Как добавить дополнительное имя субъекта сертификата безопасного LDAP

Переводы статьи Переводы статьи
Код статьи: 931351 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье описывается добавление имени вместо субъекта (SAN) для сертификата безопасного Lightweight Directory Access Protocol (LDAP). LDAP сертификата отправляется центру сертификации (ЦС), настроенный на компьютере под управлением Microsoft Windows Server 2003. SAN позволяет подключаться к контроллеру домена, используя имя системы доменных имен (DNS) отличается от имени компьютера. Данная статья содержит сведения о том, как добавлять атрибуты SAN сертификации запрос отправляется в ЦС предприятия, изолированный ЦС или ЦС сторонних производителей.

ВВЕДЕНИЕ

В данной статье описывается добавление атрибута SAN сертификат безопасного LDAP. В этой статье также рассматриваются способы сделать следующее:
  • Настройте центр сертификации для принятия атрибуте SAN с certificaterequest.
  • Создать и выдать запрос сертификата к enterpriseCA.
  • Создание и отправка запроса на сертификат stand-aloneCA.
  • Создайте запрос сертификата с помощью Certreq.exetool.
  • Создание и отправка запроса на сертификат, для третьего partyCA.

Дополнительная информация

Настройка ЦС для принятия атрибуте SAN из запроса на сертификат

По умолчанию ЦС, настроенного на компьютере под управлением Windows Server 2003 не выдавать сертификаты, которые содержат расширение сети хранения данных. Если SAN операции включены в запрос на сертификат, эти элементы исключаются из выданных сертификатов. Чтобы изменить это поведение, выполните следующие команды в командной строке на сервер, на котором выполняется служба центра сертификации. После каждой команды нажимайте клавишу ВВОД.
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
certsvc net stop
net start certsvc


Примечание EDITF_ATTRIBUTESUBJECTALNAME2 нужна только в том случае, если в сети SAN включается в качестве атрибута запроса.

Создание и отправка запроса сертификата

При отправке запроса на сертификат в центр сертификации предприятия, шаблон сертификата должен быть настроен для использования в запросе, а не с помощью сведений из службы каталогов Active Directory в сети SAN. Шаблон версии 1 веб-сервер может использоваться для запроса сертификата, который поддерживает LDAP через Secure Sockets Layer (SSL). Шаблоны версии 2 могут настраиваться для извлечения SAN из запроса сертификата или из Active Directory. Для выдачи сертификатов, основанных на шаблонах версии 2, ЦС предприятия должна быть запущена Windows Server 2003 Enterprise Edition на компьютере.

При отправке запроса на автономный центр сертификации не используются шаблоны сертификатов. Таким образом сеть хранения данных, всегда должен быть включен в запрос сертификата. SAN атрибуты могут быть добавлены в запрос, созданный с помощью программы Certreq.exe. Или с атрибутами SAN может включаться в запросы, отправленные с помощью веб-страниц подачи заявок.

Использование веб-страниц подачи заявок для отправки запроса на сертификат в центр сертификации предприятия

Чтобы отправить запрос сертификата, который содержит SAN для центра сертификации предприятия, выполните следующие действия.
  1. Откройте обозреватель Internet Explorer.
  2. В обозревателе Internet Explorer подключитесь tohttp: / /имя_сервера/ certsrv.

    Примечаниеимя_сервера — Это имя веб-сервера под управлением Windows Server 2003 и имеющий ЦС toaccess.
  3. Выберите запрос сертификата.
  4. Нажмите кнопку Дополнительно certificaterequest.
  5. Нажмите кнопку Создать и выдать запрос к thisCA.
  6. В списке Шаблон сертификата выберитеВеб-сервер.

