Cómo agregar un nombre alternativo del sujeto a un certificado LDAP seguro

Este artículo describe cómo agregar un atributo de SAN a un certificado LDAP seguro. En este artículo también se explica cómo hacer lo siguiente:

• Configurar una entidad emisora de certificados para que acepte un atributo de SAN de un certificado solicitud.
• Crear y enviar una solicitud de certificado a una empresa ENTIDAD EMISORA DE CERTIFICADOS.
• Crear y enviar una solicitud de certificado a un complemento independiente ENTIDAD EMISORA DE CERTIFICADOS.
• Crear una solicitud de certificado mediante el uso de la Certreq.exe herramienta.
• Crear y enviar una solicitud de certificado a un tercero ENTIDAD EMISORA DE CERTIFICADOS.

Cómo configurar una entidad emisora de certificados para que acepte un atributo de SAN desde una solicitud de certificado

De forma predeterminada, una entidad emisora de certificados está configurada en un servidor de Windows equipo basado en 2003 no emite certificados que contienen la extensión de SAN. Si hay entradas SAN incluido en la solicitud de certificado, se omiten estas entradas de emitido certificado. Para cambiar este comportamiento, ejecute los siguientes comandos en el símbolo símbolo del sistema en el servidor que ejecuta el servicio de entidad emisora de certificados. Presione ENTRAR Después de cada comando.

Cómo crear y enviar una solicitud de certificado

Cuando envíe una solicitud de certificado a una entidad emisora de certificados de empresa el plantilla de certificado debe configurarse para usar el SAN en la solicitud en su lugar del uso de información desde el servicio de directorio de Active Directory. La versión 1 Plantilla de servidor Web puede utilizarse para solicitar un certificado que será compatible con LDAP a través de la capa de Sockets seguros (SSL). Las plantillas de versión 2 pueden configurarse para recuperar el SAN de la solicitud de certificado o de Active Directory. Para emitir certificados basados en plantillas de versión 2, la entidad emisora de certificados de empresa debe ejecutarse en Windows Server 2003, Enterprise Edition con equipo.

Cuando envíe una solicitud para una CA independiente, de certificados no se usan plantillas. Por lo tanto, la SAN debe estar incluida siempre en el solicitud de certificado. Los atributos de SAN pueden agregarse a una solicitud que se ha creado mediante el programa de Certreq.exe. O bien, pueden incluir en los atributos de SAN solicitudes enviadas mediante el uso de las páginas de inscripción en Web.

Cómo utilizar páginas de inscripción en Web para enviar una solicitud de certificado a una entidad emisora de certificados de empresa

Para enviar una solicitud de certificado que contiene un SAN para una entidad emisora de certificados, siga estos pasos:

1. Abra el Explorador de Internet.
2. En el Explorador de Internet, conectarse a http://nombre del servidor/ certsrv.
   
   Nota nombre del servidor es el nombre de la Web servidor que ejecuta Windows Server 2003 y que tiene la entidad emisora de certificados que desea acceso.
3. Haga clic en Solicitar un certificado.
4. Haga clic en Avanzada de certificado solicitud.
5. Haga clic en Crear y enviar una solicitud a la siguiente ENTIDAD EMISORA DE CERTIFICADOS.
6. En el Plantilla de certificado Haga clic enServidor Web.
   
   Nota Debe configurar la entidad emisora de certificados para emitir certificados de servidor Web. Usted quizás tenga que agregar la plantilla de servidor Web a la carpeta de plantillas de certificado en el complemento entidad emisora de certificados, si la entidad emisora de certificados ya no está configurado para emitir certificados de servidor Web.
7. Proporcionar información de identificación según sea necesario.
8. En el Nombre cuadro de diálogo, escriba el nombre completo nombre de dominio del controlador de dominio.
9. Bajo Opciones de clave, los siguientes elementos opciones:
   • Crear un nuevo conjunto de claves
   • CSP: Microsoft RSA SChannel criptográfica Proveedor
   • Uso de claves: Exchange
   • Tamaño de clave: 1024-16384
   • Contenedor de claves automática nombre
   • Almacenar el certificado en el equipo local almacén de certificados
10. Bajo Opciones avanzadas, establezca la solicitud dar formato a CMC.
11. En el Atributos cuadro de diálogo, escriba el texto deseado Atributos de SAN. Los atributos de SAN adoptan la forma siguiente:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Varios nombres DNS están separados por un signo de y comercial (&). Para ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos de estos nombres deben incluirse en el SAN atributos. La cadena de atributo resultante aparece como sigue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
12. Haga clic en Enviar.
13. Si ve el Certificado emitido Web la página, haga clic en Instalar este certificado.

