Πώς μπορείτε να προσθέσετε ένα όνομα εναλλακτική θέματος πιστοποιητικού ασφαλούς LDAP

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 931351 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Αυτό το άρθρο περιγράφει τον τρόπο προσθήκης ενός πιστοποιητικού ασφαλούς Lightweight Directory Access Protocol (LDAP) ένα εναλλακτικό όνομα θέματος (SAN). Το πιστοποιητικό LDAP υποβάλλεται σε μια αρχή έκδοσης πιστοποιητικών (CA) που έχει ρυθμιστεί σε έναν υπολογιστή που βασίζεται σε Microsoft Windows Server 2003. Το SAN σάς επιτρέπει να συνδέεστε σε έναν ελεγκτή τομέα, χρησιμοποιώντας ένα όνομα συστήματος ονομάτων τομέα (DNS), εκτός από το όνομα του υπολογιστή. Αυτό το άρθρο περιλαμβάνει πληροφορίες σχετικά με τον τρόπο προσθήκης SAN χαρακτηριστικά σε μια αίτηση πιστοποιητικού που υποβάλλεται σε μια εταιρική αρχή έκδοσης Πιστοποιητικών, μια αυτόνομη αρχή έκδοσης Πιστοποιητικών ή μιας αρχής έκδοσης Πιστοποιητικών άλλων κατασκευαστών.

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιγράφει τον τρόπο προσθήκης ενός χαρακτηριστικού SAN πιστοποιητικού ασφαλούς LDAP. Αυτό το άρθρο εξετάζει επίσης τον τρόπο για να κάνετε τα εξής:
  • Ρυθμίστε τις παραμέτρους μιας αρχής έκδοσης Πιστοποιητικών για την αποδοχή ενός χαρακτηριστικού SAN από μια αίτηση πιστοποιητικού.
  • Δημιουργία και υποβολή μιας αίτησης πιστοποιητικού σε μια εταιρική αρχή έκδοσης Πιστοποιητικών.
  • Δημιουργία και υποβολή μιας αίτησης πιστοποιητικού σε μια αυτόνομη αρχή έκδοσης Πιστοποιητικών.
  • Δημιουργήσετε μια αίτηση πιστοποιητικού χρησιμοποιώντας το Certreq.exe εργαλείο.
  • Δημιουργία και υποβολή μιας αίτησης πιστοποιητικού σε μια αρχή έκδοσης Πιστοποιητικών άλλων κατασκευαστών.

Περισσότερες πληροφορίες

Τρόπος ρύθμισης των παραμέτρων μιας αρχής έκδοσης Πιστοποιητικών για την αποδοχή ενός χαρακτηριστικού SAN από μια αίτηση πιστοποιητικού

Από προεπιλογή, μια αρχή έκδοσης Πιστοποιητικών που έχει ρυθμιστεί σε έναν υπολογιστή που βασίζεται στον Windows Server 2003 δεν εκδίδει πιστοποιητικά, τα οποία περιέχουν την επέκταση SAN. Εάν οι εγγραφές SAN συμπεριλαμβάνονται στην αίτηση πιστοποιητικού, αυτές οι καταχωρήσεις παραλείπονται από το πιστοποιητικό που εκδίδεται. Για να αλλάξετε αυτήν τη συμπεριφορά, εκτελέστε τις ακόλουθες εντολές στη γραμμή εντολών του διακομιστή που εκτελεί την υπηρεσία αρχής έκδοσης πιστοποιητικών. Πιέστε το πλήκτρο ENTER έπειτα από κάθε εντολή.
certutil - policy\EditFlags setreg + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