    Примечание Должен быть настроен центр сертификации для выдачи сертификатов веб-сервера. Youmay нужно добавить шаблон веб-сервера в папку шаблонов сертификатов в оснастке «Центр сертификации», если центр сертификации не toissue настроенных сертификатов веб-сервера.
  7. Предоставляющие идентификационные данные при необходимости.
  8. В поле имя введите имя qualifieddomain полностью контроллера домена.
  9. В разделе Параметры ключаустановите followingoptions:
    • Создать новый набор ключей
    • CSP: Microsoft RSA SChannel криптопровайдера
    • Использование ключа: Exchange
    • Размер ключа: 1024-16384
    • Автоматическое имя контейнера ключа
    • Сохранить сертификат в хранилище сертификатов локального компьютера
  10. В группе Дополнительные параметрыCMCравным requestformat.
  11. Введите в поле атрибуты , атрибуты desiredSAN. С атрибутами SAN принимают следующую форму:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Несколько DNS-имен разделяются амперсандом (&). Forexample, если имя контроллера домена, corpdc1.fabrikam.com и thealias ldap.fabrikam.com, оба эти имена должны быть включены в SANattributes. Результирующая строка атрибута выглядит следующим образом:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Нажмите кнопку Отправить.
  13. Если вы видите сертификат выдан<b00> </b00> веб-страницы, нажмите кнопку установить этот сертификат.

Использование веб-страниц подачи заявок для отправки запроса на сертификат изолированному ЦС

Чтобы отправить запрос сертификата, который включает в себя SAN для изолированного центра сертификации, выполните следующие действия.
  1. Откройте обозреватель Internet Explorer.
  2. В обозревателе Internet Explorer подключитесь tohttp: / /имя_сервера/ certsrv.

    Примечаниеимя_сервера — Это имя веб-сервера под управлением Windows Server 2003 и имеющий ЦС toaccess.
  3. Выберите запрос сертификата.
  4. Нажмите кнопку Дополнительно certificaterequest.
  5. Нажмите кнопку Создать и выдать запрос к thisCA.
  6. Предоставляющие идентификационные данные при необходимости.
  7. В поле имя введите имя qualifieddomain полностью контроллера домена.
  8. В списке Тип сертификата требуется серверащелкните Сертификат проверки подлинности сервера.
  9. В разделе Параметры ключаустановите followingoptions:
    • Создать новый набор ключей
    • CSP: Microsoft RSA SChannel криптопровайдера
    • Использование ключа: Exchange
    • Размер ключа: 1024-16384
    • Автоматическое имя контейнера ключа
    • Сохранить сертификат в хранилище сертификатов локального компьютера
  10. В группе Дополнительные параметрыустановите requestformat как CMC.
  11. Введите в поле атрибуты , атрибуты desiredSAN. С атрибутами SAN принимают следующую форму:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Несколько DNS-имен разделяются амперсандом (&). Forexample, если имя контроллера домена, corpdc1.fabrikam.com и thealias ldap.fabrikam.com, оба эти имена должны быть включены в SANattributes. Результирующая строка атрибута выглядит следующим образом:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Нажмите кнопку Отправить.
  13. Если ЦС настроен на выдачу certificatesautomatically, Ожидаемый сертификат веб-страницы появляется andrequests ожидания администратором для выдачи сертификата, wasrequested.

    Чтобы получить сертификат, hasissued администратора подключиться к http://имя_сервера/ certsrv, andthen выберите Проверка отложенных сертификатов. Выберите requestedcertificate и нажмите кнопку Далее.

    Если появляется веб-страница Сертификат выдан был выдан certificatehas.Нажмите кнопку установить этот сертификат для установки сертификата.

Использование программы Certreq.exe для создания и отправки запроса на сертификат, включающий SAN

Чтобы использовать служебную программу Certreq.exe для создания и отправки запроса на сертификат, выполните следующие действия.
  1. Создайте INF-файл, задающий параметры для запроса сертификата. Следующий пример кода можно использовать для создания .inffile.
    [Version] 
    
    Signature="$Windows NT$ 
    
    [NewRequest]
    Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
    EncipherOnly = FALSE
    Exportable = FALSE  ; TRUE = Private key is exportable
    KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
    			  ;    4096, 8192, 16384
    KeySpec = 1             ; Key Exchange
    KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    	
    ; Omit entire section if CA is an enterprise CA
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    	
    [RequestAttributes]
    CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
    SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
    
