Como adicionar um nome alternativo do requerente um certificado de LDAP seguro

Traduções de Artigos Traduções de Artigos
Artigo: 931351 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Este artigo descreve como adicionar um nome alternativo do requerente (SAN) a um certificado seguro do Lightweight Directory Access Protocol (LDAP). O certificado LDAP é submetido a uma autoridade de certificação (AC) que esteja configurada num computador baseado no Windows Server 2003. SAN permite-lhe ligar a um controlador de domínio utilizando um nome de sistema de nomes de domínio (DNS) diferente do nome do computador. Este artigo inclui informações sobre como adicionar atributos SAN a um pedido de certificação da apresentação para uma AC empresarial, uma AC autónoma ou uma AC de outros fabricantes.

INTRODUÇÃO

Este artigo descreve como adicionar um atributo de SAN a um certificado LDAP seguro. Este artigo também explica como efectuar o seguinte:
  • Configure uma AC para aceitar um atributo de SAN de um certificaterequest.
  • Criar e submeter um pedido de certificado para uma AC empresarial.
  • Criar e submeter um pedido de certificado para um povoamento-aloneCA.
  • Crie um pedido de certificado utilizando o Certreq.exetool.
  • Criar e submeter um pedido de certificado para um terceiro-partyCA.

Mais Informação

Como criar e submeter um pedido de certificado

Quando submete um pedido de certificado para uma AC empresarial, o modelo de certificado tem de ser configurado para utilizar SAN no pedido em vez de utilizar informações do serviço de directório do Active Directory. O modelo de servidor da Web versão 1 pode ser utilizado para pedir um certificado que irá suportar LDAP através o Secure Sockets Layer (SSL). Modelos da versão 2 podem ser configurados para obter SAN do pedido de certificado ou do Active Directory. Para emitir certificados baseados em modelos da versão 2, a empresa de que AC tem de estar em execução num computador que está em execução do Windows Server 2003 Enterprise Edition.

Quando submete um pedido para uma AC autónoma, modelos de certificado não são utilizados. Por conseguinte, a SAN deve ser sempre incluída no pedido de certificado. Atributos SAN podem ser adicionados a um pedido que é criado utilizando o programa Certreq.exe. Ou, atributos SAN podem ser incluídos em pedidos que são submetidos, utilizando as páginas de inscrição web.

Como utilizar páginas web de inscrição para submeter um pedido de certificado para uma AC empresarial

Para submeter um pedido de certificado que contenha uma SAN para uma AC empresarial, siga estes passos:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, aceda tohttp: / /nome do servidor/certsrv.

    Nota O marcador de posição nome do servidorrepresenta o nome do servidor web com o Windows Server 2003 e com a AC que pretende aceder.
  3. Clique em Pedir um certificado.
  4. Clique em Avançadas certificaterequest.
  5. Clique em criar e submeter um pedido para thisCA.
  6. Na lista de Modelo de certificado , clique noServidor Web.

    NotaA AC tem de ser configurada para emitir certificados de servidor web. Poderá ter de adicionar o modelo de servidor Web para a pasta de modelos de certificado no snap-in Autoridade de certificação, se a AC já não está configurada para emitir certificados de servidor web.
  7. Fornece informações de identificação conforme necessário.
  8. Na caixa nome , escreva o nome de qualifieddomain totalmente do controlador de domínio.
  9. Em Opções da chave, defina o followingoptions:
    • Criar um novo conjunto de chaves
    • CSP: Fornecedor de criptografia Microsoft RSA SChannel
    • Utilização da chave: Exchange
    • Tamanho da chave: 1024-16384
    • Nome de contentor de chaves automática
    • Armazenar o certificado no arquivo de certificados de computador local
  10. Em Opções avançadas, como o requestformat CMC.
  11. Na caixa de atributos , escreva os atributos de desiredSAN. Atributos SAN ter a seguinte forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes de DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio é corpdc1.fabrikam.com e o alias é ldap.fabrikam.com, ambos os nomes devem ser incluídos nos atributos SAN. A cadeia de atributo resultante é apresentada da seguinte forma:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Clique em Submeter.
  13. Se vir o certificado emitido página Web, clique eminstalar este certificado.

Como utilizar páginas web de inscrição para submeter um pedido de certificado para uma AC autónoma

Para submeter um pedido de certificado que inclua uma SAN para uma AC autónoma, siga estes passos:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, aceda tohttp: / /nome do servidor/certsrv.

    Nota O marcador de posição nome do servidorrepresenta o nome do servidor web com o Windows Server 2003 e com a AC que pretende aceder.
  3. Clique em Pedir um certificado.
  4. Clique em Avançadas certificaterequest.
  5. Clique em criar e submeter um pedido para thisCA.
  6. Fornece informações de identificação conforme necessário.
  7. Na caixa nome , escreva o nome de qualifieddomain totalmente do controlador de domínio.
  8. Na lista Tipo de certificado necessário servidor, clique em Certificado de autenticação de servidor.
  9. Em Opções da chave, defina o followingoptions:
    • Criar um novo conjunto de chaves
    • CSP: Fornecedor de criptografia Microsoft RSA SChannel
    • Utilização da chave: Exchange
    • Tamanho da chave: 1024-16384
    • Nome de contentor de chaves automática
    • Armazenar o certificado no arquivo de certificados de computador local
  10. Em Opções avançadas, defina a requestformat como CMC.
  11. Na caixa de atributos , escreva os atributos de desiredSAN. Atributos SAN ter a seguinte forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes de DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio é corpdc1.fabrikam.com e o alias é ldap.fabrikam.com, ambos os nomes devem ser incluídos nos atributos SAN. A cadeia de atributo resultante é apresentada da seguinte forma:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Clique em submeter.
  13. Se a AC não for configurada para emitir certificatesautomatically, uma página Web de Certificado pendenteé apresentada e pede que aguarde a emissão do certificado foi pedido por um administrador.

    Para obter um certificado que hasissued um administrador, ligue a http://nome do servidor/ andthen de certsrv, clique em verificar um certificado pendente. Clique a requestedcertificate e, em seguida, clique em seguinte.

    Se for apresentado o certificatewas emitido, a página Web deCertificado emitido. Clique eminstalar este certificado para instalar o certificado.

Como utilizar o utilitário Certreq.exe para criar e submeter um pedido de certificado que inclua uma SAN

Para utilizar o utilitário Certreq.exe para criar e submeter um pedido de certificado, siga estes passos:
  1. Crie um ficheiro. inf especifica as definições para o pedido de certificado. Para criar um ficheiro. inf, pode utilizar o código de exemplo na secção "Criar um ficheiro de RequestPolicy.inf" no seguinte artigo da Microsoft TechNet:
    Como pedir um certificado com um nome alternativo do assunto personalizado
    SANs podem ser incluídos na secção [Extensions]. Para obter exemplos, consulte o ficheiro. inf de exemplo.
  2. Guarde o ficheiro como Request.inf.
  3. Abra uma linha de comandos.
  4. Na linha de comandos, escreva o seguinte comando e thenpress ENTER:
    CertReq-novo request.inf certnew.req
    Este comando utiliza as informações na tocreate de ficheiro a Request.inf um pedido no formato especificado pelo valor RequestType do ficheiro. inf. Quando o pedido é criado, o isautomatically de par de chaves públicas e privadas gerados e, em seguida, coloca num objecto de pedido no arquivo de enrollmentrequests no computador local.
  5. Na linha de comandos, escreva o seguinte comando e thenpress ENTER:
    CertReq-submeter Certnew certnew.req
    Este comando submete o pedido de certificado à AC. Se thereis mais do que uma AC no ambiente, o parâmetro - config pode ser utilizado na linha de comandos para direccionar o pedido para resolve AC. Se não utilizar o parâmetro de configuração, lhe for pedido para seleccionar a AC à qual o pedido deve ser apresentado.

    O parâmetro - config utiliza o seguinte formato para fazer referência a uma AC específica:
    nome do computador\Nome da autoridade de certificação
    Por exemplo, suponha que o nome da AC é CA1 de política da empresa andthat o nome de domínio é corpca1.fabrikam.com. Para utilizar o comando certreq em conjunto com o tospecify do parâmetro ?config esta AC, escreva o seguinte comando:
    CertReq-submeter Certnew de certnew.req de CA1 de política de - config "corpca1.fabrikam.com\Corporate"
    Se esta AC for uma AC empresarial, e se o utilizador que submete o pedido de certificado tem permissões de ler e inscrever para o modelo, é apresentado o therequest. O certificado emitido é guardado no ficheiro Certnew.Se a AC for uma AC autónoma, o pedido de certificado será de um pendingstate antes de ser aprovado pelo administrador da AC. A saída a partir do certreq-submetercomando contém o número de ID de pedido do pedido submetido. Logo que o certificado for aprovado, podem ser obtidas através do número de ID de pedido.
  6. Utilize o número de ID de pedido para obter o certificado. Todo, escreva o seguinte comando e, em seguida, prima ENTER:
    CertReq-obter RequestID Certnew
    Também pode utilizar o parâmetro - config aqui para obter o pedido de certificado a partir de um specificCA. Se não for utilizado o parâmetro de configuração , lhe for pedido para seleccionar a AC a partir whichto obter o certificado.
  7. Na linha de comandos, escreva o seguinte comando e thenpress ENTER:
    CertReq-aceitar Certnew
    Após a obtenção do certificado, terá de o instalar. Thiscommand importa o certificado para o arquivo adequado e, em seguida, liga o certificado para a chave privada que é criada no passo 4.

Como submeter um pedido de certificado para uma AC de outros fabricantes

Se pretender submeter um pedido de certificado para uma AC de terceiros, em primeiro lugar utilize a ferramenta de Certreq.exe para criar o ficheiro de requisição de certificado. Em seguida, pode submeter o pedido à AC de terceiros utilizando independentemente do método é adequado para esse fornecedor. O terceiro tem de ser capaz de processar pedidos de certificado no formato CMC.

Nota A maior parte dos fornecedores referem-se ao pedido de certificado como um certificado de assinatura pedido (CSR).

Referências

Para mais informações sobre como activar o LDAP sobre SSL em conjunto com uma autoridade de certificação de terceiros, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
321051 Como activar o LDAP sobre SSL com uma autoridade de certificação de terceiros

Para mais informações sobre como pedir um certificado que tenha um nome alternativo do assunto personalizado, consulte o seguinte Web site da Microsoft TechNet:
Como pedir um certificado com um nome alternativo do assunto personalizado
Para mais informações sobre a utilização de tarefas do certutil para gerir uma autoridade de certificação (AC), vá para o seguinte Web site da MicrosoftDeveloper Network (MSDN):
Tarefas do certutil para gerir uma autoridade de certificação (AC)

Propriedades

Artigo: 931351 - Última revisão: 13 de março de 2014 - Revisão: 2.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Palavras-chave: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 931351

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com