Πώς να δημιουργήσετε και να υποβάλετε μια αίτηση πιστοποιητικού

Όταν υποβάλετε αίτηση για πιστοποιητικό σε μια εταιρική αρχή έκδοσης Πιστοποιητικών, το πρότυπο πιστοποιητικού πρέπει να ρυθμιστεί να χρησιμοποιεί το SAN στην αίτηση αντί να χρησιμοποιήσετε πληροφορίες από την υπηρεσία καταλόγου Active Directory. Το πρότυπο Web Server της έκδοσης 1 μπορεί να χρησιμοποιηθεί για να ζητήσετε ένα πιστοποιητικό το οποίο θα υποστηρίζει LDAP μέσω του Secure Sockets Layer (SSL). Έκδοση 2 πρότυπα μπορούν να ρυθμιστούν για να ανακτήσετε το SAN από την αίτηση πιστοποιητικού ή από την υπηρεσία καταλόγου Active Directory. Να εκδίδει πιστοποιητικά που βασίζονται σε πρότυπα έκδοση 2, η εταιρική αρχή έκδοσης Πιστοποιητικών πρέπει να εκτελείται στον Windows Server 2003, Enterprise Edition που βασίζεται σε υπολογιστή.

Όταν υποβάλετε μια αίτηση σε μια αυτόνομη αρχή έκδοσης Πιστοποιητικών, τα πρότυπα πιστοποιητικών δεν χρησιμοποιούνται. Επομένως, το SAN πρέπει να συμπεριλαμβάνονται πάντα στην αίτηση πιστοποιητικού. Χαρακτηριστικά SAN μπορούν να προστεθούν σε μια αίτηση που έχει δημιουργηθεί με χρήση του προγράμματος Certreq.exe. Εναλλακτικά, SAN χαρακτηριστικά μπορούν να συμπεριληφθούν σε αιτήσεις που υποβάλλονται, χρησιμοποιώντας τις σελίδες εγγραφής στο Web.

How to use Web enrollment pages to submit a certificate request to an enterprise CA

To submit a certificate request that contains a SAN to an enterprise CA, follow these steps:
  1. Open Internet Explorer.
  2. In Internet Explorer, connect to http://ΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗ/certsrv.

    ΣΗΜΕΙΩΣΗΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗis the name of the Web server that is running Windows Server 2003 and that has the CA that you want to access.
  3. Κάντε κλικΑίτηση για πιστοποιητικό.
  4. Κάντε κλικAdvanced certificate request.
  5. Κάντε κλικCreate and submit a request to this CA.
  6. ΣτοCertificate Templateλίστα, κάντε κλικ στο κουμπίΔιακομιστής Web.

    ΣΗΜΕΙΩΣΗThe CA must be configured to issue Web Server certificates. You may have to add the Web Server template to the Certificate Templates folder in the Certification Authority snap-in if the CA is not already configured to issue Web Server certificates.
  7. Provide identifying information as required.
  8. ΣτοNAMEbox, type the fully qualified domain name of the domain controller.
  9. underKey Options, set the following options:
    • Create a new key set
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Key Usage: Exchange
    • Key Size: 1024 - 16384
    • Automatic key container name
    • Store certificate in the local computer certificate store
  10. underΕπιλογές για προχωρημένους, set the request format toCMC.
  11. ΣτοΧαρακτηριστικάbox, type the desired SAN attributes. SAN attributes take the following form:
    san:dns=dns.name[&dns=dns.name]
    Multiple DNS names are separated by an ampersand (&). For example, if the name of the domain controller is corpdc1.fabrikam.com and the alias is ldap.fabrikam.com, both of these names must be included in the SAN attributes. The resulting attribute string appears as follows:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. Κάντε κλικΥποβολή.
  13. If you see theCertificate IssuedWeb page, clickInstall this Certificate.

How to use Web enrollment pages to submit a certificate request to a stand-alone CA

To submit a certificate request that includes a SAN to a stand-alone CA, follow these steps:
  1. Open Internet Explorer.
  2. In Internet Explorer, connect to http://ΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗ/certsrv.

    ΣΗΜΕΙΩΣΗΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗis the name of the Web server that is running Windows Server 2003 and that has the CA that you want to access.
  3. Κάντε κλικΑίτηση για πιστοποιητικό.
  4. Κάντε κλικAdvanced certificate request.
  5. Κάντε κλικCreate and submit a request to this CA.
  6. Provide identifying information as required.
  7. ΣτοNAMEbox, type the fully qualified domain name of the domain controller.
  8. ΣτοType of Certificate Needed Serverλίστα, κάντε κλικ στο κουμπίServer Authentication Certificate.
  9. underKey Options, set the following options:
    • Create a new key set
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Key Usage: Exchange
    • Key Size: 1024 - 16384
    • Automatic key container name
    • Store certificate in the local computer certificate store
  10. underΕπιλογές για προχωρημένους, set the request format asCMC.
  11. ΣτοΧαρακτηριστικάbox, type the desired SAN attributes. SAN attributes take the following form:
    san:dns=dns.name[&dns=dns.name]
    Multiple DNS names are separated by an ampersand (&). For example, if the name of the domain controller is corpdc1.fabrikam.com and the alias is ldap.fabrikam.com, both of these names must be included in the SAN attributes. The resulting attribute string appears as follows:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. Click Submit.
  13. If the CA is not configured to issue certificates automatically, aCertificate PendingWeb page appears and requests that you wait for an administrator to issue the certificate that was requested.

    To retrieve a certificate that an administrator has issued, connect to http://ΟΝΟΜΑ_ΔΙΑΚΟΜΙΣΤΗ/certsrv, and then clickCheck on a Pending Certificate. Click the requested certificate, and then clickΕπόμενο.

    If the certificate has been issued, theCertificate IssuedWeb page appears. Κάντε κλικInstall this Certificateto install the certificate.

How to use the Certreq.exe utility to create and submit a certificate request that includes a SAN

To use the Certreq.exe utility to create and submit a certificate request, follow these steps:
  1. Create an .inf file that specifies the settings for the certificate request. You can use the following sample code to create an .inf file.
    [Version] 
    
    Signature="$Windows NT$ 
    
    [NewRequest]
    Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
    EncipherOnly = FALSE
    Exportable = FALSE  ; TRUE = Private key is exportable
    KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
    			  ;    4096, 8192, 16384
    KeySpec = 1             ; Key Exchange
    KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    	
    ; Omit entire section if CA is an enterprise CA
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    	
    [RequestAttributes]
    CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
    SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
    
    
  2. Save the file as Request.inf.
  3. Ανοίξτε μια γραμμή εντολών.
  4. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και πιέστε το πλήκτρο ENTER:
    certreq -new request.inf certnew.req
    This command uses the information in the Request.inf file to create a request in the format that is specified by the RequestType value in the .inf file. When the request is created, the public and private key pair is automatically generated and then put in a request object in the enrollment requests store on the local computer.
  5. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και πιέστε το πλήκτρο ENTER:
    certreq -submit certnew.req certnew.cer
    Αυτή η εντολή υποβάλλει την αίτηση πιστοποιητικού, η αρχή έκδοσης πιστοποιητικών. Εάν υπάρχουν περισσότερες από μία αρχή έκδοσης Πιστοποιητικών στο περιβάλλον, το-configο διακόπτης μπορεί να χρησιμοποιηθεί στη γραμμή εντολών για να κατευθύνει την αίτηση για μια συγκεκριμένη αρχή έκδοσης Πιστοποιητικών. Εάν δεν θέλετε να χρησιμοποιήσετε το-configΕναλλαγή, θα σας ζητηθεί να επιλέξετε την αρχή έκδοσης Πιστοποιητικών στο οποίο πρέπει να υποβληθούν στην αίτηση.

