Wie Sie einen alternativen Namen ein gesichertes LDAP-Zertifikat hinzufügen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 931351 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel beschreibt das Hinzufügen von Alternativer Antragstellername (SAN) mit einem sicheren Lightweight Directory Access Protocol (LDAP)-Zertifikat. Das LDAP-Zertifikat wird an eine Zertifizierungsstelle (CA) gesendet, der auf einem Windows Server 2003-basierten Computer konfiguriert ist. Das SAN können Sie zu einem Domänencontroller herstellen mit einem Namen (DNS = Domain Name System) als den Namen des Computers. Dieser Artikel enthält Informationen dazu, wie Sie eine Zertifikat-Anforderung SAN-Attribute hinzugefügt werden, die an eine Unternehmenszertifizierungsstelle gesendet wird eine eigenständige Zertifizierungsstelle oder einer Drittanbieter Zertifizierungsstelle.

EINFÜHRUNG

Dieser Artikel beschreibt, wie ein gesichertes LDAP-Zertifikat eine SAN-Attribut hinzu. Dieser Artikel beschreibt außerdem die folgenden Schritte ausführen:
  • Konfigurieren Sie eine Zertifizierungsstelle, um ein SAN-Attribut aus einer Zertifikatsanforderung zu übernehmen.
  • Erstellen und Senden einer Zertifikatanforderung an eine Organisationszertifizierungsstelle.
  • Erstellen und Senden einer Zertifikatanforderung an eine eigenständige-AloneCA.
  • Erstellen Sie eine Zertifikat-Anforderung mithilfe der Certreq.exetool.
  • Erstellen und Senden einer Zertifikatanforderung an eine dritte-PartyCA.

Weitere Informationen

Erstellen und Senden einer Zertifikatanforderung

Wenn Sie eine Zertifikatanforderung an eine Organisationszertifizierungsstelle übermitteln, muss die Zertifikatvorlage das SAN in der Anforderung statt anhand der Informationen aus der Active Directory-Verzeichnisdienst verwenden, konfiguriert werden. Die Vorlage der Version 1-Webserver kann verwendet werden, um ein Zertifikat anzufordern, die LDAP über Secure Sockets Layer (SSL unterstützen). Vorlagen der Version 2 können die SAN aus der Zertifikatanforderung oder aus Active Directory abrufen konfiguriert werden. Zertifikate, die auf Vorlagen von Version 2 basieren wird, die die Enterprise-Zertifizierungsstelle auf einem Computer ausgeführt werden, muss Windows Server 2003 Enterprise Edition ausgeführt.

Wenn Sie eine Anforderung an eine eigenständige Zertifizierungsstelle senden, werden keine Zertifikatvorlagen verwendet. Die SAN muss daher immer in der Anforderung enthalten sein. SAN-Attribute können auf eine Anforderung, die mit dem Programm Certreq.exe erstellt wird, hinzugefügt werden. Oder SAN-Attribute in Anforderungen, die mithilfe der Webregistrierungsseiten gesendet werden aufgenommen werden können.

Wie Sie Webregistrierungsseiten eine Zertifikatanforderung an eine Organisationszertifizierungsstelle übermitteln

Um eine Zertifikat-Anforderung zu senden, die ein SAN an eine Unternehmenszertifizierungsstelle enthält, gehen Sie folgendermaßen vor:
  1. Öffnen Sie InternetExplorer.
  2. In Internet Explorer eine Verbindung Tohttp: / /Servername/ certsrv.

    Hinweis Der Platzhalter ServernameGibt den Namen des Webservers, auf dem Windows Server 2003 ausgeführt wird und dessen Zertifizierungsstelle, auf die Sie zugreifen möchten.
  3. Klicken Sie auf Zertifikat anfordern.
  4. Klicken Sie auf Erweiterte Zertifikatsanforderung.
  5. Klicken Sie auf Erstellen und einen Antrag auf ThisCA.
  6. Klicken Sie in der Liste Zertifikatvorlage aufWebserver.

    HinweisDie Zertifizierungsstelle muss zum Ausstellen von Webserverzertifikaten konfiguriert werden. Sie müssen die Webserver-Vorlage auf den Ordner Zertifikatvorlagen im Zertifizierungsstellen-Snap-in hinzufügen, wenn die Zertifizierungsstelle nicht bereits zum Ausstellen von Webserverzertifikaten konfiguriert ist.
  7. Bereitzustellen Sie Identifizierung erforderlichen Informationen.
  8. Geben Sie im Feld Name den vollständigen Qualifieddomain Namen des Domänencontrollers.
  9. Legen Sie unter Schlüsseloptionendas Followingoptions:
    • Neuen Schlüsselsatz erstellen
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Verwendung: Exchange
    • Schlüsselgröße: 1024-16384
    • Automatischer Schlüsselcontainername
    • Zertifikate im Zertifikatspeicher lokalen Computers
  10. Klicken Sie unter Erweiterte Optionenlegen Sie die Requestformat auf CMC.
  11. Geben Sie im Feld Attribute die Attribute DesiredSAN. SAN-Attribute besitzen die folgende Form:
    SAN: Dns =DNS.Name[& Dns =DNS.Name]
    Mehrere DNS-Namen werden durch ein kaufmännisches und-Zeichen (&) getrennt. Wenn der Name des Domänencontrollers corpdc1.fabrikam.com ist und der Alias ldap.fabrikam.com ist, müssen beide Namen in die SAN-Attribute enthalten. Die resultierende Attributzeichenfolge wird wie folgt angezeigt:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klicken Sie auf Absenden.
  13. Wenn Sie sehen die Zertifikat Webseite, klicken Sie aufdieses Zertifikat installieren.

Wie Sie Webregistrierungsseiten eine Zertifikatanforderung an eine eigenständige Zertifizierungsstelle senden

Gehen Sie folgendermaßen vor, um eine Zertifikat-Anforderung zu senden, die ein SAN an eine eigenständige Zertifizierungsstelle enthält:
  1. Öffnen Sie InternetExplorer.
  2. In Internet Explorer eine Verbindung Tohttp: / /Servername/ certsrv.

    Hinweis Der Platzhalter ServernameGibt den Namen des Webservers, auf dem Windows Server 2003 ausgeführt wird und dessen Zertifizierungsstelle, auf die Sie zugreifen möchten.
  3. Klicken Sie auf Zertifikat anfordern.
  4. Klicken Sie auf Erweiterte Zertifikatsanforderung.
  5. Klicken Sie auf Erstellen und einen Antrag auf ThisCA.
  6. Bereitzustellen Sie Identifizierung erforderlichen Informationen.
  7. Geben Sie im Feld Name den vollständigen Qualifieddomain Namen des Domänencontrollers.
  8. Klicken Sie in der Liste Typ des erforderlichen ZertifikatserverServerauthentifizierungszertifikat.
  9. Legen Sie unter Schlüsseloptionendas Followingoptions:
    • Neuen Schlüsselsatz erstellen
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Verwendung: Exchange
    • Schlüsselgröße: 1024-16384
    • Automatischer Schlüsselcontainername
    • Zertifikate im Zertifikatspeicher lokalen Computers
  10. Legen Sie unter Erweiterte Optionendas Requestformat als CMC.
  11. Geben Sie im Feld Attribute die Attribute DesiredSAN. SAN-Attribute besitzen die folgende Form:
    SAN: Dns =DNS.Name[& Dns =DNS.Name]
    Mehrere DNS-Namen werden durch ein kaufmännisches und-Zeichen (&) getrennt. Wenn der Name des Domänencontrollers corpdc1.fabrikam.com ist und der Alias ldap.fabrikam.com ist, müssen beide Namen in die SAN-Attribute enthalten. Die resultierende Attributzeichenfolge wird wie folgt angezeigt:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klicken Sie auf Senden
  13. Die Zertifizierungsstelle ist nicht so konfiguriert, dass die Ausgabe von Certificatesautomatically, eine Webseite Zertifikat steht nochwird angezeigt und fordert an, dass Sie warten, bis ein Administrator das Zertifikat ausstellt, das angefordert wurde.

    Um ein Zertifikat abzurufen, die ein Administrator Hasissued Verbinden mit http://Servername/ Certsrv ein, und dann klicken Sie auf auf ein ausstehendes Zertifikat überprüfen. Klicken Sie auf die Requestedcertificate, und klicken Sie dann auf Weiter.

    Wenn die Certificatewas erteilt, die WebseiteZertifikatangezeigt wird. Klicken Sie aufdieses Zertifikat installieren , um Thecertificate zu installieren.

Wie Sie das Dienstprogramm Certreq.exe zum Erstellen und Übermitteln einer Zertifikatanforderung, die ein SAN enthält

Gehen Sie folgendermaßen vor, um das Dienstprogramm Certreq.exe zum Erstellen und Senden einer Zertifikatanforderung:
  1. Erstellen Sie eine INF-Datei, die die Einstellungen für die Zertifikatanforderung angibt. Um eine INF-Datei zu erstellen, können Sie im Beispielcode im Abschnitt "Erstellen einer RequestPolicy.inf-Datei" von der folgenden Microsoft TechNet-Artikel:
    Zum Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen
    SANs können im Abschnitt [Extensions] enthalten sein. Beispiele finden Sie in der INF-Beispieldatei.
  2. Speichern Sie die Datei als "Request.inf".
  3. Öffnen Sie eine Eingabeaufforderung.
  4. Geben Sie an der Eingabeaufforderung den folgenden Befehl und Thenpress Sie die EINGABETASTE:
    certreq -new request.inf certnew.req
    Dieser Befehl verwendet die Informationen in der "Request.inf" Datei mit der Einrichtung einer Anforderung in das Format, das von der RequestType-Wert in der INF-Datei angegeben wird. Wenn die Anforderung erstellt wird, die Isautomatically Paar aus öffentlichem und privatem Schlüssel generiert und in ein Anforderungsobjekt im Enrollmentrequests Speicher auf dem lokalen Computer.
  5. Geben Sie an der Eingabeaufforderung den folgenden Befehl und Thenpress Sie die EINGABETASTE:
    certreq -submit certnew.req certnew.cer
    Dieser Befehl sendet die Zertifikatsanforderung an die Zertifizierungsstelle. Wenn dagegen mehr als eine Zertifizierungsstelle in der Umgebung, der Switch - Konfiguration kann in der Befehlszeile verwendet werden, um die Anforderung an die Zertifizierungsstelle darstellt umzuleiten. Wenn Sie nicht den Config -Schalter verwenden, werden Sie aufgefordert, die Zertifizierungsstelle auswählen, an den die Anforderung gesendet werden soll.

    Der Switch - Konfiguration verwendet das folgende Format auf eine bestimmte Zertifizierungsstelle verweisen:
    Computername\Zertifizierungsstellennamen
    Angenommen Sie, dass der Zertifizierungsstellenname Unternehmens Zertifizierungsstelle 1 der Richtlinie und der Domänenname corpca1.fabrikam.com ist. Dem Certreq -Befehl zusammen mit der Switch-Tospecify ? config dieser Zertifizierungsstelle verwenden möchten, geben Sie den folgenden Befehl ein:
    Certreq-Richtlinie Zertifizierungsstelle 1 - Config "corpca1.fabrikam.com\Corporate" certnew.req certnew.cer senden
    Wenn diese Zertifizierungsstelle eine Unternehmenszertifizierungsstelle handelt und der Benutzer, der Thecertificate-Anforderung sendet die Berechtigungen Lesen und Registrieren für die Vorlage hat, wird die Therequest übermittelt. Das ausgestellte Zertifikat wird in der Datei Certnew.cer gespeichert.Wenn es sich bei der Zertifizierungsstelle um eine eigenständige Zertifizierungsstelle handelt, werden die Zertifikatsanforderung in einer Pendingstate, bis es vom Administrator Zertifizierungsstelle zugelassen ist. Die Ausgabe der Certreq-submitBefehl enthält die Anforderungs-ID-Nummer der gesendeten Anforderung. Sobald das Zertifikat genehmigt wurde, kann es wird anhand der Nummer der Serviceanfrage-ID abgerufen werden.
  6. Verwenden Sie die Serviceanfrage-ID-Nummer, um das Zertifikat abzurufen. TODO, geben Sie folgenden Befehl ein, und drücken Sie die EINGABETASTE:
    Certreq-abrufen Anforderungs-ID Certnew.cer
    Sie können auch den Config - Schalter hier verwenden, die Zertifikatanforderung von einer SpecificCA abgerufen. Wenn die Option - Config nicht verwendet wird, werden Sie aufgefordert, Whichto Abrufen des Zertifikats die Zertifizierungsstelle auswählen.
  7. Geben Sie an der Eingabeaufforderung den folgenden Befehl und Thenpress Sie die EINGABETASTE:
    certreq -accept certnew.cer
    Nachdem Sie das Zertifikat abgerufen haben, müssen Sie es installieren. Thiscommand das Zertifikat in den entsprechenden Informationsspeicher importiert und verknüpft dann Thecertificate auf den privaten Schlüssel, der in Schritt 4 erstellt wird.

Wie Sie eine Zertifikatanforderung an eine Fremdanbieter-Zertifizierungsstelle senden

Wenn Sie eine Zertifikatanforderung an eine Fremdanbieter-Zertifizierungsstelle senden möchten, verwenden Sie zunächst des Tools Certreq.exe zum Erstellen der Zertifikatsanforderungsdatei. Sie können dann die Anforderung an die Fremdanbieter Zertifizierungsstelle senden, mit welcher Methode für diesen Kreditor geeignet ist. Drittanbieter muss in das CMC-Format verarbeiten können.

Hinweis Die meisten Anbieter finden Sie in der Zertifikatanforderung als ein Certificate Signing Request (CSR).

Informationsquellen

Weitere Informationen über das Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
321051 Gewusst wie: Aktivieren von LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle

Weitere Informationen dazu, wie Sie ein Zertifikat anfordern, einen benutzerdefinierten alternativen Antragstellernamen verfügt, finden Sie auf der folgenden Microsoft TechNet-Website:
Zum Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen
Weitere Informationen zur Verwendung von Certutil-Tasks zum Verwalten einer Zertifizierungsstelle (CA) finden Sie auf der folgenden Website von MicrosoftDeveloper Network (MSDN):

Eigenschaften

Artikel-ID: 931351 - Geändert am: Mittwoch, 12. März 2014 - Version: 4.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Keywords: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 931351
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com