文章編號: 291010 - 上次校閱: 2007年3月1日 - 版次: 3.4

從協力廠商 CA 的網域控制站憑證的需求

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,您需要滿足發出來自協力廠商憑證授權單位 (CA) 的網域控制站憑證的需求。
回此頁最上方

其他相關資訊

支援

  • 目前,Microsoft 支援智慧卡登入只與協力廠商網域控制站憑證的使用。
  • 目前,Microsoft 並不支援的使用來支援 SMTP 複寫網域控制站之間的協力廠商 CA 的憑證。
  • 協力廠商 CA 並不支援自動註冊和更新的網域控制站或電腦憑證。
回此頁最上方

需求

  • 您可以手動將網域控制站憑證發給。網域控制站憑證必須符合下列特定的格式需求:
    • 憑證必須有一個指向有效的憑證撤銷清單 (CRL) 的 CRL 發佈點副檔名。
    • 選擇性地,憑證主旨區段應該例如包含伺服器物件 (辨別名稱,) 的目錄路徑:
      CN=server1.northwindtraders.com OU = 網域控制站 DC = northwwindtraders DC = com
    • 憑證金鑰使用方法 」 一節必須包含:
      數位簽章金鑰加密
    • 選擇性地,憑證基本限制區段應該包含:
      [主旨類型 = 終端實體路徑長度限制 = 無]
    • 必須包含憑證增強金鑰使用方法 」 一節:
      • 用戶端驗證 (1.3.6.1.5.5.7.3.2)
      • 伺服器驗證 (1.3.6.1.5.5.7.3.1)
    • 憑證主體的別名一節必須包含全域唯一識別項 (GUID) 中目錄及網域名稱系統 (DNS) 名稱,網域控制站物件的例如:
      其他名稱: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9 c 4 c bc b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 憑證範本必須有以 BMP 資料值 DomainController"副檔名。

      附註dsstore.exe-dcmon 命令無法辨識沒有這些擴充功能的其中一個憑證。
    • 您必須使用 Schannel 密碼編譯服務提供者 (CSP) 來產生金鑰。
  • 網域控制站憑證必須安裝在本機電腦的憑證存放區中。
回此頁最上方

範例憑證

X509 Certificate:
Version: 3
Serial Number: 61497f5e000000000006
Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..
Issuer:
    CN=TestCA
    DC=northwindtraders
    DC=com

NotBefore: 2/12/2001 3:57 PM
NotAfter: 7/10/2001 10:24 AM

Subject:
    CN=TEST-DC1
    OU=Domain Controllers
    DC=northwindtraders
    DC=com

Public Key Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA
    Algorithm Parameters:
    05 00                                              ..
Public Key Length: 1024 bits
Public Key: UnusedBits = 0
    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23
    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68
    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49
    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6
    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e
    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b
    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45
    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb
    0080  89 16 5a 4d a4 34 27 02  03 01 00 01
Certificate Extensions: 9
    1.2.840.113549.1.9.15: Flags = 0, Length = 37
    SMIME Capabilities
        [1]SMIME Capability
             Object ID=1.2.840.113549.3.2
             Parameters=02 02 00 80
        [2]SMIME Capability
             Object ID=1.2.840.113549.3.4
             Parameters=02 02 00 80
        [3]SMIME Capability
             Object ID=1.3.14.3.2.7
        [4]SMIME Capability
             Object ID=1.2.840.113549.3.7

    2.5.29.15: Flags = 0, Length = 4
    Key Usage
        Digital Signature, Key Encipherment (a0)

    2.5.29.37: Flags = 0, Length = 16
    Enhanced Key Usage
        Client Authentication (1.3.6.1.5.5.7.3.2)
        Server Authentication (1.3.6.1.5.5.7.3.1)

    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22
    Certificate Template Name
        DomainController

    2.5.29.14: Flags = 0, Length = 16
    Subject Key Identifier
        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84

    2.5.29.35: Flags = 0, Length = 18
    Authority Key Identifier
        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7

    2.5.29.31: Flags = 0, Length = f8
    CRL Distribution Points
        [1]CRL Distribution Point
             Distribution Point Name:
                  Full Name:
                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl
                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint

    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a
    Authority Information Access
        [1]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt
        [2]Authority Info Access
             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
             Alternative Name:
                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority

    2.5.29.17: Flags = 0, Length = 3d
    Subject Alternative Name
        Other Name:
             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a
        DNS Name=test-dc1.northwindtraders.com

Signature Algorithm:
    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA
    Algorithm Parameters:
    05 00                                              ..
回此頁最上方

如何判斷網域控制站的 GUID

啟動 Ldp.exe 並找出網域命名內容。連按兩下您想要檢視網域控制站的名稱。該物件的屬性清單中包含"物件 GUID"且後面緊接著長數字。數字是該物件的 GUID。

如物件識別項的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
287547? (http://support.microsoft.com/kb/287547/ ) Microsoft 密碼編譯相關聯的物件識別碼
如需有關如何使用 Ldp.exe,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
224543? (http://support.microsoft.com/kb/224543/ ) 使用 Ldp.exe Active Directory 中尋找資料
回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
回此頁最上方
關鍵字:?
kbmt kb3rdparty kbcertservices kbinfo KB291010 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:291010? (http://support.microsoft.com/kb/291010/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。