Bagaimana menambahkan nama alternatif subjek sertifikat LDAP aman

Artikel ini menjelaskan cara untuk menambahkan atribut SAN aman LDAP sertifikat. Artikel ini juga membahas cara melakukan hal berikut:

• Mengkonfigurasi CA untuk menerima SAN atribut dari sertifikat permintaan.
• Membuat dan mengirim permintaan sertifikat untuk suatu perusahaan CA.
• Membuat dan mengirim permintaan sertifikat untuk berdiri sendiri CA.
• Membuat permintaan sertifikat dengan menggunakan Certreq.exe alat.
• Membuat dan mengirim permintaan sertifikat untuk pihak ketiga CA.

Cara mengkonfigurasi CA untuk menerima SAN atribut dari permintaan sertifikat

Secara default, CA yang dikonfigurasi pada Windows Server komputer berbasis 2003 tidak mengeluarkan sertifikat yang berisi SAN ekstensi. Jika entri SAN disertakan dalam permintaan sertifikat, entri ini dihilangkan dari dikeluarkan sertifikat. Untuk mengubah perilaku ini, jalankan perintah berikut di perintah prompt pada server yang menjalankan layanan Sertifikasi Authority. Tekan ENTER setelah setiap perintah.

Cara membuat dan mengirim permintaan sertifikat

Ketika Anda mengirimkan permintaan sertifikat untuk suatu perusahaan CA, sertifikat template harus dikonfigurasi untuk menggunakan SAN pada permintaan bukan menggunakan informasi dari layanan direktori Active Directory. Versi 1 Web Server template dapat digunakan untuk meminta sertifikat yang akan mendukung LDAP atas lapisan soket aman (SSL). Versi 2 template dapat dikonfigurasi untuk Ambil SAN dari permintaan sertifikat atau dari Active Directory. Untuk mengeluarkan sertifikat yang didasarkan pada versi 2 template, perusahaan CA harus berjalan pada Windows Server 2003, Enterprise Edition berbasis komputer.

Ketika Anda mengirimkan permintaan untuk CA berdiri sendiri, sertifikat template tidak digunakan. Oleh karena itu, SAN harus selalu dimasukkan dalam permintaan sertifikat. SAN atribut dapat ditambahkan ke permintaan yang dibuat dengan menggunakan Certreq.exe program. Atau, SAN atribut dapat dimasukkan ke dalam permintaan yang dikirimkan dengan menggunakan halaman pendaftaran Web.

Bagaimana menggunakan Web pendaftaran halaman untuk mengirim permintaan sertifikat untuk suatu perusahaan CA

Untuk mengirimkan permintaan sertifikat yang berisi SAN untuk perusahaan CA, ikuti langkah berikut:

1. Buka Internet Explorer.
2. Di Internet Explorer, hubungkan ke http://ServerName/certsrv.
   
   Catatan ServerName adalah nama dari Web server yang menjalankan Windows Server 2003 dan yang memiliki CA yang ingin Anda akses.
3. Klik Permintaan sertifikat.
4. Klik Sertifikat lanjutan permintaan.
5. Klik Membuat dan mengirim permintaan untuk ini CA.
6. Dalam Sertifikat Template Daftar, klikWeb Server.
   
   Catatan CA harus dikonfigurasi untuk mengeluarkan sertifikat Web Server. Anda mungkin harus menambahkan template Web Server ke folder sertifikat template di Sertifikasi Authority snap-in jika CA tidak sudah dikonfigurasi untuk mengeluarkan sertifikat Web Server.
7. Memberikan informasi identitas seperti yang diperlukan.
8. Dalam Nama Ketik jenis sepenuhnya memenuhi syarat nama domain dari domain controller.
9. Di bawah Tombol pilihan, mengatur yang berikut ini pilihan:
   • Menciptakan satu set kunci baru
   • CSP: SChannel Microsoft RSA kriptografi Penyedia
   • Kunci penggunaan: Exchange
   • Kunci ukuran: 1024-16384
   • Wadah kunci otomatis Nama
   • Sertifikat toko komputer lokal sertifikat toko
10. Di bawah Pilihan lanjutan, mengatur permintaan format untuk CMC.
11. Dalam Atribut Ketik jenis yang diinginkan SAN atribut. SAN atribut mengambil bentuk sebagai berikut:
    San: dns =DNS.name[& dns =DNS.name]
    Beberapa nama DNS dipisahkan oleh ampersand (&). Untuk misalnya, jika nama domain controller adalah corpdc1.fabrikam.com dan alias adalah ldap.fabrikam.com, kedua nama ini harus dimasukkan dalam SAN atribut. String atribut dihasilkan muncul sebagai berikut:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
12. Klik Kirim.
13. Jika Anda melihat Sertifikat yang dikeluarkan Web Halaman, klik Menginstal sertifikat ini.

