Como adicionar um nome alternativo para um certificado LDAP seguro

ID do artigo: 931351 - Exibir os produtos aos quais esse artigo se aplica.
Tradução automáticaExibir Aviso de Isenção de Tradução Automática
Expandir tudo | Recolher tudo

Nesta página

Sumário

Este artigo descreve como adicionar um nome alternativo do assunto (SAN) para um certificado de Lightweight Directory Access Protocol (LDAP) segura. O certificado LDAP é enviado para uma autoridade de certificação (CA) que está configurada em um computador baseado no Microsoft Windows Server 2003. A SAN permite que você se conectar a um controlador de domínio usando um nome de Domain Name System (DNS) diferente do nome do computador. Este artigo inclui informações sobre como adicionar atributos de SAN para uma solicitação de certificação é enviada para uma CA corporativa, uma autoridade de certificação autônoma ou uma autoridade de certificação de terceiros.
Voltar para o início | Submeter comentários

INTRODUÇÃO

Este artigo descreve como adicionar um atributo de SAN para um certificado LDAP seguro. Este artigo também descreve como fazer o seguinte:
  • Configurar uma autoridade de certificação para aceitar um atributo de SAN de um certificado solicitação.
  • Criar e enviar uma solicitação de certificado para uma empresa A AUTORIDADE DE CERTIFICAÇÃO.
  • Criar e enviar uma solicitação de certificado para um independente. A AUTORIDADE DE CERTIFICAÇÃO.
  • Criar uma solicitação de certificado usando o certreq. exe ferramenta.
  • Criar e enviar uma solicitação de certificado para um terceiro A AUTORIDADE DE CERTIFICAÇÃO.
Voltar para o início | Submeter comentários

Mais Informações

Como configurar uma autoridade de certificação para aceitar um atributo de SAN a partir de uma solicitação de certificado

Por padrão, uma autoridade de certificação que esteja configurada em um servidor Windows computador baseado em 2003 não emita certificados que contenham a extensão de SAN. Se forem de entradas de SAN incluído na solicitação de certificado, essas entradas são omitidas do emitido certificado. Para alterar esse comportamento, execute os seguintes comandos em um comando. Solicitar no servidor que executa o serviço de autoridade de certificação. Pressione ENTER Após cada comando.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
NET stop certsvc
NET start certsvc


Observação O EDITF_ATTRIBUTESUBJECTALNAME2 só é necessário se a SAN está incluída como um atributo de solicitação.

Como criar e enviar uma solicitação de certificado

Quando você envia uma solicitação de certificado para uma CA corporativa, o o modelo de certificado deve ser configurado para usar em vez disso, o SAN na solicitação de uso das informações do serviço de diretório do Active Directory. A versão 1 Modelo de servidor Web pode ser usado para solicitar um certificado que oferecem suporte ao LDAP sobre o Secure Sockets Layer (SSL). Modelos da versão 2 podem ser configurados para recupere a SAN da solicitação de certificado ou do Active Directory. Para emitir certificados baseados em modelos da versão 2, a autoridade de certificação corporativa deve ser executado em um Windows Server 2003, Enterprise Edition com computador.

Quando você envia uma solicitação para uma autoridade de certificação autônoma, de certificado modelos não são usados. Portanto, a SAN sempre deve ser incluída na solicitação de certificado. Atributos de SAN podem ser adicionados a uma solicitação que é criada. usando o programa certreq. exe. Ou, os atributos de SAN podem ser incluídos em solicitações que são enviadas usando as páginas de registro da Web.

Como usar páginas de registro para enviar uma solicitação de certificado para uma CA corporativa

Para enviar uma solicitação de certificado que contém uma SAN para um empresa de autoridade de certificação, siga estas etapas:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, conecte http://servername/certsrv.

    Observação servername é o nome da Web servidor que esteja executando o Windows Server 2003 e que tem a autoridade de certificação que você deseja acesso.
  3. Clique em Solicitar um certificado..
  4. Clique em Avançada de certificado solicitação.
  5. Clique em Criar e enviar uma solicitação para isso AUTORIDADE DE CERTIFICAÇÃO.
  6. No Modelo de certificado lista, clique emServidor Web.