    Για να-configο διακόπτης χρησιμοποιεί την εξής μορφή για να αναφερθείτε σε μια συγκεκριμένη αρχή έκδοσης Πιστοποιητικών:
    computerName\Όνομα αρχής έκδοσης πιστοποιητικών
    Για παράδειγμα, ας υποθέσουμε ότι το όνομα της αρχής έκδοσης Πιστοποιητικών είναι εταιρική πολιτική CA1 και ότι το όνομα τομέα είναι corpca1.fabrikam.com. Για να χρησιμοποιήσετε τοCertreqεντολή μαζί με το–configΕναλλαγή για να καθορίσετε αυτήν την αρχή έκδοσης Πιστοποιητικών, πληκτρολογήστε την ακόλουθη εντολή:
    Certreq - υποβολή - config "corpca1.fabrikam.com\Corporate CA1 πολιτικής" certnew.req certnew.cer
    Εάν αυτή η αρχή έκδοσης Πιστοποιητικών είναι μια εταιρική αρχή έκδοσης Πιστοποιητικών και ο χρήστης που υποβάλλει την αίτηση πιστοποιητικού έχει δικαιώματα ανάγνωσης και εγγραφή για το πρότυπο, υποβάλλεται η αίτηση. Το πιστοποιητικό που εκδίδεται αποθηκεύεται στο αρχείο Certnew.cer. Εάν η CA είναι μια αυτόνομη αρχή έκδοσης Πιστοποιητικών, θα την αίτηση για πιστοποιητικό σε εκκρεμή κατάσταση μέχρι να εγκριθεί από το διαχειριστή της αρχής έκδοσης Πιστοποιητικών. Η έξοδος από τοCertreq - υποβολήη εντολή περιέχει τον αριθμό Αναγνωριστικό αίτησης της υποβολής αίτησης. Μόλις το πιστοποιητικό έχει εγκριθεί, μπορεί να ανακτηθεί χρησιμοποιώντας τον αριθμό Αναγνωριστικού της αίτησης.
  6. Χρησιμοποιήστε τον αριθμό Αναγνωριστικού της αίτησης για να ανακτήσετε το πιστοποιητικό. Για να το κάνετε αυτό, πληκτρολογήστε την ακόλουθη εντολή και στη συνέχεια πιέστε το πλήκτρο ENTER:
    Certreq - ανάκτησηRequestIDCertnew.cer
    Μπορείτε επίσης να χρησιμοποιήσετε το-configΜεταβείτε εδώ για να ανακτήσετε την αίτηση για πιστοποιητικό από μια συγκεκριμένη αρχή έκδοσης Πιστοποιητικών. Αν υπάρχει ήδη ο φάκελος-configδιακόπτης δεν χρησιμοποιείται, θα σας ζητηθεί να επιλέξετε την αρχή έκδοσης Πιστοποιητικών από την οποία μπορείτε να ανακτήσετε το πιστοποιητικό.
  7. Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και πιέστε το πλήκτρο ENTER:
    Certreq - αποδοχή certnew.cer
    Μετά την ανάκτηση του πιστοποιητικού, πρέπει να το εγκαταστήσετε. Αυτή η εντολή εισαγάγει το πιστοποιητικό στον κατάλληλο χώρο αποθήκευσης και στη συνέχεια συνδέει το πιστοποιητικό με το ιδιωτικό κλειδί που δημιουργήθηκε στο βήμα 4.

Πώς μπορείτε να υποβάλετε αίτηση για πιστοποιητικό σε μια αρχή έκδοσης Πιστοποιητικών άλλων κατασκευαστών

Εάν θέλετε να υποβάλετε αίτηση για πιστοποιητικό σε μια αρχή έκδοσης Πιστοποιητικών άλλων κατασκευαστών, χρησιμοποιήστε πρώτα το εργαλείο Certreq.exe για να δημιουργήσετε το αρχείο αίτησης πιστοποιητικού. Στη συνέχεια, μπορείτε να υποβάλετε την αίτηση στην αρχή έκδοσης πιστοποιητικών άλλων κατασκευαστών, χρησιμοποιώντας οποιαδήποτε μέθοδο που είναι κατάλληλη για αυτόν τον προμηθευτή. Τρίτου κατασκευαστή πρέπει να διαδικασίας αιτήσεις πιστοποιητικών με τη μορφή CMC.

ΣΗΜΕΙΩΣΗΟι περισσότεροι προμηθευτές αναφέρονται στην αίτηση πιστοποιητικού με ένα πιστοποιητικό υπογραφής αίτησης (CSR).

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης του LDAP μέσω SSL μαζί με μια αρχή έκδοσης πιστοποιητικών άλλων κατασκευαστών, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
321051Τρόπος ενεργοποίησης του LDAP στο SSL με μια αρχή έκδοσης πιστοποιητικών άλλου κατασκευαστή

Ιδιότητες

Αναγν. άρθρου: 931351 - Τελευταία αναθεώρηση: Παρασκευή, 24 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Λέξεις-κλειδιά: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:931351

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com