En este artículo se describe cómo agregar un Nombre alternativo del sujeto (SAN) a un certificado seguro de Protocolo ligero de acceso a directorios. El certificado LDAP se envía a una entidad emisora de certificados (CA) configurada en un equipo Microsoft Windows Server 2003-based. El SAN le permite conectar con un controlador de dominio utilizando un nombre de Sistema de nombres de dominio del nombre de equipo. Este Este artículo incluye información acerca de cómo agregar atributos SAN a una solicitud de certificación que se envía a una entidad emisora de certificados de empresa una entidad emisora de certificados independiente o una entidad emisora de certificados de tercero.
Cómo configurar una entidad emisora de certificados para aceptar un atributo SAN de una solicitud de certificado
De forma predeterminada, una entidad emisora de certificados configurada en un equipo basado en Windows Server 2003 no emite certificados que contienen la extensión SAN. Si se incluyen entradas SAN en la solicitud de certificado, se omite estas entradas del certificado emitido. Para cambiar este comportamiento, ejecute los comandos siguientes en un símbolo del sistema en el servidor que ejecuta el servicio Entidad emisora de certificados. Presione ENTRAR después de cada comando.
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 net stop certsvc net start certsvc
Cuando envía una solicitud de certificado a una entidad emisora de certificados de empresa, la plantilla de certificado debe estar configurada para utilizar el SAN en la solicitud en lugar de utilizar información del servicio de directorio de Active Directory. La plantilla Version 1 Web Server se puede utilizar para solicitar un certificado que será compatible con LDAP sobre el Secure Sockets Layer (SSL). Las plantillas de versión 2 se pueden configurar para recuperar el SAN de la solicitud de certificado o Active Directory. Para emitir certificados que se basan en plantillas de versión 2, la entidad emisora de certificados de empresa debe ejecutar equipo Enterprise Edition-based en un Windows Server 2003.
Cuando envía una solicitud a una entidad emisora de certificados independiente, no se utilizan plantillas de certificados. Por consiguiente, el SAN siempre se debe incluir en la solicitud de certificado. Los atributos SAN se pueden agregar a una solicitud que se crea utilizando el programa Certreq.exe. O se pueden incluir atributos SAN en solicitudes que se envían usando las páginas de inscripción en Web.
Cómo utilizar páginas de inscripción en Web para enviar una petición de certificado a una entidad emisora de certificados de empresa
Para enviar una solicitud de certificado que contiene un SAN a una entidad emisora de certificados de empresa, siga estos pasos:
Abra Internet Explorer.
En Internet Explorer, conecta a servername http:// / certsrv.
Servername nota es el nombre del servidor Web que ejecuta Windows Server 2003 y que tiene el CA al que desea tener acceso.
Haga clic en <UITERM>Solicitar un certificado</UITERM>
Haga clic en <UITERM>Solicitud de certificado avanzada</UITERM>
Hace clic en <UITERM> Crear y envía una solicitud a este </UITERM> de CA.
En la lista para plantilla de certificados, haga clic en Servidor Web.
Nota Las CA debe estar configurado para emitir certificados de servidor Web. Puede deber agregar la plantilla Servidor Web a la carpeta Plantillas de certificados en el complemento Entidad emisora de certificados si la entidad emisora de certificados ya no está configurada para emitir certificados de servidor Web.
Proporcione información necesaria que identifica.
En el cuadro Nombre, escriba el nombre de dominio completo del controlador de dominio.
En Opciones de clave, establezca las opciones siguientes:
Cree una definición clave nueva
CSP: Proveedor de servicios criptográficos Microsoft RSA SChannel
Uso de claves: Exchange
Proporciona tamaño : 1024 - 16384
Nombre de contenedor automático de claves
Almacene certificado en el almacén de certificados de equipo local
En Opciones avanzadas, establezca el formato de solicitud a CMC.
En el cuadro Atributos, escriba los atributos deseados SAN. Los atributos SAN toman la forma siguiente:
san:dns [ y dns ] = dns.name = dns.name
Varios nombres DNS son separados por un signo (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y si el alias es ldap.fabrikam.com, ambos nombres se deben incluir en los atributos SAN. La cadena resultante de atributo aparece como sigue:
Si ve la página Web Certificado emitido, haga clic en Install this Certificate.
Cómo utilizar páginas de inscripción en Web para enviar una solicitud de certificado a una entidad emisora de certificados independiente
Para enviar una solicitud de certificado que incluye un SAN a una entidad emisora de certificados independiente, siga estos pasos:
Abra Internet Explorer.
En Internet Explorer, conecta a servername http:// / certsrv.
Servername nota es el nombre del servidor Web que ejecuta Windows Server 2003 y que tiene el CA al que desea tener acceso.
Haga clic en <UITERM>Solicitar un certificado</UITERM>
Haga clic en <UITERM>Solicitud de certificado avanzada</UITERM>
Hace clic en <UITERM> Crear y envía una solicitud a este </UITERM> de CA.
Proporcione información necesaria que identifica.
En el cuadro Nombre, escriba el nombre de dominio completo del controlador de dominio.
En la lista Type of Certificate Needed Server, haga clic en Certificado de autenticación de servidor.
En Opciones de clave, establezca las opciones siguientes:
Cree una definición clave nueva
CSP: Proveedor de servicios criptográficos Microsoft RSA SChannel
Uso de claves: Exchange
Proporciona tamaño : 1024 - 16384
Nombre de contenedor automático de claves
Almacene certificado en el almacén de certificados de equipo local
En Opciones avanzadas, establezca el formato de solicitud como CMC.