    Observação A autoridade de certificação deve ser configurada para emitir certificados de servidor Web. Você Talvez seja necessário adicionar o modelo de servidor Web para a pasta de modelos de certificado no o snap-in de autoridade de certificação se a CA já não estiver configurada para emita certificados de servidor Web.
  7. Fornece informações de identificação conforme necessário.
  8. No Nome Digite totalmente qualificado nome de domínio do controlador de domínio.
  9. Em Opções de chave, defina o seguinte opções:
    • Criar um novo conjunto de chaves
    • CSP: Criptografia Microsoft RSA SChannel Provedor
    • Uso de teclas: Exchange
    • Tamanho da chave: 1024-16384
    • Recipiente de chave automático nome
    • Armazenar certificado no computador local armazenamento de certificados
  10. Em Opções avançadas, defina a solicitação formato de CMC.
  11. No Atributos Digite o desejado. Atributos de SAN. Atributos de SAN tirar da seguinte forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes DNS são separados por um "e" comercial (&). Para exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o o alias é ldap.fabrikam.com, esses dois nomes devem ser incluídos na SAN atributos. A seqüência de caracteres do atributo resultante aparece como segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Clique em Enviar.
  13. Se você vir a Certificado emitido Web página, clique em Instalar este certificado.

Como usar páginas de registro para enviar uma solicitação de certificado para uma autoridade de certificação autônoma

Para enviar uma solicitação de certificado que inclua uma SAN para um autoridade de certificação autônoma, execute estas etapas:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, conecte http://servername/certsrv.

    Observação servername é o nome da Web servidor que esteja executando o Windows Server 2003 e que tem a autoridade de certificação que você deseja acesso.
  3. Clique em Solicitar um certificado..
  4. Clique em Avançada de certificado solicitação.
  5. Clique em Criar e enviar uma solicitação para isso AUTORIDADE DE CERTIFICAÇÃO.
  6. Fornece informações de identificação conforme necessário.
  7. No Nome Digite totalmente qualificado nome de domínio do controlador de domínio.
  8. No Tipo de certificado necessário servidorlista, clique em Certificado de autenticação de servidor.
  9. Em Opções de chave, defina o seguinte opções:
    • Criar um novo conjunto de chaves
    • CSP: Criptografia Microsoft RSA SChannel Provedor
    • Uso de teclas: Exchange
    • Tamanho da chave: 1024-16384
    • Recipiente de chave automático nome
    • Armazenar certificado no computador local armazenamento de certificados
  10. Em Opções avançadas, defina a solicitação Formatar como CMC.
  11. No Atributos Digite o desejado. Atributos de SAN. Atributos de SAN tirar da seguinte forma:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes DNS são separados por um "e" comercial (&). Para exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o o alias é ldap.fabrikam.com, esses dois nomes devem ser incluídos na SAN atributos. A seqüência de caracteres do atributo resultante aparece como segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Clique em Enviar.
  13. Se a CA não estiver configurada para emitir certificados automaticamente, um Certificado pendente Aparece a página da Web e solicitações que você aguarde o administrador emitir o certificado que foi solicitada.

    Para recuperar um certificado um administrador tem emitido, conectar-se para http://servername/certsrv, e em seguida, clique em Verificar um certificado pendente. Clique no solicitada. certificado e clique em Avançar.

    Se o certificado. foi emitido, o Certificado emitido Aparece a página da Web. Clique em Instalar este certificado Para instalar o certificado.

Como usar o utilitário certreq. exe para criar e enviar uma solicitação de certificado que inclua uma SAN

Para usar o utilitário certreq. exe para criar e enviar um certificado solicitar, execute estas etapas:
  1. Criar um arquivo. inf que especifica as configurações para o solicitação de certificado. Você pode usar o exemplo de código a seguir para criar um arquivo. inf arquivo.
    [Version] 

Signature="$Windows NT$ 

[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE  ; TRUE = Private key is exportable
KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
			  ;    4096, 8192, 16384
KeySpec = 1             ; Key Exchange
KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
	
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
	
[RequestAttributes]
CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"

Important Notes:  1) If you?re generating a request for a Windows 2008 and above, please remove ?EncipherOnly? option from the inf file. 

     b) If CA is a standalone CA, either remove ?CertificateTemplate = WebServer? option from the inf file or mark that as a comment by putting ; before the option.
  2. Salve o arquivo como Request.
  3. Abra um prompt de comando.
  4. No prompt de comando, digite o seguinte comando e, em seguida Pressione ENTER:
    certreq-new certnew.req de Request
    Este comando usa as informações no arquivo Request para criar uma solicitação no formato especificado pelo valor de RequestType o arquivo. inf. Quando a solicitação é criada, o par de chaves público e privado é gerado automaticamente e, em seguida, colocar em uma solicitação de objeto de registro solicitações de armazenam no computador local.
  5. No prompt de comando, digite o seguinte comando e, em seguida Pressione ENTER:
    certreq-enviar Certnew de certnew.req
    Este comando envia a solicitação de certificado à autoridade de certificação. Se há é mais de uma autoridade de certificação no ambiente, o -config opção pode ser usada na linha de comando para direcionar a solicitação para um autoridade de certificação específica. Se você não usar o -config Alternar, você será solicitado para selecionar a autoridade de certificação para o qual o solicitação deve ser enviada.

    O -config switch usa o formato a seguir para se referir a uma autoridade de certificação específica:
    nome_do_computador\Nome da autoridade de certificação
    Por exemplo, suponha que o nome da autoridade de certificação é CA1 de diretiva corporativa e que o nome de domínio é corpca1.fabrikam.com. Para usar o certreq comando junto com o ?config Alternar para especificar essa autoridade de certificação, digite o seguinte comando:
    certreq-enviar Certnew de certnew.req de corpca1.fabrikam.com\Corporate"- config diretiva CA1"
    Se essa autoridade de certificação é uma CA corporativa e se o usuário que envia o solicitação tem permissões de leitura e registro para o modelo de certificado a solicitação é enviada. O certificado emitido é salvo no arquivo Certnew. Se a CA é uma autoridade de certificação autônoma, a solicitação de certificado estará em um pendente estado quando for aprovado pelo administrador da autoridade de certificação. A saída das certreq - enviar comando contém o número de identificação da solicitação da solicitação submetida. Assim que o certificado foi aprovado, ele pode ser recuperado usando o Solicite o número de identificação.
  6. Use o número de identificação de solicitação para recuperar o certificado. Para fazer isso, digite o seguinte comando e pressione ENTER:
    certreq-recuperar RequestID Certnew
    Você também pode usar o -config switch para recuperar a solicitação de certificado a partir de um determinado A AUTORIDADE DE CERTIFICAÇÃO. Se o -config opção não for usada, você será solicitado para selecionar a autoridade de certificação do qual para recuperar o certificado.
  7. No prompt de comando, digite o seguinte comando e, em seguida Pressione ENTER:
    certreq-accept certnew. cer
    Depois de recuperar o certificado, você deve instalá-lo. Isso comando importa o certificado para o armazenamento de apropriado e vincula o certificado para a chave particular que é criado na etapa 4.

Como enviar uma solicitação de certificado para uma autoridade de certificação de terceiros

Se você quiser enviar uma solicitação de certificado para uma autoridade de certificação de terceiros primeiro, use a ferramenta certreq. exe para criar o arquivo de solicitação de certificado. Você pode em seguida, envie a solicitação à autoridade de certificação de terceiros usando qualquer método é apropriado para o fornecedor. De terceiros devem ser capaz de processar solicitações de certificado no formato CMC.

Observação A maioria dos fornecedores referem-se à solicitação de certificado como um certificado Assinatura de solicitação de (consumidor SAC).
Voltar para o início | Submeter comentários

Referências

Para obter mais informações sobre como habilitar LDAP sobre SSL, juntamente com um autoridade de certificação de terceiros, clique no seguinte número para ler o artigo o artigo na Base de dados de Conhecimento da Microsoft:
321051
(http://support.microsoft.com/kb/321051/ )
Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

Para obter mais informações sobre como solicitar um certificado que tenha um nome alternativo da entidade personalizada, visite o seguinte site da Microsoft TechNet:
. aspx do http://technet.microsoft.com/en-us/library/ff625722 (WS.10)
(http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx)
Para obter mais informações sobre como usar as tarefas de certutil para gerenciar uma autoridade de certificação (CA), visite o seguinte site da Microsoft:
http://msdn.microsoft.com/en-us/library/cc772751.aspx
(http://msdn.microsoft.com/en-us/library/cc772751.aspx)
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 931351 - Última revisão: quarta-feira, 17 de agosto de 2011 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 931351
(http://support.microsoft.com/kb/931351/en-us/ )
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início