Bagaimana menggunakan Web pendaftaran halaman untuk mengirim permintaan sertifikat untuk CA berdiri sendiri

Untuk mengirimkan permintaan sertifikat yang mencakup SAN untuk CA berdiri sendiri, ikuti langkah berikut:

1. Buka Internet Explorer.
2. Di Internet Explorer, hubungkan ke http://ServerName/certsrv.
   
   Catatan ServerName adalah nama dari Web server yang menjalankan Windows Server 2003 dan yang memiliki CA yang ingin Anda akses.
3. Klik Permintaan sertifikat.
4. Klik Sertifikat lanjutan permintaan.
5. Klik Membuat dan mengirim permintaan untuk ini CA.
6. Memberikan informasi identitas seperti yang diperlukan.
7. Dalam Nama Ketik jenis sepenuhnya memenuhi syarat nama domain dari domain controller.
8. Dalam Jenis sertifikat diperlukan ServerDaftar, klik Sertifikat otentikasi server.
9. Di bawah Tombol pilihan, mengatur yang berikut ini pilihan:
   • Menciptakan satu set kunci baru
   • CSP: SChannel Microsoft RSA kriptografi Penyedia
   • Kunci penggunaan: Exchange
   • Kunci ukuran: 1024-16384
   • Wadah kunci otomatis Nama
   • Sertifikat toko komputer lokal sertifikat toko
10. Di bawah Pilihan lanjutan, mengatur permintaan format sebagai CMC.
11. Dalam Atribut Ketik jenis yang diinginkan SAN atribut. SAN atribut mengambil bentuk sebagai berikut:
    San: dns =DNS.name[& dns =DNS.name]
    Beberapa nama DNS dipisahkan oleh ampersand (&). Untuk misalnya, jika nama domain controller adalah corpdc1.fabrikam.com dan alias adalah ldap.fabrikam.com, kedua nama ini harus dimasukkan dalam SAN atribut. String atribut dihasilkan muncul sebagai berikut:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
12. Klik Kirim.
13. Jika CA tidak dikonfigurasi untuk mengeluarkan sertifikat secara otomatis, Sertifikat tertunda Halaman web muncul dan permintaan yang Anda menunggu untuk administrator untuk mengeluarkan sertifikat yang diminta.
    
    Untuk mengambil sertifikat yang administrator dikeluarkan, menghubungkan ke http://ServerName/certsrv, dan kemudian klik Memeriksa sertifikat tertunda. Klik yang diminta sertifikat, dan kemudian klik Berikutnya.
    
    Jika sertifikat telah dikeluarkan, Sertifikat yang dikeluarkan Halaman web muncul. Klik Menginstal sertifikat ini untuk menginstal sertifikat.

Cara menggunakan utilitas Certreq.exe untuk membuat dan mengirim permintaan sertifikat yang mencakup SAN

Menggunakan utilitas Certreq.exe untuk membuat dan mengirim sertifikat permintaan, ikuti langkah berikut:

1. Membuat berkas .inf yang menentukan pengaturan untuk permintaan sertifikat. Anda dapat menggunakan kode contoh berikut untuk membuat .inf file.

   [Version] 
   
   Signature="$Windows NT$ 
   
   [NewRequest]
   Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
   EncipherOnly = FALSE
   Exportable = FALSE  ; TRUE = Private key is exportable
   KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
   			  ;    4096, 8192, 16384
   KeySpec = 1             ; Key Exchange
   KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
   MachineKeySet = True
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   RequestType = CMC
   	
   ; Omit entire section if CA is an enterprise CA
   [EnhancedKeyUsageExtension]
   OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
   	
   [RequestAttributes]
   CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
   SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
   
   Important Notes:  1) If you?re generating a request for a Windows 2008 and above, please remove ?EncipherOnly? option from the inf file. 
   
    b) If CA is a standalone CA, either remove ?CertificateTemplate = WebServer? option from the inf file or mark that as a comment by putting ; before the option. 