En el cuadro Atributos, escriba los atributos deseados SAN. Los atributos SAN toman la forma siguiente:
san:dns [ y dns ] = dns.name = dns.name
Varios nombres DNS son separados por un signo (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y si el alias es ldap.fabrikam.com, ambos nombres se deben incluir en los atributos SAN. La cadena resultante de atributo aparece como sigue:
De estar configurada para emitir certificados automáticamente, si no hay una entidad emisora de certificados, una página Web Certificado pendiente aparece y solicita que espera al emitir un administrador el certificado que se solicitó.
Para recuperar un certificado que ha emitido un administrador, se conecta a servername http:// / certsrv y a continuación, hace clic en Check on a Pending Certificate. Haga clic en el certificado solicitado y a continuación, haga clic en Siguiente.
Si se ha emitido el certificado, la página Web Certificado emitido aparece. Haga clic en Install this Certificate para instalar el certificado.
Cómo utilizar la utilidad Certreq.exe para crear y enviar una petición de certificado que incluye un SAN
Para usar la utilidad Certreq.exe para crear y enviar una petición de certificado, siga estos pasos:
Cree un archivo .inf que especifica las configuraciones para la solicitud de certificado. Puede utilizar el código siguiente de ejemplo para crear un archivo .inf.
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 1024 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer ;Omit line if CA is a stand-alone CA
SAN="dns=.fabrikam.com&dns=ldap.fabrikam.com"
Guarde el archivo como Request.inf.
Abra un símbolo del sistema.
En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR
certreq -new request.inf certnew.req
Este comando utiliza la información en el archivo Request.inf para crear una solicitud en el formato especificado por el valor RequestType en el archivo .inf. Cuando se crea la solicitud, se genera automáticamente y a continuación, el par de clave pública y privada se coloca en un objeto de solicitud en el almacén de solicitudes de inscripción en el equipo local.
En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR
certreq -submit certnew.req certnew.cer
Este comando envía la solicitud de certificado a la entidad emisora de certificados. Si más de una entidad emisora de certificados está en el entorno el <B>- se puede utilizar config que conmuta </B> en la línea de comandos para dirigir la solicitud a una entidad emisora de certificados específica. - config </B> lo cambia, se le pedirá que seleccione la entidad emisora de certificados a la que se debería enviar la solicitud si no utiliza el <B>.
El <B> - config que conmuta </B> utiliza el formato siguiente para hacer referencia a una entidad emisora de certificados específica:
nombre de equipo \ Certification Authority Name
Por ejemplo, suponga que CA1 de Directiva Corporativo es el nombre de entidad emisora de certificados y que el nombre de dominio es corpca1.fabrikam.com. Para usar el comando certreq junto con el modificador ûconfig para especificar esta entidad emisora de certificados, escriba el comando siguiente:
Si esta entidad emisora de certificados es una entidad emisora de certificados de empresa y si el usuario que envía la solicitud de certificado tiene permisos de lectura e inscripción para la plantilla, se envía la solicitud. El certificado emitido se guarda en el archivo Certnew.cer. Si la entidad emisora de certificados es un CA independiente, la solicitud de certificado estará en un estado pendiente hasta que sea aprobado por el administrador de entidad emisora de certificados. La salida del comando certreq -submit contiene el número ID de Solicitud de la solicitud enviada. En cuanto se ha aprobado el certificado, se puede recuperar utilizando el número Solicitar ID.
Utilice el número Solicitar ID para recuperar el certificado. Para ello, escriba el comando siguiente y después, presione ENTRAR:
certreq -retrieve RequestID certnew.cer
También puede utilizar el <B> - config </B> lo cambia aquí para recuperar la solicitud de certificado de una entidad emisora de certificados específica. Si - el <B> config que conmuta </B> no se utiliza, se le pide que seleccione la entidad emisora de certificados de recuperar el certificado.
En el símbolo del sistema, escriba el comando siguiente y presione ENTRAR
certreq -accept certnew.cer
Después de recuperar el certificado, lo debe instalar. Este comando importa el certificado al almacén adecuado y a continuación, vincula el certificado a la clave privada que se crea en paso 4.
Cómo enviar una solicitud de certificado a una entidad emisora de certificados de tercero
Si desea enviar una solicitud de certificado a una entidad emisora de certificados de tercero, primero utilice la herramienta Certreq.exe para crear el archivo de solicitud de certificado. Puede enviar luego la solicitud a la entidad emisora de certificados de tercero utilizando cualquier método se adecua para aquel proveedor. El tercero debe ser capaz de procesar solicitud de certificado en el formato CMC.
Nota La Mayoría de proveedores se refiere a la solicitud de certificados como un Solicitud Firmar de Certificado (CSR).
Para más información acerca de cómo habilitar LDAP a través de SSL junto con unas entidades emisoras de certificados de tercero, haga clic en el número de artículo siguiente para ver el artículo en el Microsoft Knowledge Base:
321051
(http://support.microsoft.com/kb/321051/
)
Cómo habilitar LDAP a través de SSL con unas entidades emisoras de certificados de tercero
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente. Si ve errores y desea ayudar con este esfuerzo, rellene la encuesta en la parte inferior de este artículo.
Haga clic aquí para ver el artículo original (en inglés): 931351
(http://support.microsoft.com/kb/931351/en-us/
)
Proporcione sus comentarios acerca de esta información
¿Esta información le ayudó a resolver su problema?
Sí
No
No lo sé
¿La información era relevante?
Sí
No
¿Qué podemos hacer para mejorar esta información?
Para proteger su privacidad, no incluya información de contacto en los comentarios.
¡Muchas gracias! Sus comentarios nos ayudarán a mejorar los contenidos de soporte. Para más opciones de asistencia, visite la página de Ayuda y soporte técnico.
Traducción automática
Volver al principio