Cómo utilizar páginas de inscripción en Web para enviar una solicitud de certificado a una CA independiente

Para enviar una solicitud de certificado que incluya un SAN para una entidad emisora de certificados independiente, siga estos pasos:

1. Abra el Explorador de Internet.
2. En el Explorador de Internet, conectarse a http://nombre del servidor/ certsrv.
   
   Nota nombre del servidor es el nombre de la Web servidor que ejecuta Windows Server 2003 y que tiene la entidad emisora de certificados que desea acceso.
3. Haga clic en Solicitar un certificado.
4. Haga clic en Avanzada de certificado solicitud.
5. Haga clic en Crear y enviar una solicitud a la siguiente ENTIDAD EMISORA DE CERTIFICADOS.
6. Proporcionar información de identificación según sea necesario.
7. En el Nombre cuadro de diálogo, escriba el nombre completo nombre de dominio del controlador de dominio.
8. En el Es necesario de tipo de certificado de servidorHaga clic en Certificado de autenticación de servidor.
9. Bajo Opciones de clave, los siguientes elementos opciones:
   • Crear un nuevo conjunto de claves
   • CSP: Microsoft RSA SChannel criptográfica Proveedor
   • Uso de claves: Exchange
   • Tamaño de clave: 1024-16384
   • Contenedor de claves automática nombre
   • Almacenar el certificado en el equipo local almacén de certificados
10. Bajo Opciones avanzadas, establezca la solicitud dar formato como CMC.
11. En el Atributos cuadro de diálogo, escriba el texto deseado Atributos de SAN. Los atributos de SAN adoptan la forma siguiente:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Varios nombres DNS están separados por un signo de y comercial (&). Para ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos de estos nombres deben incluirse en el SAN atributos. La cadena de atributo resultante aparece como sigue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
12. Haga clic en enviar.
13. Si la entidad emisora de certificados no está configurado para emitir certificados automáticamente, un Certificado pendiente Aparecerá la página Web y las solicitudes que espere a que un administrador emita el certificado que fue solicitado.
    
    Para recuperar un certificado que tenga un administrador emitido, conéctese a http://nombre del servidor/ certsrv, y a continuación, haga clic en Comprobar un certificado pendiente. Haga clic en la información solicitada certificado y haga clic en Siguiente.
    
    Si el certificado se ha emitido, el Certificado emitido Aparecerá la página Web. Haga clic en Instalar este certificado Para instalar el certificado.

Cómo utilizar la utilidad Certreq.exe para crear y enviar una solicitud de certificado que incluya un SAN

Para utilizar la utilidad Certreq.exe para crear y presentar un certificado solicitar, siga estos pasos:

1. Crear un archivo .inf que especifica la configuración para el solicitud de certificado. Puede utilizar el siguiente código de ejemplo para crear un archivo .inf archivo.

   [Version] 
   
   Signature="$Windows NT$ 
   
   [NewRequest]
   Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
   EncipherOnly = FALSE
   Exportable = FALSE  ; TRUE = Private key is exportable
   KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
   			  ;    4096, 8192, 16384
   KeySpec = 1             ; Key Exchange
   KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
   MachineKeySet = True
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   RequestType = CMC
   	
   ; Omit entire section if CA is an enterprise CA
   [EnhancedKeyUsageExtension]
   OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
   	
   [RequestAttributes]
   CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
   SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
   
   Important Notes:  1) If you?re generating a request for a Windows 2008 and above, please remove ?EncipherOnly? option from the inf file. 
   
    b) If CA is a standalone CA, either remove ?CertificateTemplate = WebServer? option from the inf file or mark that as a comment by putting ; before the option. 

2. Guarde el archivo como Request.inf.
3. Abra un símbolo del sistema.
4. En el símbolo del sistema, escriba el siguiente comando y, a continuación presione ENTRAR:
   CertReq-nuevo certnew.req request.inf
   Este comando utiliza la información en el archivo Request.inf para crear una solicitud en el formato especificado por el valor de RequestType en el archivo inf. Cuando se crea la solicitud, es el par de claves público y privado genera automáticamente y, a continuación, colocar en una solicitud de objetos en la inscripción las solicitudes se almacenan en el equipo local.
5. En el símbolo del sistema, escriba el siguiente comando y, a continuación presione ENTRAR:
   CertReq-enviar certnew.cer certnew.req
   Este comando envía la solicitud de certificado a la entidad emisora de certificados. Si no existe es más de una entidad emisora de certificados en el entorno, el -config modificador puede utilizarse en la línea de comandos para dirigir la solicitud a una entidad emisora de certificados específicos. Si no utiliza el -config cambiar, se le pedirá seleccionar la entidad emisora de certificados a los que el deberá presentarse la solicitud.
   
   El -config modificador utiliza el siguiente formato para hacer referencia a una entidad emisora de certificados específicos:
   NombreDeEquipo\Nombre de la entidad emisora de certificados
   Por ejemplo, suponga que el nombre de la entidad emisora de certificados es CA1 de política corporativa y que el nombre de dominio es corpca1.fabrikam.com. Para utilizar el CertReq comando junto con el ?config cambiar a especificar esta entidad emisora de certificados, escriba el comando siguiente:
   CertReq-enviar certnew.cer de certnew.req de corpca1.fabrikam.com\Corporate"- config directiva CA1"
   Si esta entidad emisora de certificados es una entidad emisora de certificados de empresa y si el usuario que envíe el certificado de solicitud tiene permisos de lectura e inscripción para la plantilla, el se envía la solicitud. El certificado emitido se guarda en el archivo Certnew.cer. Si la entidad emisora de certificados es una CA independiente, la solicitud de certificado deberá estar en una pendiente estado hasta que se apruebe el Administrador de entidad emisora de certificados. El resultado de la CertReq - enviar comando contiene el número de ID. de solicitud de la solicitud presentada. Tan pronto como se ha aprobado el certificado, se puede recuperar mediante el uso de la Solicitar número de ID.
6. Utilice el número de ID de solicitud para recuperar el certificado. Para Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
   CertReq-recuperar RequestID Certnew.cer
   También puede utilizar el -config cambiar aquí para recuperar la solicitud de certificado de un determinado ENTIDAD EMISORA DE CERTIFICADOS. Si el -config modificador no se utiliza, se le pida para seleccionar la entidad emisora de certificados desde el que para recuperar el certificado.
7. En el símbolo del sistema, escriba el siguiente comando y, a continuación presione ENTRAR:
   CertReq-Aceptar certnew.cer
   Después de recuperar el certificado, debe instalarlo. Esto comando importa el certificado en el almacén adecuado y, a continuación, vincula la certificado de la clave privada que se creó en el paso 4.

Cómo enviar una solicitud de certificado a una entidad emisora de certificados de terceros

Si desea enviar una solicitud de certificado a una entidad emisora de certificados de terceros, en primer lugar, utilice la herramienta Certreq.exe para crear el archivo de solicitud de certificado. Se puede a continuación, envíe la solicitud a la entidad emisora de certificados de terceros utilizando el método que resulte apropiado para ese proveedor. El fabricante debe ser capaz de procesar solicitudes de certificados en el formato CMC.

Nota La mayoría de proveedores se refieren a la solicitud de certificado como un certificado Firma (CSR) de la solicitud.

Para obtener más información acerca de cómo habilitar LDAP sobre SSL junto con un entidad emisora de certificados de terceros, haga clic en el siguiente número para ver el artículo el artículo en Microsoft Knowledge Base:
Para obtener más información acerca de cómo solicitar un certificado que tenga un nombre alternativo del sujeto personalizada, visite el siguiente sitio Web de Microsoft TechNet: Para obtener más información acerca de cómo utilizar tareas de certutil para administrar una entidad emisora de certificados (CA), visite el siguiente sitio Web de Microsoft: