Comment ajouter un autre nom du sujet à un certificat LDAP sécurisé

Traductions disponibles Traductions disponibles
Numéro d'article: 931351 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment ajouter un autre nom du sujet (SAN) à un certificat LDAP Lightweight Directory Access Protocol () sécurisé. Le certificat LDAP est soumis à une autorité de certification (CA) qui est configurée sur un ordinateur Windows Server 2003. Le réseau SAN vous permet de vous connecter à un contrôleur de domaine à l'aide d'un nom de système de nom de domaine (DNS) autres que le nom de l'ordinateur. Cet article consacrée des informations sur l'ajout d'attributs de SAN à une demande de certification qui est soumise à une autorité de certification d'entreprise une autorité de certification autonome ou une autorité de certification tierce.

INTRODUCTION

Cet article décrit comment ajouter un attribut SAN à un certificat LDAP sécurisé. Cet article explique également comment effectuer les opérations suivantes :
  • Configurer une autorité de certification pour accepter un attribut SAN à partir d'un certificaterequest.
  • Créer et soumettre une demande de certificat à une autorité de certification d'entreprise.
  • Créer et soumettre une demande de certificat à un stand-aloneCA.
  • Créer une demande de certificat à l'aide de la Certreq.exetool.
  • Créer et soumettre une demande de certificat à un tiers-partyCA.

Plus d'informations

Comment faire pour créer et soumettre une demande de certificat

Lorsque vous soumettez une demande de certificat à une autorité de certification d'entreprise, le modèle de certificat doit être configuré pour utiliser le SAN dans la demande au lieu d'utiliser les informations du service d'annuaire Active Directory. Le modèle de serveur Web de Version 1 peut être utilisé pour demander un certificat qui prend en charge LDAP sur la couche SSL (Secure Sockets). Les modèles version 2 peuvent être configurés pour extraire le SAN à partir de la demande de certificat ou à partir d'Active Directory. Pour émettre des certificats basés sur des modèles Version 2, l'entreprise de qu'autorité de certification doit être en cours d'exécution sur un ordinateur qui exécute Windows Server 2003 Enterprise Edition.

Lorsque vous soumettez une demande à une autorité de certification autonome, les modèles de certificats ne sont pas utilisés. Par conséquent, le réseau SAN doit toujours être inclus dans la demande de certificat. Attributs de SAN peuvent être ajoutés à une demande qui est créée en utilisant le programme Certreq.exe. Ou bien, les attributs de SAN peuvent être inclus dans les demandes envoyées à l'aide des pages d'inscription web.

Comment utiliser les pages d'inscription web pour soumettre une demande de certificat à une autorité de certification d'entreprise

Pour soumettre une demande de certificat qui contient un SAN à une autorité de certification d'entreprise, procédez comme suit :
  1. Ouvrez Internet Explorer.
  2. Dans Internet Explorer, connectez-vous à tohttp: / /nom_serveur/certsrv.

    Remarque : L'espace réservé nom_serveurreprésente le nom du serveur web qui exécute Windows Server 2003 et qui possède l'autorité de certification que vous souhaitez accéder.
  3. Cliquez sur demander un certificat.
  4. Cliquez sur Advanced certificaterequest.
  5. Cliquez sur créer et soumettre une demande à thisCA.
  6. Dans la liste Modèle de certificat , cliquez surServeur Web.

    Remarque :L'autorité de certification doit être configurée pour émettre des certificats de serveur web. Vous devrez peut-être ajouter le modèle de serveur Web dans le dossier Modèles de certificats dans le composant logiciel enfichable Autorité de Certification si l'autorité de certification n'est pas déjà configurée pour émettre des certificats de serveur web.
  7. Fournir des informations d'identification requises.
  8. Dans la zone nom , tapez le qualifieddomain nom du contrôleur de domaine.
  9. Sous Options de la clé, définissez les optionssuivantes :
    • Créer un nouveau jeu de clés
    • : Fournisseur de services cryptographiques Microsoft RSA SChannel Cryptographic Provider
    • Utilisation de la clé : Exchange
    • Taille de la clé : 1024-16384
    • Nom du conteneur de clé automatique
    • Stocker le certificat dans le magasin de certificats ordinateur local
  10. Sous Options avancées, définissez le requestformat à CMC.
  11. Dans la zone attributs , tapez les attributs desiredSAN. Attributs SAN prennent la forme suivante :
    SAN : dns =DNS.Name[& dns =DNS.Name]
    Plusieurs noms sont séparés par une esperluette (&). Par exemple, si le nom du contrôleur de domaine est corpdc1.fabrikam.com et que l'alias est ldap.fabrikam.com, les deux noms doivent figurer dans les attributs de SAN. La chaîne d'attribut qui en résulte s'affiche comme suit :
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Cliquez sur Soumettre.
  13. Si vous voyez la certificat émis page Web, cliquez surinstaller ce certificat.

Comment utiliser les pages d'inscription web pour soumettre une demande de certificat à une autorité de certification autonome

Pour soumettre une demande de certificat inclut un SAN à une autorité de certification autonome, procédez comme suit :
  1. Ouvrez Internet Explorer.
  2. Dans Internet Explorer, connectez-vous à tohttp: / /nom_serveur/certsrv.

    Remarque : L'espace réservé nom_serveurreprésente le nom du serveur web qui exécute Windows Server 2003 et qui possède l'autorité de certification que vous souhaitez accéder.
  3. Cliquez sur demander un certificat.
  4. Cliquez sur Advanced certificaterequest.
  5. Cliquez sur créer et soumettre une demande à thisCA.
  6. Fournir des informations d'identification requises.
  7. Dans la zone nom , tapez le qualifieddomain nom du contrôleur de domaine.
  8. Dans la liste Type de certificat nécessaire de serveur, cliquez sur Certificat d'authentification serveur.
  9. Sous Options de la clé, définissez les optionssuivantes :
    • Créer un nouveau jeu de clés
    • : Fournisseur de services cryptographiques Microsoft RSA SChannel Cryptographic Provider
    • Utilisation de la clé : Exchange
    • Taille de la clé : 1024-16384
    • Nom du conteneur de clé automatique
    • Stocker le certificat dans le magasin de certificats ordinateur local
  10. Sous Options avancées, définissez le requestformat CMC.
  11. Dans la zone attributs , tapez les attributs desiredSAN. Attributs SAN prennent la forme suivante :
    SAN : dns =DNS.Name[& dns =DNS.Name]
    Plusieurs noms sont séparés par une esperluette (&). Par exemple, si le nom du contrôleur de domaine est corpdc1.fabrikam.com et que l'alias est ldap.fabrikam.com, les deux noms doivent figurer dans les attributs de SAN. La chaîne d'attribut qui en résulte s'affiche comme suit :
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Cliquez sur Soumettre.
  13. Si l'autorité de certification n'est pas configurée pour émettre des certificatesautomatically, une page Web Certificat en attentes'affiche et demande qu'attendre qu'un administrateur émette le certificat demandé.

    Pour récupérer un certificat qui une hasissued de l'administrateur, connectez-vous à http://nom_serveur/ certsrv, puis cliquez sur vérifier un certificat en attente. Cliquez sur le requestedcertificate, puis cliquez sur suivant.

    Si les certificatewas émis, la page WebCertificat émiss'affiche. Cliquez surinstaller ce certificat pour installer àgarantir.

Comment faire pour utiliser l'utilitaire Certreq.exe pour créer et soumettre une demande de certificat inclut un SAN

Pour utiliser l'utilitaire Certreq.exe pour créer et soumettre une demande de certificat, procédez comme suit :
  1. Créer un fichier .inf qui spécifie les paramètres de la demande de certificat. Pour créer un fichier .inf, vous pouvez utiliser l'exemple de code dans la section « Création d'un fichier RequestPolicy.inf » de l'article Microsoft TechNet suivant :
    Comment demander un certificat avec un autre sujet personnalisé
    SAN peuvent être inclus dans la section [Extensions]. Pour obtenir des exemples, consultez l'exemple de fichier .inf.
  2. Enregistrez le fichier sous Request.inf.
  3. Ouvrez une invite de commande.
  4. À l'invite de commandes, tapez la commande suivante et les thenpress d'entrée :
    certreq-new request.inf certnew.req
    Cette commande utilise les informations dans le fichier de Request.inf pour créer une requête dans le format spécifié par la valeur RequestType dans le fichier .inf. Lorsque la demande est créée, l'isautomatically de la paire de clés publique et privée générées et ensuite placer dans un objet de requête dans le magasin d'enrollmentrequests sur l'ordinateur local.
  5. À l'invite de commandes, tapez la commande suivante et les thenpress d'entrée :
    certreq -submit certnew.req certnew.cer
    Cette commande envoie la demande de certificat à l'autorité de certification. Si thereis supérieure à une autorité de certification dans l'environnement, le commutateur de configuration peut être utilisé dans la ligne de commande pour diriger la demande vers l'autorité de certification spécifique. Si vous n'utilisez pas le commutateur de configuration, vous êtes invité à sélectionner l'autorité de certification à laquelle la demande doit être envoyée.

    Le commutateur - config utilise le format suivant pour faire référence à une autorité de certification spécifique :
    Nom_Ordinateur\Nom d'autorité de certification
    Par exemple, supposons que le nom de l'autorité de certification est d'entreprise autorité de certification 1 stratégie andthat le nom de domaine est corpca1.fabrikam.com. Pour utiliser la commande certreq avec le tospecify de commutateur ? config de cette autorité de certification, tapez la commande suivante :
    certreq-soumettre l'autorité de certification 1 stratégie de - config « corpca1.fabrikam.com\Corporate » certnew.req certnew.cer
    Si cette autorité de certification est une autorité de certification d'entreprise et que l'utilisateur qui soumet la demande àgarantir dispose des autorisations lecture et inscription pour le modèle, therequest est soumise. Le certificat émis est enregistré dans le fichier Certnew.cer.Si l'autorité de certification est une autorité de certification autonome, la demande de certificat est dans un pendingstate jusqu'à ce qu'il est approuvé par l'administrateur de l'autorité de certification. La sortie de la certreq-soumettrecommande contient le numéro d'identification de la demande de la demande de soumission. Dès que le certificat est approuvé, il peut être récupéré en utilisant le numéro d'identification de la demande.
  6. Utilisez le numéro d'identification de la demande pour récupérer le certificat. TODO, tapez la commande suivante et appuyez sur ENTRÉE :
    certreq-récupérer RequestID Certnew.cer
    Vous pouvez également utiliser le commutateur - config ici pour récupérer la demande de certificat à partir d'un specificCA. Si le commutateur - config n'est pas utilisé, vous êtes invité à sélectionner l'autorité de certification à partir de whichto, récupérer le certificat.
  7. À l'invite de commandes, tapez la commande suivante et les thenpress d'entrée :
    certreq-accepter certnew.cer
    Une fois que vous récupérez le certificat, vous devez l'installer. Thiscommand importe le certificat dans le magasin approprié, puis lie àgarantir à la clé privée qui est créée à l'étape 4.

Comment soumettre une demande de certificat à une autorité de certification tierce

Si vous souhaitez soumettre une demande de certificat à une autorité de certification tierce, utilisez tout d'abord l'outil Certreq.exe pour créer le fichier de demande de certificat. Vous pouvez ensuite soumettre la demande à l'autorité de certification tierce à l'aide de la méthode est appropriée pour ce fournisseur. Le tiers doit être en mesure de traiter les demandes de certificat au format CMC.

Remarque : La plupart des fournisseurs font référence à la demande de certificat sous la forme d'une demande de signature de certificat (CSR).

Références

Pour plus d'informations sur la façon d'activer le protocole LDAP sur SSL avec une autorité de certification tierce, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
321051 Comment faire pour activer le protocole LDAP sur SSL avec une autorité de certification tierce

Pour plus d'informations sur la façon de demander un certificat qui comporte un personnalisé autre nom du sujet, consultez le site Web Microsoft TechNet suivant :
Comment demander un certificat avec un autre sujet personnalisé
Pour plus d'informations sur la façon d'utiliser des tâches certutil pour gérer une autorité de certification (CA), consultez le site Web MicrosoftDeveloper Network (MSDN) suivant :
Tâches Certutil pour la gestion d'une autorité de Certification (CA)

Propriétés

Numéro d'article: 931351 - Dernière mise à jour: jeudi 13 mars 2014 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Mots-clés : 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d?une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 931351
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com