Cum să adăugați un subiect Nume alternative pentru un certificat de LDAP securizate

Traduceri articole Traduceri articole
ID articol: 931351 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

Rezumat

Acest articol descrie cum se adaugă un nume alternative de subiect (SAN) la o sigure certificat usoare Director Access Protocol (LDAP). Certificatul de LDAP este prezentată la o autoritate de certificare (CA), care este configurat pe un computer bazat pe Windows Server 2003. SAN vă permite să vă conectați la un controler de domeniu utilizând un nume de Domain Name System (DNS) decât nume de sign-in computerului. Acest articol include informații despre cum să adăugați atribute de SAN la o cerere de certificare, care este trimis la o întreprindere CA, CA un stand-alone, sau CA un al treilea-petrecere.

INTRODUCERE

Acest articol descrie cum se adaugă un atribut de SAN la o sigure LDAP certificat. Acest articol discută, de asemenea, cum să faceți următoarele:
  • Configurați un CA pentru a accepta un atribut de SAN la o certificaterequest.
  • Creați și să prezinte o cerere de certificat de la o întreprindere CA.
  • Creați și să prezinte o cerere de certificat de la un stand-aloneCA.
  • Creați o solicitare de certificat utilizând Certreq.exetool.
  • Creați și să prezinte o cerere de certificat pentru un al treilea-partyCA.

Informații suplimentare

Cum de a crea și remite o solicitare de certificat

Când trimiteți o cerere de certificat de la o întreprindere CA, șablonul de certificat trebuie să fie configurat pentru a utiliza SAN în solicitarea în loc folosind informații de la serviciul director Active Directory. Versiunea 1 Server Web șablon poate fi folosit pentru a solicita un certificat care va sprijini LDAP peste Secure Sockets Layer (SSL). Versiunea 2 template-uri pot fi configurate pentru a prelua SAN din cererea de certificat sau de la Active Directory. Pentru a elibera certificate care se bazează pe versiunea 2 template-uri, întreprinderea CA trebuie să fie difuzate pe un computer pe care se execută Windows Server 2003 Enterprise Edition.

Când trimiteți o cerere CA un stand-alone, certificat de template-uri nu sunt utilizate. Prin urmare, SAN întotdeauna trebuie incluse în cererea de certificat. SAN atribute pot fi adăugate la o cerere care este creat cu ajutorul programului Certreq.exe. Sau, SAN atribute pot fi incluse în cereri care sunt transmise prin utilizarea de pagini web de înscriere.

Cum să utilizați pagini de înscriere web să depună o cerere de certificat de la o întreprindere CA

Pentru a remite o solicitare de certificat care conține un SAN la o întreprindere CA, urmați acești pași:
  1. Deschideți Internet Explorer.
  2. În Internet Explorer, conecta tohttp: / /servername/Certsrv.

    Notă Substituent servernamereprezintă nume de sign-in de serverul de web, care se execută Windows Server 2003 și care are CA care doriți să aveți acces.
  3. Faceți clic pe solicita un certificat.
  4. Faceți clic pe Advanced certificaterequest.
  5. Faceți clic pe creați și să prezinte o cerere de a thisCA.
  6. În Listă tabel de Certificat șablon , faceți clic peServerul Web.

    NotăCA trebuie să fie configurat pentru a elibera certificate de server web. Va trebui să adăugați server web șablon în folderul șabloane de certificat în completare snap-in de certificare dacă CA nu este configurat deja să elibereze certificate de server web.
  7. Furnizează informații de identificare necesare.
  8. În caseta nume , tasta?i nume de sign-in complet qualifieddomain de controlerul de domeniu.
  9. Sub Cheie de opțiuni, setați followingoptions:
    • Creați un nou set de cheie
    • CSP: Microsoft RSA SChannel Furnizorul criptografic
    • Cheie de utilizare: schimb
    • Dimensiune cheie: 1024-16384
    • Containerul cheie automat nume de sign-in
    • Magazin certificatul în computer local magazin de certificat
  10. Sub Op?iuni complexe, setați requestformat la CMC.
  11. În caseta de atribute , tip desiredSAN atributele. SAN atributele ia următoarea formă:
    San: dns =DNS.name[& dns =DNS.name]
    Nume DNS multiple sunt separate de un ampersand (&). De exemplu, dacă nume de sign-in controlerului de domeniu este corpdc1.fabrikam.com și aliasul este ldap.fabrikam.com, ambele nume trebuie incluse în atributele SAN. Șirul de atribut rezultate este afișat după cum urmează:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Faceți clic pe trimiteți.
  13. Dacă vedeți certificat eliberat pagină web, faceți clic peinstala acest certificat.

Cum să utilizați pagini de înscriere web să depună o cerere de certificat pentru un stand-alone CA

Pentru a remite o solicitare de certificat include un SAN la CA un stand-alone, urmați acești pași:
  1. Deschideți Internet Explorer.
  2. În Internet Explorer, conecta tohttp: / /servername/Certsrv.

    Notă Substituent servernamereprezintă nume de sign-in de serverul de web, care se execută Windows Server 2003 și care are CA care doriți să aveți acces.
  3. Faceți clic pe solicita un certificat.
  4. Faceți clic pe Advanced certificaterequest.
  5. Faceți clic pe creați și să prezinte o cerere de a thisCA.
  6. Furnizează informații de identificare necesare.
  7. În caseta nume , tasta?i nume de sign-in complet qualifieddomain de controlerul de domeniu.
  8. În Listă tabel Tip de certificat este necesar Server, faceți clic pe Certificat de autentificare Server.
  9. Sub Cheie de opțiuni, setați followingoptions:
    • Creați un nou set de cheie
    • CSP: Microsoft RSA SChannel Furnizorul criptografic
    • Cheie de utilizare: schimb
    • Dimensiune cheie: 1024-16384
    • Containerul cheie automat nume de sign-in
    • Magazin certificatul în computer local magazin de certificat
  10. Sub Op?iuni complexe, setați requestformat CMC.
  11. În caseta de atribute , tip desiredSAN atributele. SAN atributele ia următoarea formă:
    San: dns =DNS.name[& dns =DNS.name]
    Nume DNS multiple sunt separate de un ampersand (&). De exemplu, dacă nume de sign-in controlerului de domeniu este corpdc1.fabrikam.com și aliasul este ldap.fabrikam.com, ambele nume trebuie incluse în atributele SAN. Șirul de atribut rezultate este afișat după cum urmează:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Faceți clic pe Trimiteți.
  13. Dacă CA nu este configurat pentru a emite certificatesautomatically, o pagină de Web Certificat în așteptareeste afișat și cereri să așteptați pentru un administrator a certificatului care a fost solicitat.

    Pentru a prelua un certificat care o hasissued de administrator, conectați la http://servername/ certsrv, andthen faceți clic a verifica un certificat, în așteptare. Faceți clic pe requestedcertificate, și apoi faceți clic pe Următorul.

    Daca certificatewas a emis,Certificat eliberatpagina de web este afișat. Faceți clic peinstala acest certificat pentru a instala thecertificate.

Cum să utilizați utilitarul Certreq.exe pentru a crea și remite o solicitare de certificat care include un SAN

Pentru a utiliza utilitarul Certreq.exe pentru a crea și remite o solicitare de certificat, urmați acești pași:
  1. Creați un fișier .inf care specifică setările pentru solicitarea de certificat. Pentru a crea un fișier .inf, puteți utiliza exemple de cod în secțiunea "Crearea unui fișier de RequestPolicy.inf" din următorul articol Microsoft TechNet:
    Cum de a solicita un certificat cu o temă particularizată Nume Alternative
    SANs pot fi incluse în secțiunea [extensii]. Pentru exemple, a se vedea fișierul .inf eșantion.
  2. Salvați fișierul ca Request.inf.
  3. Deschideți un prompt de comandă.
  4. La linia Către de comandă, tastați următoarea comandă, și thenpress ENTER:
    certreq-noul request.inf certnew.req
    Această comandă folosește informațiile în Request.inf fișier tocreate o cerere în formatul specificat de valoarea RequestType în fișierul .inf. Atunci când cererea este creat, pereche de chei publice și private isautomatically generate și apoi pus într-un obiect de cerere în magazin enrollmentrequests pe computer local.
  5. La linia Către de comandă, tastați următoarea comandă, și thenpress ENTER:
    certreq-prezintă certnew.req certnew.cer
    Această comandă depune cererea de certificat CA. Dacă acolo mai mult de un singur CA în mediul, switch - configurare poate fi folosit în linia Către de comandă direct cererea de a o CA. Dacă nu utilizați comutatorul - config, vi se solicită să selectați CA care ar trebui să fie înaintată cererea.

    Switch - config utilizează următorul format pentru a se referi la o specifice CA:
    numecomputer\nume de sign-in de autoritate de certificare
    De exemplu, presupuneți că nume de sign-in CA este Corporate politica CA1 andthat nume de sign-in de domeniu este corpca1.fabrikam.com. Pentru a utiliza comanda certreq cu –config comutatorul tospecify CA aceasta, tastați următoarea comandă:
    certreq-prezintă certnew.cer de certnew.req politica CA1 - config "corpca1.fabrikam.com\Corporate"
    În cazul în care este CA este o întreprindere CA și în cazul în care utilizatorul care depune cererea de thecertificate are permisiuni de citire și înscriere pentru șablon, therequest este prezentat. Certificat eliberat este stocat în fișierul Certnew.cer.Dacă CA este CA un stand-alone, cererea de certificat va fi într-o pendingstate până când este aprobat de către administratorul de CA. De ieșire de la certreq-prezintăcomandă conține numărul cerere ID cererii depuse. De îndată ce certificatul este aprobat, pot fi recuperate folosind numărul cere ID.
  6. Utilizarea număr cerere ID pentru a prelua certificat. Todo aceasta, tastați următoarea comandă, și apoi apăsați ENTER:
    certreq-prelua RequestID certnew.cer
    Puteți utiliza, de asemenea, switch - config aici pentru a prelua cererea de certificat de la o specificCA. În cazul în care switch - config nu este utilizat, vi se solicită să selectați CA din whichto prelua certificat.
  7. La linia Către de comandă, tastați următoarea comandă, și thenpress ENTER:
    certreq-acceptă certnew.cer
    După ce veți regăsi certificatul, trebuie să instalați-l. Thiscommand importurile certificatul în magazin caz și apoi link-uri thecertificate la cheia privată, care este creat în Pasul 4.

Cum să prezinte o cerere de certificat de la o terță parte CA

Dacă doriți să prezinte o cerere de certificat de la o terță parte CA, în primul rând utilizați instrumentul Certreq.exe pentru a crea fișierul de cerere certificat. Apoi puteți trimite cererea pentru CA terțe părți folosind orice metoda este adecvată pentru respectivul furnizor. Terțe trebuie să fie capabil să proceseze cererile de certificat în formatul CMC.

Notă Cei mai mulți furnizori se referă la solicitarea de certificat ca un certificat semnare cereri (CSR).

Referințe

Pentru mai multe informații despre cum la spre enable LDAP peste SSL cu o autoritate de certificare de terți, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
321051 Cum la spre enable LDAP peste SSL cu o autoritate de certificare al treilea-petrecere

Pentru mai multe informații despre modul de a solicita un certificat care are o temă particularizată Nume alternative, du-te la următorul site Web Microsoft TechNet:
Cum de a solicita un certificat cu o temă particularizată Nume Alternative
Pentru mai multe informații despre cum să utilizați certutil sarcini pentru a gestiona o autoritate de certificare (CA), du-te la următorul site web MicrosoftDeveloper Network (MSDN):
Certutil sarcini de gestionare o autoritate de certificare (CA)

Proprietă?i

ID articol: 931351 - Ultima examinare: 13 martie 2014 - Revizie: 1.0
Se aplică la:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Cuvinte cheie: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 931351

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com