    Important Notes:  1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file. 

    b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
  2. Сохраните файл с именем Request.inf.
  3. Откройте командную строку.
  4. В командной строке введите следующие команды и thenpress введите:
    certreq-новый request.inf certnew.req
    Эта команда использует данные для создания файла Request.inf запрос в формате, который определяется значение RequestType в INF-файле. Когда создается запрос, isautomatically пару открытого и закрытого ключей создается и затем помещается в объект запроса в хранилище enrollmentrequests на локальном компьютере.
  5. В командной строке введите следующие команды и thenpress введите:
    certreq-отправить certnew.req certnew.cer
    Эта команда отправляет запрос на сертификат в центр сертификации. Если thereis больше, чем один ЦС в среде, может быть параметром - config используется в командной строке, чтобы направить запрос на конкретную ЦС. Если параметр - config не используется, будет предложено выбрать центр сертификации, к которому следует отправлять therequest.

    Параметр - config для ссылки на определенный ЦС используется следующий формат:
    имя_компьютера\Имя центра сертификации
    Например предположим, что имя ЦС — andthat CA1 корпоративной политики доменное имя является corpca1.fabrikam.com. Чтобы использовать команду certreq с tospecify коммутатор –config этого ЦС, введите следующую команду:
    certreq-отправить certnew.cer certnew.req политики CA1 - config «corpca1.fabrikam.com\Corporate»
    Если этот ЦС является ЦС предприятия, а пользователь, отправивший запрос сертификата имеет разрешения чтение и заявка для шаблона, отправляется therequest. Выданный сертификат будет сохранен в файле Certnew.cer.Если изолированный ЦС, ЦС запрос на сертификат будет pendingstate до ее утверждения администратором ЦС. В результате certreq-отправить команда содержит идентификатор запрос отправлен запрос.Как только сертификат был утвержден, его можно извлечь, используя код theRequest.
  6. Используйте идентификатор запроса для получения сертификата. TODO, введите следующую команду и нажмите клавишу ВВОД:
    certreq-извлечь RequestID certnew.cer
    Можно также использовать параметр - config здесь для получения запроса на сертификат из specificCA. Если не используется параметр - config , вам будет предложено выбрать из whichto получить сертификат ЦС.
  7. В командной строке введите следующие команды и thenpress введите:
    certreq-принять certnew.cer
    После извлечения сертификат необходимо установить его. Импорт сертификата в хранилище соответствующие Thiscommand, а затем связывает сертификата с закрытым ключом, созданный на шаге 4.

Как отправить запрос сертификата независимого центра сертификации

Если вы хотите отправить запрос сертификата независимого центра сертификации, сначала используйте средство Certreq.exe для создания файла запроса сертификата. Затем можно отправить запрос на независимого центра сертификации, используя любой доступный метод, подходящий для данного поставщика. Третьей стороны должны иметь возможность обработки запросов на сертификат в формате CMC.

Примечание Большинство поставщиков ссылаться на запрос на сертификат как сертификат подписи запроса (CSR).

Ссылки

Дополнительные сведения о том, как включить LDAP через SSL с центром сертификации третьей стороной щелкните следующий номер статьи базы знаний Майкрософт:
321051 Активация LDAP через SSL с центром сертификации независимых производителей

Дополнительные сведения о том, как запрашивать сертификат, имеющий пользовательский дополнительное имя субъекта посетите следующий веб-узел Microsoft TechNet:
http://TechNet.Microsoft.com/en-us/library/ff625722 (WS.10).aspx
Дополнительные сведения о том, как использовать задачи certutil для управления центром сертификации (ЦС) посетите следующий веб-узел корпорации Майкрософт:
http://MSDN.Microsoft.com/en-us/library/cc772751.aspx

Свойства

Код статьи: 931351 - Последний отзыв: 1 ноября 2013 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Ключевые слова: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 931351

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com