Jak přidat alternativní název předmětu certifikátu zabezpečeného LDAP

ID článku: 931351 - Produkty, které se vztahují k tomuto článku.
Strojově přeložený článekUPOZORNĚNÍ: TENTO ČLÁNEK BYL STROJOVĚ PŘELOŽEN
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje, jak přidat předmět alternativní název (SAN) zabezpečení certifikátu Lightweight Directory Access Protocol (LDAP). Je předložena LDAP certifikát certifikačního úřadu (CÚ), který je konfigurován v počítači se systémem Microsoft Windows Server 2003. Sítě SAN umožňuje připojit k řadiči domény pomocí názvu Domain Name System (DNS), jiné než název počítače. Tento článek obsahuje informace o tom, jak přidat atributy SAN požadavek na certifikát, který je odeslán do podnikové certifikační Autority, samostatné certifikační Autority nebo jiného certifikačního úřadu.
Zpět nahoru | Dejte nám zpětnou vazbu

ÚVOD

Tento článek popisuje, jak přidat atribut SAN certifikát zabezpečení protokolu LDAP. Tento článek také popisuje, jak provést následující:
  • Konfigurace certifikačního úřadu přijmout a SAN atribut z certifikátu požadavek.
  • Vytvořit a odeslat žádost o certifikát rozlehlé sítě CERTIFIKAČNÍ ÚŘAD.
  • Vytvořit a odeslat žádost o certifikát samostatnému CERTIFIKAČNÍ ÚŘAD.
  • Vytvoření žádosti o certifikát pomocí Certreq.exe nástroj.
  • Vytvořit a odeslat žádost o certifikát jiného výrobce CERTIFIKAČNÍ ÚŘAD.
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Jak konfigurovat přijmout atribut SAN ze žádosti o certifikát certifikačního úřadu

Ve výchozím nastavení certifikačního úřadu, který je nakonfigurován na serveru se systémem Windows počítač se systémem 2003 Nevydává certifikáty, které obsahují rozšíření sítě SAN. Pokud jsou položky SAN součástí žádosti o certifikát, tyto položky jsou vynechány z vystavených certifikát. Chcete-li toto chování změnit, spusťte příkaz následující příkazy dotaz na serveru spuštěná služba Certifikační úřad. Stiskněte klávesu ENTER Po každém příkazu.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Jak vytvořit a odeslat žádost o certifikát

Po odeslání žádosti o certifikát do certifikačního úřadu rozlehlé sítě Šablona certifikátu musí být nakonfigurován na použití sítě SAN v žádosti o místo použití informací z adresářové služby Active Directory. Verze 1 Šablony serveru WWW lze vyžádat certifikát, který bude podporovat LDAP nad protokol SSL (Secure Sockets Layer) (SSL). Šablony verze 2 můžete nakonfigurovat tak, aby načtení sítě SAN ze žádosti o certifikát nebo ze služby Active Directory. K vydávání certifikátů založených na šablonách verze 2, certifikační Autoritu rozlehlé sítě. musí být spuštěna na Windows Server 2003, Enterprise Edition systémem počítač.

Při vyžádání samostatného certifikačního úřadu certifikátu. šablony nejsou používány. Proto SAN musí vždy obsahovat žádost o certifikát. SAN atributy mohou být přidány k požadavku, který je vytvořen pomocí programu Certreq.exe. Nebo lze zahrnout atributy SAN požadavky, které jsou odeslány pomocí webové stránky pro zápis.

Použití webové stránky pro zápis k odeslání žádosti o certifikát certifikačnímu úřadu rozlehlé

Odeslat žádost o certifikát obsahující SAN na podnikové certifikační Autority, postupujte takto:
  1. Spusťte aplikaci Internet Explorer.
  2. V aplikaci Internet Explorer připojení k http://název_serveru/ certsrv.

    Poznámka: název_serveru název webu Server se systémem Windows Server 2003 a že má certifikační úřad, který chcete přístup.
  3. Klepněte na tlačítko Žádost o certifikát.
  4. Klepněte na tlačítko Advanced certificate požadavek.
  5. Klepněte na tlačítko Vytvořit a odeslat žádost o to CERTIFIKAČNÍ ÚŘAD.
  6. V Šablona certifikátu Klepněte na položkuWebový Server.

