Come aggiungere un nome alternativo del soggetto a un certificato LDAP sicuro

Traduzione articoli Traduzione articoli
Identificativo articolo: 931351 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo viene descritto come aggiungere un nome alternativo soggetto (SAN) a un certificato di Lightweight Directory Access Protocol (LDAP) protetta. Il certificato LDAP viene inviato a un'autoritÓ di certificazione (CA) Ŕ configurata in un computer basato su Windows Server 2003. La rete SAN consente di connettersi a un controller di dominio utilizzando un nome di sistema DNS (Domain Name) diverso dal nome del computer. In questo articolo sono incluse informazioni su come aggiungere attributi SAN a una richiesta di certificazione viene inviata a una CA globale, una CA autonoma o un'autoritÓ di certificazione di terze parti.

INTRODUZIONE

In questo articolo viene descritto come aggiungere un attributo SAN per un certificato LDAP protetto. In questo articolo spiega inoltre come eseguire le operazioni seguenti:
  • Configurare un'autoritÓ di certificazione per accettare un attributo SAN da un certificaterequest.
  • Creare e inviare una richiesta di certificato a una CA dell'organizzazione.
  • Creare e inviare una richiesta a un aloneCA di supporto.
  • Creare una richiesta di certificato utilizzando il Certreq.exetool.
  • Creare e inviare una richiesta a un terzo-partyCA.

Informazioni

Come creare e inviare una richiesta di certificato

Quando si invia una richiesta di certificato per una CA dell'organizzazione, il modello di certificato deve essere configurato per utilizzare la rete SAN nella richiesta invece di utilizzare le informazioni del servizio directory Active Directory. Il modello di Server Web della versione 1 consente di richiedere un certificato che supporterÓ LDAP tramite il livello SSL (Secure Sockets). Modelli versione 2 possono essere configurati per recuperare la SAN dalla richiesta di certificato o da Active Directory. Per il rilascio di certificati basati sui modelli versione 2, l'azienda che CA deve essere in esecuzione su un computer che esegue Windows Server 2003 Enterprise Edition.

Quando si invia una richiesta a una CA autonoma, modelli di certificato non vengono utilizzati. Di conseguenza, la SAN deve essere sempre incluso nella richiesta di certificato. Gli attributi SAN possono aggiunti a una richiesta che viene creata utilizzando il programma Certreq.exe. In alternativa, gli attributi SAN possono essere inclusi nelle richieste inviate tramite le pagine di registrazione web.

Come utilizzare pagine di registrazione web per inviare una richiesta di certificato a una CA dell'organizzazione

Per inviare una richiesta di certificato che contiene una SAN a una CA globale, attenersi alla seguente procedura:
  1. Aprire Internet Explorer.
  2. In Internet Explorer connettersi tohttp: / /NomeServer/certsrv.

    Nota. Il segnaposto NomeServerrappresenta il nome del server web che esegue Windows Server 2003 e che ha l'autoritÓ di certificazione che si desidera accedere.
  3. Fare clic su richiedere un certificato.
  4. Fare clic su Advanced certificaterequest.
  5. Fare clic su Crea e invia una richiesta a thisCA.
  6. Nell'elenco Modello di certificato , fare clic suServer Web.

    Nota.La CA deve essere configurata per il rilascio di certificati server web. Potrebbe essere necessario aggiungere il modello di Server Web nella cartella dei modelli di certificato nello snap-in AutoritÓ di certificazione, se la CA non Ŕ giÓ configurata per il rilascio di certificati server web.
  7. Fornire le informazioni di identificazione come richiesto.
  8. Nella casella nome digitare il nome di qualifieddomain completamente del controller di dominio.
  9. In Opzioni chiaveimpostare il followingoptions:
    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiave: Exchange
    • Dimensione della chiave: 1024-16384
    • Nome contenitore chiave automatico
    • Archivia certificato nell'archivio certificati del computer locale
  10. In Opzioni avanzate, impostare la requestformat CMC.
  11. Nella casella attributi digitare gli attributi di desiredSAN. Gli attributi SAN hanno il seguente formato:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    I nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio Ŕ corpdc1.fabrikam.com e l'alias Ŕ ldap.fabrikam.com, entrambi i nomi devono essere incluso negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Fare clic su Invia.
  13. Se viene visualizzato il certificato rilasciato pagina Web, fare clic suInstalla questo certificato.

Come utilizzare pagine di registrazione web per inviare una richiesta di certificato per una CA autonoma

Per inviare una richiesta di certificato che include una rete SAN a una CA autonoma, attenersi alla seguente procedura:
  1. Aprire Internet Explorer.
  2. In Internet Explorer connettersi tohttp: / /NomeServer/certsrv.

    Nota. Il segnaposto NomeServerrappresenta il nome del server web che esegue Windows Server 2003 e che ha l'autoritÓ di certificazione che si desidera accedere.
  3. Fare clic su richiedere un certificato.
  4. Fare clic su Advanced certificaterequest.
  5. Fare clic su Crea e invia una richiesta a thisCA.
  6. Fornire le informazioni di identificazione come richiesto.
  7. Nella casella nome digitare il nome di qualifieddomain completamente del controller di dominio.
  8. Nell'elenco Tipi di certificati necessari Server, fare clic su Certificato di autenticazione Server.
  9. In Opzioni chiaveimpostare il followingoptions:
    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiave: Exchange
    • Dimensione della chiave: 1024-16384
    • Nome contenitore chiave automatico
    • Archivia certificato nell'archivio certificati del computer locale
  10. In Opzioni avanzate, impostare la requestformat CMC.
  11. Nella casella attributi digitare gli attributi di desiredSAN. Gli attributi SAN hanno il seguente formato:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    I nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio Ŕ corpdc1.fabrikam.com e l'alias Ŕ ldap.fabrikam.com, entrambi i nomi devono essere incluso negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Fare clic su Invia.
  13. Se la CA non Ŕ configurata per il rilascio di certificatesautomatically, chiesto di attendere per un amministratore emetta il certificato Ŕ stato richiesto e viene visualizzata una pagina Web Certificato in sospeso.

    Per recuperare un certificato che hasissued un amministratore, connettersi a http://NomeServer/ certsrv, andthen clic su controllo di un certificato in sospeso. Fare clic sui requestedcertificate e quindi fare clic su Avanti.

    Se viene visualizzato il certificatewas rilasciato, la pagina WebCertificato emesso. Fare clic suInstalla questo certificato per installare il certificato.

Come utilizzare l'utilitÓ Certreq.exe per creare e inviare una richiesta di certificato che include una rete SAN

Per utilizzare l'utilitÓ Certreq.exe per creare e inviare una richiesta di certificato, attenersi alla seguente procedura:
  1. Creare un file inf che specifica le impostazioni per la richiesta di certificato. Per creare un file inf, Ŕ possibile utilizzare il codice di esempio nella sezione "Creazione di un file RequestPolicy.inf" del seguente articolo Microsoft TechNet:
    Come richiedere un certificato con un nome alternativo soggetto personalizzato
    SAN possono essere inclusi nella sezione [Extensions]. Per esempi, vedere il file inf di esempio.
  2. Salvare il file come Request.
  3. Aprire un prompt dei comandi.
  4. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-nuovo Request certnew.req
    Questo comando utilizza le informazioni in tocreate di file una richiesta nel formato specificato dal valore RequestType nel file inf di Request. Quando viene creata la richiesta, isautomatically la coppia di chiavi pubblica e privata generata e quindi inserire in un oggetto di richiesta nell'archivio di enrollmentrequests sul computer locale.
  5. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-inoltrare Certnew certnew.req
    Questo comando Invia la richiesta di certificato alla CA. Se thereis pi¨ di un'autoritÓ di certificazione nell'ambiente, l'opzione di configurazione pu˛ essere utilizzato nella riga di comando per indirizzare le richieste a inizialmente CA. Se non si utilizza l'opzione di configurazione, richiesto di selezionare l'autoritÓ di certificazione a cui inviare la richiesta.

    L'opzione di configurazione utilizza il formato seguente per fare riferimento a una CA specifica:
    nomecomputer\Nome dell'autoritÓ di certificazione
    Ad esempio, si supponga che il nome della CA Ŕ CA1 criteri aziendali andthat il nome di dominio Ŕ corpca1.fabrikam.com. Per utilizzare il comando certreq con il tospecify switch ? config questa CA, digitare il seguente comando:
    CertReq-inoltrare Certnew certnew.req corpca1.fabrikam.com\Corporate"- config CA1 criteri"
    Se la CA Ŕ una CA dell'organizzazione e se l'utente che invia la richiesta di certificato dispone di autorizzazioni di lettura e registrazione per il modello, therequest viene inviato. Il certificato emesso viene salvato nel file Certnew.Se si tratta di una CA autonoma, la richiesta di certificato sarÓ in un pendingstate finchÚ non viene approvato dall'amministratore CA. L'output di certreq-inviarecomando contiene il numero di ID di richiesta della richiesta inviata. Quando il certificato viene approvato, pu˛ essere recuperato utilizzando il numero di ID di richiesta.
  6. Utilizzare il numero di ID di richiesta per recuperare il certificato. TODO, digitare il comando seguente e quindi premere INVIO:
    CertReq-recuperare ID richiesta Certnew
    ╚ inoltre possibile utilizzare l'opzione di configurazione qui per recuperare la richiesta di certificato da un specificCA. Se non viene utilizzata l'opzione di configurazione , richiesto di selezionare la CA da whichto recuperare il certificato.
  7. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-accettare Certnew
    Dopo aver recuperato il certificato, Ŕ necessario installarlo. Thiscommand consente di importare il certificato nell'archivio appropriato e quindi collega certificato per la chiave privata viene creata nel passaggio 4.

Come inviare una richiesta di certificato a un'autoritÓ di certificazione di terze parti

Se si desidera inviare una richiesta di certificato a un'autoritÓ di certificazione di terze parti, Ŕ innanzitutto necessario utilizzare lo strumento di Certreq.exe per creare il file di richiesta di certificato. ╚ quindi possibile inviare la richiesta all'autoritÓ di certificazione di terze parti utilizzando qualsiasi metodo Ŕ appropriato per tale fornitore. Il terzo deve essere in grado di elaborare le richieste di certificato in formato CMC.

Nota. La maggior parte dei fornitori, fare riferimento alla richiesta di certificato come richiesta dei certificati di firma (CSR).

Riferimenti

Per ulteriori informazioni sull'abilitazione di LDAP su SSL con un'autoritÓ di certificazione di terze parti, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
321051 Come abilitare il protocollo LDAP su SSL con un'autoritÓ di certificazione di terze parti

Per ulteriori informazioni su come richiedere un certificato con un nome alternativo soggetto personalizzato, vedere il seguente sito Web Microsoft TechNet:
Come richiedere un certificato con un nome alternativo soggetto personalizzato
Per ulteriori informazioni sull'utilizzo di attivitÓ certutil per la gestione di un'autoritÓ di certificazione (CA), visitare il seguente sito Web MicrosoftDeveloper Network (MSDN):
AttivitÓ certutil per la gestione di un'autoritÓ di certificazione (CA)

ProprietÓ

Identificativo articolo: 931351 - Ultima modifica: giovedý 13 marzo 2014 - Revisione: 4.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Chiavi:á
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtit
Traduzione automatica articoli
IMPORTANTE: il presente articolo Ŕ stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l?obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre Ŕ perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilitÓ per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualitÓ della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 931351
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com