Cómo agregar un nombre alternativo del sujeto a un certificado LDAP seguro

Seleccione idioma Seleccione idioma
Id. de artículo: 931351 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo agregar un nombre alternativo del sujeto (SAN) a un certificado seguro del Protocolo ligero de acceso a directorios (LDAP). El certificado LDAP se envía a una entidad emisora de certificados (CA) que está configurada en un equipo basado en Windows Server 2003. El SAN le permite conectarse a un controlador de dominio con un nombre de sistema de nombres de dominio (DNS) que no sea el nombre del equipo. Este artículo incluye información acerca de cómo agregar atributos de SAN a una petición de certificado que se envía a una CA de empresa, una CA independiente o una CA de terceros.

INTRODUCCIÓN

En este artículo se describe cómo agregar un atributo de SAN a un certificado LDAP seguro. En este artículo también se explica cómo hacer lo siguiente:
  • Configurar una entidad emisora de certificados para aceptar un atributo SAN desde una solicitud de certificados.
  • Crear y enviar una solicitud de certificado a una entidad emisora de certificados de empresa.
  • Crear y enviar una solicitud de certificado a una aloneCA de soporte.
  • Crear una solicitud de certificado mediante el Certreq.exetool.
  • Crear y enviar una solicitud de certificado a una tercera-partyCA.

Más información

Cómo crear y enviar una solicitud de certificado

Al enviar una solicitud de certificado a una CA de empresa, la plantilla de certificado debe configurarse para utilizar el SAN en la solicitud en lugar de utilizar la información del servicio de directorio Active Directory. La plantilla de servidor Web de versión 1 puede utilizarse para solicitar un certificado que admita LDAP sobre Secure Sockets Layer (SSL). Plantillas de la versión 2 pueden configurarse para recuperar el SAN de la solicitud de certificado o de Active Directory. Para emitir certificados basados en plantillas de la versión 2, la empresa que CA se debe ejecutar en un equipo que ejecuta Windows Server 2003 Enterprise Edition.

Al enviar una solicitud a una entidad emisora independiente, no se utilizan plantillas de certificado. Por lo tanto, el SAN siempre debe estar incluido en la solicitud de certificado. Atributos de SAN pueden agregarse a una solicitud que se crea mediante el programa Certreq.exe. O bien, puede incluir atributos de SAN en las solicitudes que se envían mediante el uso de las páginas de inscripción web.

Cómo utilizar páginas de inscripción en web para enviar una solicitud de certificado a una CA de empresa

Para enviar una solicitud de certificado que contiene un SAN a una entidad emisora de certificados de empresa, siga estos pasos:
  1. Abra Internet Explorer
  2. En Internet Explorer, conéctese tohttp: / /nombreDeServidor/ certsrv.

    Nota El marcador de posición nombreDeServidorrepresenta el nombre del servidor web que ejecuta Windows Server 2003 y que tiene la entidad emisora de certificados que desea tener acceso.
  3. Haga clic en Solicitar un certificado.
  4. Haga clic en avanzado de solicitud de certificados.
  5. Haga clic en crear y enviar una solicitud a thisCA.
  6. En la lista de Plantillas de certificado , haga clic enServidor Web.

    NotaLa entidad emisora de certificados debe configurarse para emitir certificados de servidor web. Tendrá que agregar la plantilla de servidor Web a la carpeta de plantillas de certificados en el complemento entidad emisora de certificados si la entidad emisora de certificados no está configurada para emitir certificados de servidor web.
  7. Proporcionar información de identificación según sea necesario.
  8. En el cuadro nombre , escriba el nombre de qualifieddomain completo del controlador de dominio.
  9. En Opciones de clave, establezca el followingoptions:
    • Crear un nuevo conjunto de claves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de claves: Exchange
    • Tamaño de la clave: 1024-16384
    • Nombre del contenedor de claves automática
    • Almacenar el certificado en el almacén de certificados del equipo local
  10. En Opciones avanzadas, establezca el requestformat a CMC.
  11. En el cuadro atributos , escriba los atributos desiredSAN. Atributos de SAN tienen la siguiente forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Varios nombres de DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos nombres deben incluirse en los atributos de SAN. A continuación se muestra la cadena del atributo resultante:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Haga clic en Enviar.
  13. Si ve el certificado emitido página Web, haga clic eninstalar este certificado.

Cómo utilizar las páginas de inscripción en web para enviar una solicitud de certificado a una entidad emisora de certificados independiente

Para enviar una solicitud de certificado que incluye un SAN para una entidad emisora independiente, siga estos pasos:
  1. Abra Internet Explorer
  2. En Internet Explorer, conéctese tohttp: / /nombreDeServidor/ certsrv.

    Nota El marcador de posición nombreDeServidorrepresenta el nombre del servidor web que ejecuta Windows Server 2003 y que tiene la entidad emisora de certificados que desea tener acceso.
  3. Haga clic en Solicitar un certificado.
  4. Haga clic en avanzado de solicitud de certificados.
  5. Haga clic en crear y enviar una solicitud a thisCA.
  6. Proporcionar información de identificación según sea necesario.
  7. En el cuadro nombre , escriba el nombre de qualifieddomain completo del controlador de dominio.
  8. En la lista Tipo de certificado necesario de servidor, haga clic en Certificado de autenticación del servidor.
  9. En Opciones de clave, establezca el followingoptions:
    • Crear un nuevo conjunto de claves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de claves: Exchange
    • Tamaño de la clave: 1024-16384
    • Nombre del contenedor de claves automática
    • Almacenar el certificado en el almacén de certificados del equipo local
  10. En Opciones avanzadas, establezca el requestformat como CMC.
  11. En el cuadro atributos , escriba los atributos desiredSAN. Atributos de SAN tienen la siguiente forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Varios nombres de DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos nombres deben incluirse en los atributos de SAN. A continuación se muestra la cadena del atributo resultante:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Haga clic en enviar.
  13. Si la entidad emisora de certificados no está configurada para emitir certificatesautomatically, una página Web de Certificado pendientese muestra y le pide que espere un administrador emita el certificado solicitado.

    Para recuperar un certificado que emitió un administrador, conéctese a http://nombreDeServidor/ certsrv, y luego haga clic en comprobar un certificado pendiente. Haga clic en el requestedcertificate y, a continuación, haga clic en siguiente.

    Si se muestra el certificatewas emitido, la página Web deCertificado emitido. Haga clic eninstalar este certificado para instalar el certificado.

Cómo utilizar la herramienta Certreq.exe para crear y enviar una solicitud de certificado que incluye un SAN

Para utilizar la herramienta Certreq.exe para crear y enviar una solicitud de certificado, siga estos pasos:
  1. Crear un archivo .inf que especifica la configuración para la solicitud de certificado. Para crear un archivo .inf, puede utilizar el código de ejemplo en la sección "Crear un archivo RequestPolicy.inf" del siguiente artículo de Microsoft TechNet:
    Cómo solicitar un certificado con un nombre alternativo de asunto personalizado
    SANs pueden incluirse en la sección [Extensions]. Para obtener ejemplos, vea el archivo .inf de ejemplo.
  2. Guarde el archivo como Request.inf.
  3. Abra un símbolo del sistema.
  4. En el símbolo del sistema, escriba el siguiente comando y thenpress ENTRAR:
    certreq -new request.inf certnew.req
    Este comando utiliza la información de la Request.inf archivo crear una solicitud en el formato especificado por el valor RequestType en el archivo .inf. Cuando se crea la solicitud, el par de claves pública y privada de isautomatically genera y, a continuación, poner en un objeto de la solicitud en el almacén de enrollmentrequests en el equipo local.
  5. En el símbolo del sistema, escriba el siguiente comando y thenpress ENTRAR:
    certreq -submit certnew.req certnew.cer
    Este comando envía la solicitud de certificado a la entidad emisora. Si hay más de una entidad emisora de certificados en el entorno, el modificador - config se puede utilizar en la línea de comandos para dirigir la solicitud a la entidad emisora de certificados de específico. Si no utiliza el modificador - config, deberá seleccionar la entidad de certificación a la que se debe enviar la solicitud.

    El modificador - config utiliza el siguiente formato para hacer referencia a una entidad emisora de certificados específicos:
    NombreDeEquipo\Nombre de la autoridad de certificación
    Por ejemplo, supongamos que el nombre de la entidad emisora de certificados es CA1 de política corporativa y de que el nombre de dominio es corpca1.fabrikam.com. Para utilizar el comando certreq junto con la tospecify conmutador de ?config esta entidad emisora de certificados, escriba el comando siguiente:
    CertReq-enviar - config "corpca1.fabrikam.com\Corporate directiva CA1" certnew.req certnew.cer
    Si esta entidad emisora de certificados es una entidad emisora de certificados de empresa y si el usuario que envía la solicitud de certificado tiene permisos de lectura e inscripción para la plantilla, se envía a lapetición. El certificado emitido se guarda en el archivo Certnew.cer.Si la CA es una CA independiente, la solicitud de certificado será un ATF hasta que se apruebe por el Administrador de la entidad emisora de certificados. El resultado de la certreq-enviarcomando contiene el número de identificación de la solicitud de la solicitud enviada. En cuanto se aprueba el certificado, se puede recuperar utilizando el número de identificación de la solicitud.
  6. Utilice el número de ID de solicitud para recuperar el certificado. Todo esto, escriba el comando siguiente y presione ENTRAR:
    CertReq-recuperar RequestID Certnew.cer
    También puede utilizar el modificador - config aquí para recuperar la solicitud de certificado de un specificCA. Si no se utiliza el modificador - config , deberá seleccionar la entidad emisora de whichto recuperar el certificado.
  7. En el símbolo del sistema, escriba el siguiente comando y thenpress ENTRAR:
    certreq -accept certnew.cer
    Después de recuperar el certificado, debe instalarlo. Thiscommand importa el certificado en el almacén adecuado y, a continuación, vincula el certificado con la clave privada que se creó en el paso 4.

Cómo enviar una solicitud de certificado a una CA de terceros

Si desea enviar una solicitud de certificado a una CA de terceros, utilice primero la herramienta Certreq.exe para crear el archivo de solicitud de certificado. Entonces puede enviar la solicitud a la entidad emisora de certificados de terceros utilizando el método que resulte apropiado para dicho proveedor. El tercero debe ser capaz de procesar las solicitudes de certificado en formato CMC.

Nota La mayoría de proveedores, consulte la solicitud de certificado como una solicitud de firma de certificado (CSR).

Referencias

Para obtener más información acerca de cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
321051 Cómo habilitar LDAP sobre SSL con una autoridad de certificación de terceros

Para obtener más información acerca de cómo solicitar un certificado con un nombre alternativo de asunto personalizado, consulte el siguiente sitio Web de Microsoft TechNet:
Cómo solicitar un certificado con un nombre alternativo de asunto personalizado
Para obtener más información acerca de cómo utilizar tareas de certutil para administrar una entidad emisora de certificados (CA), visite el siguiente sitio Web de MicrosoftDeveloper Network (MSDN):
Tareas de certutil para administrar una entidad emisora de certificados (CA)

Propiedades

Id. de artículo: 931351 - Última revisión: miércoles, 12 de marzo de 2014 - Versión: 4.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palabras clave: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 931351

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com