Bagaimana cara menambahkan nama alternatif subjek ke LDAP aman sertifikat

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 931351 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

Artikel ini menjelaskan cara untuk menambahkan nama alternatif subjek (SAN) Sertifikat protokol akses direktori ringan (LDAP) aman. Sertifikat LDAP disampaikan kepada otoritas sertifikasi (CA) yang dikonfigurasi pada komputer berbasis Windows Server 2003. SAN memungkinkan Anda tautan langsung ke pengendali domain dengan menggunakan nama Domain Name System (DNS) Selain nama komputer. Artikel ini berisi informasi tentang cara menambahkan atribut SAN permintaan sertifikasi yang disampaikan kepada perusahaan CA, CA berdiri sendiri, atau CA pihak ketiga.

PENGENALAN

Artikel ini menjelaskan cara untuk menambahkan atribut SAN sertifikat LDAP aman. Artikel ini juga membahas bagaimana melakukan hal berikut:
  • Mengkonfigurasi CA untuk menerima SAN atribut dari certificaterequest.
  • Buat dan Kirim permintaan sertifikat untuk suatu perusahaan CA.
  • Buat dan Kirim permintaan sertifikat untuk berdiri-aloneCA.
  • Membuat permintaan sertifikat dengan menggunakan Certreq.exetool.
  • Buat dan Kirim permintaan sertifikat untuk ketiga-partyCA.

Informasi lebih lanjut

Bagaimana untuk membuat dan mengirim permintaan sertifikat

Ketika Anda mengirimkan permintaan sertifikat untuk suatu perusahaan CA, template sertifikat harus dikonfigurasi untuk menggunakan SAN dalam permintaan daripada menggunakan informasi dari layanan direktori Active Directory. Template versi 1 server Web yang dapat digunakan untuk meminta sertifikat yang akan mendukung LDAP atas Secure Sockets Layer (SSL). Versi 2 template dapat dikonfigurasi untuk mengambil SAN baik dari permintaan sertifikat atau dari Active Directory. Untuk mengeluarkan sertifikat yang didasarkan pada versi 2 template, perusahaan CA harus menjalankan pada komputer yang menjalankan Windows Server 2003 Enterprise Edition.

Ketika Anda mengirimkan permintaan untuk CA berdiri sendiri, sertifikat template tidak digunakan. Oleh karena itu, SAN harus selalu dimasukkan dalam permintaan sertifikat. SAN atribut dapat ditambahkan untuk permintaan yang dibuat dengan menggunakan Certreq.exe program. Atau, SAN atribut dapat dimasukkan dalam permintaan yang diajukan oleh menggunakan halaman pendaftaran web.

Bagaimana menggunakan web pendaftaran halaman untuk Kirim permintaan sertifikat untuk suatu perusahaan CA

Untuk mengirimkan permintaan sertifikat yang berisi SAN untuk suatu perusahaan CA, ikuti langkah berikut:
  1. Buka Internet Explorer.
  2. Di Internet Explorer, tautan langsung tohttp: / /nama server/certsrv.

    Catatan: Pengganti nama servermewakili nama server Web yang menjalankan Windows Server 2003 dan yang memiliki CA yang ingin Anda akses.
  3. Klik permintaan sertifikat.
  4. Klik Advanced certificaterequest.
  5. Klik buat dan Kirim permintaan untuk thisCA.
  6. Dalam daftar Template sertifikat , klikserver Web.

    Catatan:CA harus dikonfigurasi untuk mengeluarkan sertifikat server web. Anda mungkin harus menambahkan template server Web ke folder template sertifikat otoritas sertifikasi snap-in jika CA tidak sudah dikonfigurasi untuk mengeluarkan sertifikat server web.
  7. Memberikan informasi yang mengidentifikasi diperlukan.
  8. Dalam kotak nama , ketik nama qualifieddomain sepenuhnya dari domain controller.
  9. Di bawah Pilihan Key, mengatur followingoptions:
    • Menciptakan satu set bukti kunci baru
    • CSP: Microsoft RSA SChannel kriptografi penyedia
    • bukti kunci penggunaan: Asing
    • bukti kunci ukuran: 1024-16384
    • Kontainer bukti kunci otomatis nama
    • Sertifikat toko toko sertifikat komputer lokal
  10. Di Advanced Options, atur requestformat ke CMC.
  11. Dalam atribut kotak, ketik atribut desiredSAN. SAN atribut mengambil bentuk sebagai berikut:
    San: dns =DNS.name[& dns =DNS.name]
    Beberapa nama DNS dipisahkan oleh ampersand (&). Misalnya, jika nama domain controller corpdc1.fabrikam.com dan alias ldap.fabrikam.com, kedua nama harus disertakan dalam atribut SAN. String atribut yang dihasilkan ditampilkan sebagai berikut:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klik kirim.
  13. Jika Anda melihat sertifikat dikeluarkan halaman web, klikmenginstal sertifikat ini.

Bagaimana menggunakan web pendaftaran halaman untuk Kirim permintaan sertifikat untuk CA berdiri sendiri

Untuk mengirimkan permintaan sertifikat yang meliputi SAN untuk CA berdiri sendiri, ikuti langkah berikut:
  1. Buka Internet Explorer.
  2. Di Internet Explorer, tautan langsung tohttp: / /nama server/certsrv.

    Catatan: Pengganti nama servermewakili nama server Web yang menjalankan Windows Server 2003 dan yang memiliki CA yang ingin Anda akses.
  3. Klik permintaan sertifikat.
  4. Klik Advanced certificaterequest.
  5. Klik buat dan Kirim permintaan untuk thisCA.
  6. Memberikan informasi yang mengidentifikasi diperlukan.
  7. Dalam kotak nama , ketik nama qualifieddomain sepenuhnya dari domain controller.
  8. Dalam daftar Jenis dari diperlukan Server sertifikat, klik Server otentikasi sertifikat.
  9. Di bawah Pilihan Key, mengatur followingoptions:
    • Menciptakan satu set bukti kunci baru
    • CSP: Microsoft RSA SChannel kriptografi penyedia
    • bukti kunci penggunaan: Asing
    • bukti kunci ukuran: 1024-16384
    • Kontainer bukti kunci otomatis nama
    • Sertifikat toko toko sertifikat komputer lokal
  10. Di Advanced Options, menetapkan requestformat sebagai CMC.
  11. Dalam atribut kotak, ketik atribut desiredSAN. SAN atribut mengambil bentuk sebagai berikut:
    San: dns =DNS.name[& dns =DNS.name]
    Beberapa nama DNS dipisahkan oleh ampersand (&). Misalnya, jika nama domain controller corpdc1.fabrikam.com dan alias ldap.fabrikam.com, kedua nama harus disertakan dalam atribut SAN. String atribut yang dihasilkan ditampilkan sebagai berikut:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Klik Submit.
  13. Jika CA tidak dikonfigurasi untuk mengeluarkan certificatesautomatically, Sertifikat tertundahalaman web ditampilkan dan permintaan bahwa Anda menunggu untuk administrator untuk mengeluarkan sertifikat yang diminta.

    Untuk mengambil sertifikat yang hasissued administrator, terhubung ke http://nama server/ certsrv, andthen klik memeriksa sertifikat tertunda. Klik requestedcertificate, dan kemudian klik berikutnya.

    Jika certificatewas dikeluarkan,Sertifikat dikeluarkanhalaman web ditampilkan. Klikmenginstal sertifikat ini untuk menginstal thecertificate.

Bagaimana menggunakan utilitas Certreq.exe untuk membuat dan mengirim permintaan sertifikat yang meliputi SAN

Untuk menggunakan utilitas Certreq.exe untuk membuat dan mengirim permintaan sertifikat, ikuti langkah berikut:
  1. Buat file dimaksud yang menentukan pengaturan untuk permintaan sertifikat. Untuk membuat file dimaksud, Anda dapat menggunakan kode contoh di bagian "Membuat RequestPolicy.inf file" dalam artikel Microsoft TechNet berikut:
    Bagaimana untuk meminta sertifikat dengan nama alternatif subjek kustom
    SANs dapat dimasukkan dalam bagian [ekstensi]. Untuk contoh, lihat berkas dimaksud contoh.
  2. Simpan file sebagai Request.inf.
  3. Buka prompt perintah.
  4. Pada prompt perintah, ketik perintah berikut, dan thenpress ENTER:
    certreq-baru request.inf certnew.req
    Perintah ini menggunakan informasi dalam Request.inf file akan permintaan dalam format yang ditentukan oleh nilai RequestType dalam file dimaksud. Ketika permintaan dibuat, isautomatically pasangan bukti kunci publik dan Pribadi yang dihasilkan dan kemudian dimasukkan ke dalam permintaan objek di toko enrollmentrequests pada komputer lokal.
  5. Pada prompt perintah, ketik perintah berikut, dan thenpress ENTER:
    certreq-kirim certnew.req certnew.cer
    Perintah ini mengajukan permintaan sertifikat CA. Jika thereis lebih dari satu CA di lingkungan, switch - config bisa digunakan pada command line untuk mengarahkan permintaan untuk aspecific CA. Jika Anda tidak menggunakan saklar - config, Anda akan diminta untuk memilih CA yang permintaan harus diserahkan.

    Switch - config menggunakan format berikut merujuk kepada CA tertentu:
    ComputerName\Nama otoritas sertifikasi
    Sebagai contoh, menganggap bahwa nama CA adalah perusahaan CA1 kebijakan andthat nama domain adalah corpca1.fabrikam.com. Untuk menggunakan perintah certreq bersama-sama dengan ?config switch tospecify CA ini, ketik perintah berikut:
    certreq-kirim - config "corpca1.fabrikam.com\Corporate kebijakan CA1" certnew.req certnew.cer
    Jika CA ini adalah suatu perusahaan CA dan jika pengguna yang mengajukan permintaan thecertificate memiliki izin membaca dan mendaftarkan diri untuk template, therequest disampaikan. Sertifikat yang dikeluarkan disimpan dalam Certnew.cer file.Jika CA CA berdiri sendiri, permintaan sertifikat akan berada di pendingstate sampai disetujui oleh CA administrator. Output dari certreq-kirimperintah berisi nomor ID permintaan permintaan diajukan. Segera setelah sertifikat disetujui, dapat diakses dengan menggunakan nomor ID permintaan.
  6. Menggunakan nomor ID permintaan untuk mengambil sertifikat. TODO ini, ketik perintah berikut, dan kemudian tekan ENTER:
    certreq-mengambil RequestID certnew.CER
    Anda juga dapat menggunakan saklar - config di sini untuk mengambil permintaan sertifikat dari specificCA. Jika switch - config tidak digunakan, Anda akan diminta untuk memilih CA dari whichto mengambil sertifikat.
  7. Pada prompt perintah, ketik perintah berikut, dan thenpress ENTER:
    certreq-menerima certnew.cer
    Setelah Anda mengambil sertifikat, Anda harus menginstalnya. Thiscommand impor sertifikat ke toko tepat dan kemudian tautan langsung thecertificate dengan bukti kunci pribadi yang dibuat di langkah 4.

Bagaimana mengajukan permohonan sertifikat CA pihak ketiga

Jika Anda ingin mengirimkan permohonan sertifikat CA pihak ketiga, pertama menggunakan alat Certreq.exe untuk membuat sertifikat permintaan file. Anda dapat mengirimkan permintaan untuk CA pihak ketiga dengan menggunakan metode apa saja sesuai untuk vendor tersebut. Pihak ketiga harus mampu memproses permintaan sertifikat dalam CMC format.

Catatan: Kebanyakan vendor merujuk kepada permintaan sertifikat sebagai sertifikat penandatanganan permintaan (CSR).

Referensi

Untuk selengkapnya tentang cara mengaktifkan LDAP atas SSL bersama-sama dengan pihak ketiga certification authority, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
321051 Cara mengaktifkan LDAP atas SSL dengan otoritas sertifikasi pihak ketiga

Untuk informasi lebih lanjut tentang bagaimana untuk meminta sertifikat yang memiliki nama alternatif subjek kustom, kunjungi website Microsoft TechNet berikut:
Bagaimana untuk meminta sertifikat dengan nama alternatif subjek kustom
Untuk selengkapnya tentang cara menggunakan certutil tugas mengelola otoritas sertifikasi (CA), pergi ke situs MicrosoftDeveloper Network (MSDN) berikut:
Certutil tugas untuk mengelola Otoritas Sertifikat (CA)

Properti

ID Artikel: 931351 - Kajian Terakhir: 13 Maret 2014 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Kata kunci: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 931351

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com