2. Simpan sebagai file Request.inf.
3. Buka prompt perintah.
4. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER:
   certreq-baru request.inf certnew.req
   Perintah ini menggunakan informasi dalam Request.inf file membuat permintaan dalam format yang ditentukan oleh nilai RequestType berkas .inf. Ketika permintaan dibuat, publik dan swasta pasangan utama adalah secara otomatis dihasilkan dan kemudian dimasukkan dalam permintaan objek dalam pendaftaran permintaan toko pada komputer lokal.
5. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER:
   certreq-Kirim certnew.req certnew.cer
   Perintah ini mengajukan permintaan sertifikat untuk CA. Jika ada adalah lebih dari satu CA dalam lingkungan, -config switch dapat digunakan pada command line untuk mengarahkan permintaan untuk CA tertentu. Jika Anda tidak menggunakan -config beralih, Anda akan diminta untuk memilih CA yang permintaan harus diserahkan.
   
   The -config beralih menggunakan format berikut merujuk kepada CA tertentu:
   computername\Sertifikasi otoritas nama
   Sebagai contoh, menganggap bahwa nama CA CA1 kebijakan perusahaan dan nama domain yang corpca1.fabrikam.com. Untuk menggunakan certreq perintah bersama Config beralih ke menentukan CA ini, ketik perintah berikut:
   certreq-Kirim - config "corpca1.fabrikam.com\Corporate kebijakan CA1" certnew.req certnew.cer
   Jika CA ini adalah suatu perusahaan CA dan jika pengguna yang mengajukan sertifikat permintaan memiliki izin baca dan Enroll untuk template, Permintaan dikirim. Sertifikat yang dikeluarkan disimpan dalam Certnew.cer file. Apakah CA CA berdiri sendiri, permintaan sertifikat akan tertunda negara sampai disetujui oleh CA administrator. Output dari certreq - Kirim perintah berisi permintaan ID jumlah permintaan yang diajukan. Segera setelah sertifikat telah disetujui, dapat diperoleh dengan menggunakan Meminta nomor ID.
6. Menggunakan nomor ID meminta untuk mengambil sertifikat. Pada melakukan hal ini, ketik perintah berikut, dan kemudian tekan ENTER:
   certreq-mengambil RequestID certnew.CER
   Anda juga dapat menggunakan -config beralih di sini untuk mengambil permintaan sertifikat dari tertentu CA. Jika -config saklar tidak digunakan, Anda akan diminta untuk memilih CA dari yang untuk mengambil sertifikat.
7. Pada prompt perintah, ketik perintah berikut, dan kemudian tekan ENTER:
   certreq-menerima certnew.cer
   Setelah Anda mengambil sertifikat, Anda harus menginstalnya. Ini perintah impor sertifikat ke toko sesuai dan kemudian link sertifikat untuk kunci pribadi yang dibuat di langkah 4.

Bagaimana cara mengirim permintaan sertifikat untuk CA pihak ketiga

Jika Anda ingin mengirimkan permintaan sertifikat CA pihak ketiga, pertama menggunakan alat Certreq.exe untuk membuat file permintaan sertifikat. Kamu bisa kemudian mengirimkan permintaan untuk CA pihak ketiga dengan menggunakan metode apa pun sesuai untuk vendor itu. Pihak ketiga harus mampu memproses permintaan sertifikat dalam CMC format.

Catatan Sebagian besar vendor merujuk kepada permintaan sertifikat sebagai sertifikat Signing Request (CSR).

Untuk selengkapnya tentang cara mengaktifkan LDAP atas SSL bersama pihak ketiga sertifikasi authority, klik nomor untuk melihat artikel berikut artikel di dalam Basis Pengetahuan Microsoft:
Untuk informasi lebih lanjut tentang bagaimana untuk meminta sertifikat yang memiliki nama alternatif subjek kustom, kunjungi website Microsoft TechNet berikut: Untuk informasi lebih lanjut tentang bagaimana menggunakan certutil tugas untuk mengelola sertifikasi authority (CA), kunjungi website Microsoft berikut: