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23
    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68
    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49
    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6
    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e
    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b
    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45
    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb
    0080  89 16 5a 4d a4 34 27 02  03 01 00 01
Certificate Extensions: 9
    1.2.840.113549.1.9.15: Flags = 0, Length = 37
    SMIME Capabilities
        [1]SMIME Capability
             Object ID=1.2.840.113549.3.2
             Parameters=02 02 00 80
        [2]SMIME Capability
             Object ID=1.2.840.113549.3.4
             Parameters=02 02 00 80
        [3]SMIME Capability
             Object ID=1.3.14.3.2.7
        [4]SMIME Capability
             Object ID=1.2.840.113549.3.7

    2.5.29.15: Flags = 0, Length = 4
    Key Usage
        Digital Signature, Key Encipherment (a0)

    2.5.29.37: Flags = 0, Length = 16
    Enhanced Key Usage
        Client Authentication (1.3.6.1.5.5.7.3.2)
        Server Authentication (1.3.6.1.5.5.7.3.1)

    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22
    Certificate Template Name
        DomainController

    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7

    2.5.29.31: Flags = 0, Length = f8
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl
                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt
        [2]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority

    2.5.29.17: Flags = 0, Length = 3d
    Subject Alternative Name
        Other Name:
             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a
        DNS Name=test-dc1.northwindtraders.com

Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..

如何判斷網域控制站的 GUID

啟動 Ldp.exe 並找出網域命名內容。連按兩下您想要檢視網域控制站的名稱。該物件的屬性清單包含"物件 GUID"後面接著一個長整數。數字是該物件的 GUID。

如需有關物件識別項的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
287547Microsoft 密碼編譯相關聯的物件識別碼
如需有關如何使用 Ldp.exe 的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
224543若要尋找在 Active Directory 中的資料使用 Ldp.exe

屬性

文章編號: 291010 - 上次校閱: 2013年4月10日 - 版次: 1.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kb3rdparty kbcertservices kbinfo w2000certsrv kbmt KB291010 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:291010
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com