    Poznámka: CÚ musí být konfigurován k vydávání certifikátů serveru WWW. Jste pravděpodobně třeba přidat webový Server šablonu do složky Šablony certifikátů modulu snap-in Certifikační úřad v případě, že certifikační úřad již není nakonfigurován pro vydávání certifikátů serveru WWW.
  7. Identifikační údaje podle potřeby.
  8. V Název zadejte plně kvalifikovaný název domény na řadič domény.
  9. Ve skupinovém rámečku Možnosti klíče, nastavte následující možnosti:
    • Vytvořit novou sadu klíčů
    • CSP: Microsoft RSA SChannel Cryptographic Zprostředkovatel
    • Použití klíče: Exchange
    • Velikost klíče: 1024-16384
    • Automatické kontejneru klíče název
    • Úložiště certifikátů v místním počítači úložiště certifikátů
  10. Ve skupinovém rámečku Upřesnit možnosti, nastavte žádost Formát CMC.
  11. V Atributy Zadejte požadované množství Atributy SAN. Atributy SAN následující formu:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Více názvů DNS jsou odděleny znak ampersand (&). Pro například, pokud je název řadiče domény, corpdc1.fabrikam.com a Alias je ldap.fabrikam.com, oba tyto názvy musí být součástí sítě SAN atributy. Výsledný řetězec atributu se zobrazí takto:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klepněte na tlačítko Odeslat.
  13. Pokud zjistíte, Certifikát vystaven Web Klepněte na možnost Nainstalovat tento certifikát.

Použití webové stránky pro zápis k odeslání žádosti o certifikát samostatnému certifikačnímu úřadu

Odeslání žádosti o certifikát, která zahrnuje SAN na samostatný certifikační úřad, postupujte takto:
  1. Spusťte aplikaci Internet Explorer.
  2. V aplikaci Internet Explorer připojení k http://název_serveru/ certsrv.

    Poznámka: název_serveru název webu Server se systémem Windows Server 2003 a že má certifikační úřad, který chcete přístup.
  3. Klepněte na tlačítko Žádost o certifikát.
  4. Klepněte na tlačítko Advanced certificate požadavek.
  5. Klepněte na tlačítko Vytvořit a odeslat žádost o to CERTIFIKAČNÍ ÚŘAD.
  6. Identifikační údaje podle potřeby.
  7. V Název zadejte plně kvalifikovaný název domény na řadič domény.
  8. V Potřebný typ certifikátu serveruKlepněte na položku Certifikát ověření serveru.
  9. Ve skupinovém rámečku Možnosti klíče, nastavte následující možnosti:
    • Vytvořit novou sadu klíčů
    • CSP: Microsoft RSA SChannel Cryptographic Zprostředkovatel
    • Použití klíče: Exchange
    • Velikost klíče: 1024-16384
    • Automatické kontejneru klíče název
    • Úložiště certifikátů v místním počítači úložiště certifikátů
  10. Ve skupinovém rámečku Upřesnit možnosti, nastavte žádost formátovat jako CMC.
  11. V Atributy Zadejte požadované množství Atributy SAN. Atributy SAN následující formu:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Více názvů DNS jsou odděleny znak ampersand (&). Pro například, pokud je název řadiče domény, corpdc1.fabrikam.com a Alias je ldap.fabrikam.com, oba tyto názvy musí být součástí sítě SAN atributy. Výsledný řetězec atributu se zobrazí takto:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klepněte na tlačítko Odeslat.
  13. Je-li certifikační úřad není konfigurován k vydávání certifikátů automaticky Čekající žádost Zobrazí se webová stránka a požadavky čekat správce vydá certifikát, který byl požádal.

    Načíst certifikát, který má správce vydáno, připojit k http://název_serveru/ certsrv, a Klepněte na tlačítko Zkontrolovat certifikát čekající na vyřízení. Klepněte na požadovanou certifikát a pak klepněte na tlačítko Další.

    Pokud certifikát byl vydán, Certifikát vystaven Zobrazí se webová stránka. Klepněte na tlačítko Nainstalovat tento certifikát instalace certifikát.

