Ajouter un autre nom d’objet à un certificat LDAP sécurisé

  • Article

Cet article explique comment ajouter un autre nom d’objet (SAN) à un certificat LDAP (Lightweight Directory Access Protocol) sécurisé.

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 931351

Résumé

Le certificat LDAP est soumis à une autorité de certification configurée sur un ordinateur Windows Server 2003. Le san vous permet de vous connecter à un contrôleur de domaine à l’aide d’un nom DNS (Domain Name System) autre que le nom de l’ordinateur. Cet article contient des informations sur l’ajout d’attributs SAN à une demande de certification soumise à une autorité de certification d’entreprise, à une autorité de certification autonome ou à une autorité de certification tierce.

Cet article explique également comment effectuer les actions suivantes :

  • Configurez une autorité de certification pour accepter un attribut SAN à partir d’une demande de certificat.
  • Créez et envoyez une demande de certificat à une autorité de certification d’entreprise.
  • Créez et envoyez une demande de certificat à une autorité de certification autonome.
  • Créez une demande de certificat à l’aide de l’outil Certreq.exe.
  • Créez et envoyez une demande de certificat à une autorité de certification tierce.

Créer et envoyer une demande de certificat

Lorsque vous envoyez une demande de certificat à une autorité de certification d’entreprise, le modèle de certificat doit être configuré pour utiliser le san dans la demande au lieu d’utiliser les informations du service d’annuaire Active Directory. Le modèle de serveur web version 1 peut être utilisé pour demander un certificat qui prendra en charge LDAP sur le protocole SSL (Secure Sockets Layer). Les modèles version 2 peuvent être configurés pour récupérer le san à partir de la demande de certificat ou d’Active Directory. Pour émettre des certificats basés sur des modèles version 2, l’autorité de certification d’entreprise doit s’exécuter sur un ordinateur exécutant Windows Server 2003 Êdition Entreprise.

Lorsque vous envoyez une demande à une autorité de certification autonome, les modèles de certificat ne sont pas utilisés. Par conséquent, le san doit toujours être inclus dans la demande de certificat. Les attributs SAN peuvent être ajoutés à une requête créée à l’aide du programme Certreq.exe. Ou bien, les attributs SAN peuvent être inclus dans les demandes envoyées à l’aide des pages d’inscription web.

Utiliser des pages d’inscription web pour envoyer une demande de certificat à une autorité de certification d’entreprise

Pour envoyer une demande de certificat qui contient un SAN à une autorité de certification d’entreprise, procédez comme suit :

  1. Ouvrez Internet Explorer.

  2. Dans Internet Explorer, connectez-vous à http://<servername>/certsrv.

    Remarque

    L’espace réservé <servername> représente le nom du serveur web qui exécute Windows Server 2003 et qui a l’autorité de certification à laquelle vous souhaitez accéder.

  3. Cliquez sur Demander un certificat.

  4. Cliquez sur Demande de certificat avancée.

  5. Cliquez sur Créer et soumettre une demande de requête auprès de cette Autorité de certification.

  6. Dans la liste Modèle de certificat , cliquez sur Serveur web.

    Remarque

    L’autorité de certification doit être configurée pour émettre des certificats de serveur web. Vous devrez peut-être ajouter le modèle de serveur web au dossier Modèles de certificats dans le composant logiciel enfichable Autorité de certification si l’autorité de certification n’est pas déjà configurée pour émettre des certificats de serveur web.

  7. Fournissez les informations d’identification nécessaires.

  8. Dans la zone Nom , tapez le nom de domaine complet du contrôleur de domaine.

  9. Sous Options de clé, définissez les options suivantes :

    • Créer un jeu de clés
    • CSP : Fournisseur de chiffrement SChannel Microsoft RSA
    • Utilisation de la clé : Exchange
    • Taille de clé : 1024 - 16384
    • Nom du conteneur de clé automatique
    • Stocker le certificat dans le magasin de certificats de l’ordinateur local

  10. Sous Options avancées, définissez le format de la demande sur CMC.

  11. Dans la zone Attributs , tapez les attributs SAN souhaités. Les attributs SAN prennent la forme suivante :

    san:dns=dns.name[&dns=dns.name]

    Plusieurs noms DNS sont séparés par une esperluette (&). Par exemple, si le nom du contrôleur de domaine est et que l’alias est corpdc1.fabrikam.comldap.fabrikam.com, les deux noms doivent être inclus dans les attributs SAN. La chaîne d’attribut obtenue s’affiche comme suit :

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Cliquez sur Envoyer.

  13. Si vous voyez la page web Certificat émis , cliquez sur Installer ce certificat.

Utiliser des pages d’inscription web pour envoyer une demande de certificat à une autorité de certification autonome

Pour envoyer une demande de certificat qui inclut un SAN à une autorité de certification autonome, procédez comme suit :

  1. Ouvrez Internet Explorer.

  2. Dans Internet Explorer, connectez-vous à http://<servername>/certsrv.

    Remarque

    L’espace réservé <servername> représente le nom du serveur web qui exécute Windows Server 2012 R2 et qui a l’autorité de certification à laquelle vous souhaitez accéder.

  3. Cliquez sur Demander un certificat.

  4. Cliquez sur Demande de certificat avancée.

  5. Cliquez sur Créer et soumettre une demande de requête auprès de cette Autorité de certification.

  6. Fournissez les informations d’identification nécessaires.

  7. Dans la zone Nom , tapez le nom de domaine complet du contrôleur de domaine.

  8. Dans la liste Type de serveur de certificat nécessaire , cliquez sur Certificat d’authentification du serveur.

  9. Sous Options de clé, définissez les options suivantes :

    • Créer un jeu de clés
    • CSP : Fournisseur de chiffrement SChannel Microsoft RSA
    • Utilisation de la clé : Exchange
    • Taille de clé : 1024 - 16384
    • Nom du conteneur de clé automatique
    • Stocker le certificat dans le magasin de certificats de l’ordinateur local

  10. Sous Options avancées, définissez le format de la demande sur CMC.

  11. Dans la zone Attributs , tapez les attributs SAN souhaités. Les attributs SAN prennent la forme suivante :

    san:dns=dns.name[&dns=dns.name]

    Plusieurs noms DNS sont séparés par une esperluette (&). Par exemple, si le nom du contrôleur de domaine est corpdc1.fabrikam.com et que l’alias est ldap.fabrikam.com, les deux noms doivent être inclus dans les attributs SAN. La chaîne d’attribut obtenue s’affiche comme suit :

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Cliquez sur Envoyer.

  13. Si l’autorité de certification n’est pas configurée pour émettre automatiquement des certificats, une page web Certificat en attente s’affiche et vous demande d’attendre qu’un administrateur émette le certificat demandé.

    Pour récupérer un certificat émis par un administrateur, connectez-vous à http://<servername>/certsrv, puis cliquez sur Vérifier un certificat en attente. Cliquez sur le certificat demandé, puis sur Suivant.

    Si le certificat a été émis, la page web Certificat émis s’affiche. Cliquez sur Installer ce certificat pour installer le certificat.

Utiliser Certreq.exe pour créer et envoyer une demande de certificat incluant un san

Pour utiliser l’utilitaire Certreq.exe pour créer et envoyer une demande de certificat, procédez comme suit :

  1. Créez un fichier .inf qui spécifie les paramètres de la demande de certificat. Pour créer un fichier .inf, vous pouvez utiliser l’exemple de code dans la section Création d’un fichier RequestPolicy.inf dans Comment demander un certificat avec un autre nom d’objet personnalisé.

    Les san peuvent être inclus dans la section [Extensions]. Pour obtenir des exemples, consultez l’exemple de fichier .inf.

  2. Enregistrez le fichier sous Request.inf.

  3. Ouvrez une invite de commandes.

  4. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    certreq -new request.inf certnew.req

    Cette commande utilise les informations du fichier Request.inf pour créer une requête au format spécifié par la valeur RequestType dans le fichier .inf. Lorsque la demande est créée, la paire de clés publique et privée est générée automatiquement, puis placée dans un objet de demande dans le magasin des demandes d’inscription sur l’ordinateur local.

  5. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    certreq -submit certnew.req certnew.cer

    Cette commande envoie la demande de certificat à l’autorité de certification. S’il existe plusieurs autorité de certification dans l’environnement, le -config commutateur peut être utilisé dans la ligne de commande pour diriger la demande vers une autorité de certification spécifique. Si vous n’utilisez pas le -config commutateur, vous êtes invité à sélectionner l’autorité de certification à laquelle la demande doit être envoyée.

    Le -config commutateur utilise le format suivant pour faire référence à une autorité de certification spécifique :

    computername\Certification Authority Name

    Par exemple, supposons que le nom de l’autorité de certification est Stratégie d’entreprise CA1 et que le nom de domaine est corpca1.fabrikam.com. Pour utiliser la commande certreq avec le -config commutateur pour spécifier cette autorité de certification, tapez la commande suivante :

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Si cette autorité de certification est une autorité de certification d’entreprise et si l’utilisateur qui envoie la demande de certificat dispose des autorisations Lecture et Inscription pour le modèle, la demande est envoyée. Le certificat émis est enregistré dans le fichier Certnew.cer. Si l’autorité de certification est une autorité de certification autonome, la demande de certificat est en attente jusqu’à ce qu’elle soit approuvée par l’administrateur de l’autorité de certification. La sortie de la commande certreq -submit contient le numéro d’ID de demande de la demande envoyée. Dès que le certificat est approuvé, il peut être récupéré à l’aide du numéro d’ID de demande.

  6. Utilisez le numéro d’ID de demande pour récupérer le certificat en exécutant la commande suivante :

    certreq -retrieve RequestID certnew.cer

    Vous pouvez également utiliser le -config commutateur ici pour récupérer la demande de certificat à partir d’une autorité de certification spécifique. Si le -config commutateur n’est pas utilisé, vous êtes invité à sélectionner l’autorité de certification à partir de laquelle récupérer le certificat.

  7. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    certreq -accept certnew.cer

    Après avoir récupéré le certificat, vous devez l’installer. Cette commande importe le certificat dans le magasin approprié, puis lie le certificat à la clé privée créée à l’étape 4.

Envoyer une demande de certificat à une autorité de certification tierce

Si vous souhaitez envoyer une demande de certificat à une autorité de certification tierce, commencez par utiliser l’outil Certreq.exe pour créer le fichier de demande de certificat. Vous pouvez ensuite envoyer la demande à l’autorité de certification tierce en utilisant la méthode appropriée pour ce fournisseur. L’autorité de certification tierce doit être en mesure de traiter les demandes de certificat au format CMC.

Remarque

La plupart des fournisseurs font référence à la demande de certificat en tant que demande de signature de certificat (CSR).

References

Pour plus d’informations sur l’activation de LDAP sur SSL avec une autorité de certification tierce, consultez Comment activer LDAP sur SSL avec une autorité de certification tierce.

Pour plus d’informations sur la façon de demander un certificat qui a un autre nom d’objet personnalisé, consultez Comment demander un certificat avec un autre nom d’objet personnalisé.

Pour plus d’informations sur l’utilisation des tâches certutil pour gérer une autorité de certification, accédez au site web MSDN (Microsoft Developer Network) suivant : Tâches Certutil pour la gestion d’une autorité de certification (CA)