Jak použít nástroj Certreq.exe k vytvoření a odeslání žádosti o certifikát, který obsahuje SAN

Použití nástroje Certreq.exe k vytvoření a odeslání certifikátu požadavek, postupujte takto:
  1. Vytvořit soubor s příponou INF, který určuje nastavení žádost o certifikát. Následující ukázkový kód můžete vytvořit soubor .inf soubor.
    [Version] 

Signature="$Windows NT$ 

[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE  ; TRUE = Private key is exportable
KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
			  ;    4096, 8192, 16384
KeySpec = 1             ; Key Exchange
KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
	
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
	
[RequestAttributes]
CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"

Important Notes:  1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file. 

     b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
  2. Uložte soubor jako Request.inf.
  3. Otevřete příkazový řádek.
  4. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    certreq-nové certnew.req request.inf
    Tento příkaz používá informace v souboru Request.inf Vytvořte požadavek ve formátu, který je zadán hodnotou RequestType v soubor INF. Když je vytvořen požadavek, je dvojice veřejného a soukromého klíče automaticky generované a pak vložit do požadavku objektu v zápisu požadavky na úložiště místního počítače.
  5. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    certreq-odeslat certnew.req certnew.cer
    Tento příkaz odešle žádost o certifikát certifikačního úřadu. Pokud existuje je více než jedné certifikační Autority v prostředí -config v příkazovém řádku lze použít přepínač žádost přímo určitým certifikačním úřadem. Pokud nepoužíváte -config Přepnout, budete vyzváni k vyberte certifikační úřad, ke kterému by měla být žádost předložena.

    Na -config přepínač používá následující formát odkázat na konkrétní certifikační Autority:
    název_počítače\Název certifikačního úřadu
    Předpokládejme například, že název certifikačního úřadu je Výjimka CA1 podnikové politiky a název domény je corpca1.fabrikam.com. Použít certreq příkaz spolu s –config Přepnout na zadat tento certifikační úřad, zadejte následující příkaz:
    certreq-předložit výjimka zásad CA1 - config "corpca1.fabrikam.com\Corporate" certnew.req certnew.cer
    Pokud je tento certifikační úřad rozlehlé a uživatel odešle požadavek má oprávnění pro čtení a zápis pro šablonu certifikátu je žádost předložena. Vydaný certifikát je uložen v souboru Certnew.cer. Je-li certifikační úřad samostatného certifikačního úřadu, žádost o certifikát bude v čekající na vyřízení stát, dokud ji správce certifikačního úřadu neschválí. Výstup certreq - odesílání příkaz obsahuje číslo ID žádosti předložené žádosti. Jakmile certifikát byl schválen, můžete načíst pomocí příkazu Číslo ID požadavku.
  6. Načíst certifikát použijte číslo ID požadavku. K to provést, zadejte následující příkaz a stiskněte klávesu ENTER:
    certreq-načtení Id_žádosti Certnew.cer
    Můžete použít také -config přepínač načíst z konkrétní žádosti o certifikát CERTIFIKAČNÍ ÚŘAD. Pokud -config přepínač není použit, budete vyzváni k vyberte certifikační úřad, z něhož Načíst certifikát.
  7. Na příkazovém řádku zadejte následující příkaz a poté stiskněte klávesu ENTER:
    certreq-přijmout certnew.cer
    Po načtení certifikátu, je nutné jej nainstalovat. To příkaz importuje certifikát do úložiště vhodné a pak odkazuje certifikát a soukromý klíč vytvořený v kroku 4.

Jak podávat žádost o certifikát certifikačního úřadu jiného výrobce

Chcete-li odeslat žádost o certifikát certifikačního úřadu jiného výrobce, nejprve vytvořit soubor žádosti o certifikát pomocí nástroje Certreq.exe. Je možné Odešlete žádost certifikačnímu úřadu jiného výrobce pomocí jakékoli metody je Tato možnost je vhodná pro tohoto dodavatele. Třetích stran, musí být schopny zpracovat žádosti o certifikát ve formátu CMC.

Poznámka: Většina dodavatelů předložit žádost o certifikát jako certifikát Podepisování požadavku (CSR).
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Další informace o povolení protokolu LDAP přes SSL společně se jiného certifikačního úřadu, klepněte na následující článek znalostní báze v článku znalostní báze Microsoft Knowledge Base:
321051
(http://support.microsoft.com/kb/321051/ )
Povolení protokolu LDAP přes SSL u jiného certifikačního úřadu
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 931351 - Poslední aktualizace: 22. května 2011 - Revize: 6.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Klíčová slova: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:931351
(http://support.microsoft.com/kb/931351/en-us/ )
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru