В данной статье описывается добавление имени субъекта альтернативу (SAN) сертификата безопасного протокола LDAP (Lightweight Directory Access Protocol). Сертификат LDAP отправляется в центр сертификации (ЦС), настроенного на компьютере под управлением Microsoft Windows Server 2003. SAN позволяет подключаться к контроллеру домена, используя имя системы доменных имен (DNS), отличное от имени компьютера. Данная статья содержит сведения о том, как добавлять атрибуты SAN сертификации запроса, который отправляется в ЦС предприятия, изолированный ЦС или ЦС сторонних.
Как настроить ЦС для принятия атрибут сети хранения данных из запроса сертификата
По умолчанию ЦС, настроенный на сервере Windows
2003, на компьютере
не выдавать сертификаты, которые содержат расширение сети хранения данных. Если записи SAN
включенные в запрос на сертификат, эти элементы опущены из выданных
сертификат. Чтобы изменить это поведение, выполните следующие команды в командной
запрос на сервере, где работают службы центра сертификации. Нажмите клавишу ВВОД
После каждой команды.
Команда certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2 NET stop certsvc NET start certsvc
Как создать и выдать запрос сертификата
При отправке запроса на сертификат на ЦС предприятия,
шаблон сертификата должен быть настроен на использование сети хранения данных в запросе
с помощью сведений из службы каталогов Active Directory. Версия 1
Сервер веб-шаблон можно использовать для запроса сертификата, который будет поддерживать LDAP
через Secure Sockets Layer (SSL). Можно настроить шаблоны версии 2
получить SAN из запроса сертификата или из Active Directory.
Для выдачи сертификатов, основанных на шаблонах версии 2, ЦС предприятия
должны работать на Windows Server 2003, Enterprise Edition на
компьютер.
Когда запрос к автономному центру сертификации, сертификат
шаблоны не используются. Таким образом, сеть хранения данных всегда должен быть включен в
запрос на сертификат. САН атрибуты могут быть добавлены в запрос, созданный
с помощью программы Certreq.exe. Или с атрибутами SAN могут быть включены в
запросы, отправленные с помощью веб-страниц подачи заявок.
Использование веб-страниц подачи заявок, чтобы отправить запрос сертификата в центр сертификации предприятия
Чтобы подать запрос на сертификат, содержащий SAN для
ЦС предприятия, выполните следующие действия.
Откройте обозреватель Internet Explorer.
В Internet Explorer подключитесь к
http://Имя_сервера/ certsrv.
Примечание Имя_сервера Имя веб-узла
сервер под управлением Windows Server 2003 и что у центра сертификации, который требуется
Microsoft Access.
Нажмите кнопку Запрос сертификата.
Нажмите кнопку Расширенный
запрос.
Нажмите кнопку Создать и выдать запрос к этому
ЦЕНТР СЕРТИФИКАЦИИ.
В Шаблон сертификата ВыберитеВеб-сервер.
Примечание Центр сертификации должен быть настроен на выдачу сертификатов веб-сервера. Вы
Возможно, потребуется добавить шаблон веб-сервере в папке «Шаблоны сертификатов» в
Центр сертификации оснастку Если центр сертификации не уже настроен на
выдавать сертификаты веб-сервера.
Идентифицирующие сведения при необходимости.
В Имя Введите полное имя
доменное имя контроллера домена.
В группе Параметры ключа, задайте следующие
параметры:
Создать новый набор ключей
CSP: Microsoft RSA SChannel криптографии
Поставщик
Использование ключа: Exchange
Размер ключа: 1024-16384
Автоматическое контейнера ключей
ИМЯ
Хранилище сертификатов на локальном компьютере
хранилище сертификатов
В группе Дополнительные параметры, задайте запрос
Чтобы форматировать CMC.
В Атрибуты Введите необходимый
С атрибутами SAN. С атрибутами SAN представляются в следующем виде:
Сан: dns =DNS.Name[& dns =DNS.Name]
Несколько DNS-имен разделяются знаком амперсанда (&). Для
Например, если имя контроллера домена, corpdc1.fabrikam.com и
Псевдоним — это ldap.fabrikam.com, оба из этих имен должно быть включено в сети SAN
атрибуты. Результирующая строка атрибута выглядит следующим образом:
Если вы видите Сертификат выдан Веб-
Выберите Установить этот сертификат.
Как отправить запрос сертификата для изолированного ЦС с помощью веб-страниц подачи заявок
Чтобы отправить запрос сертификата, включающего SAN для
автономный центр сертификации, выполните следующие действия:
Откройте обозреватель Internet Explorer.
В Internet Explorer подключитесь к
http://Имя_сервера/ certsrv.
Примечание Имя_сервера Имя веб-узла
сервер под управлением Windows Server 2003 и что у центра сертификации, который требуется
Microsoft Access.
Нажмите кнопку Запрос сертификата.
Нажмите кнопку Расширенный
запрос.
Нажмите кнопку Создать и выдать запрос к этому
ЦЕНТР СЕРТИФИКАЦИИ.
Идентифицирующие сведения при необходимости.
В Имя Введите полное имя
доменное имя контроллера домена.
В Необходимый тип сертификата сервераВыберите Сертификат проверки подлинности сервера.
В группе Параметры ключа, задайте следующие
параметры:
Создать новый набор ключей
CSP: Microsoft RSA SChannel криптографии
Поставщик
Использование ключа: Exchange
Размер ключа: 1024-16384
Автоматическое контейнера ключей
ИМЯ
Хранилище сертификатов на локальном компьютере
хранилище сертификатов
В группе Дополнительные параметры, задайте запрос
Применение формата CMC.
В Атрибуты Введите необходимый
С атрибутами SAN. С атрибутами SAN представляются в следующем виде:
Сан: dns =DNS.Name[& dns =DNS.Name]
Несколько DNS-имен разделяются знаком амперсанда (&). Для
Например, если имя контроллера домена, corpdc1.fabrikam.com и
Псевдоним — это ldap.fabrikam.com, оба из этих имен должно быть включено в сети SAN
атрибуты. Результирующая строка атрибута выглядит следующим образом:
Если центр сертификации настроен на выдачу сертификатов
автоматически Ожидаемый сертификат Откроется веб-страница и
запросы, ожидающие администратором для выдачи сертификата, который был
запрошено.
Чтобы получить сертификат, имеющий администратор
выдан соединиться с http://Имя_сервера/ certsrv, и
Нажмите кнопку Проверить ожидаемый сертификат. Выберите требуемый
сертификат, а затем нажмите кнопку Далее.
Если сертификат
был выдан, Сертификат выдан Откроется веб-страница.
Нажмите кнопку Установить этот сертификат для установки
сертификат.
Как использовать служебную программу Certreq.exe создать и выдать запрос, включающий SAN
Чтобы использовать служебную программу Certreq.exe для создания и отправки сертификата
запрос, выполните следующие действия:
INF-файл, который определяет параметры для создания
запрос на сертификат. Следующий пример кода позволяет создать файл .inf
файл.
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 1024 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer ;Omit line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
Important Notes: 1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file.
b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
Сохраните файл с именем Request.inf.
Откройте командную строку.
В командной строке введите следующую команду, а затем
Нажмите клавишу ВВОД:
certreq-новый request.inf certnew.req
Эта команда использует информацию в файле Request.inf
Создание запроса в формате, указанном параметром RequestType
INF-файл. При создании запроса — это пары открытого и закрытого ключей
автоматически создается и затем вставить запрос для объекта в регистрации
запросы хранятся на локальном компьютере.
В командной строке введите следующую команду, а затем
Нажмите клавишу ВВОД:
certreq-Отправка certnew.req certnew.cer
Эта команда отправляет запрос на сертификат в центр сертификации. Если существует
имеет более одного ЦС в среде -config ключ может использоваться в командной строке, чтобы направить запрос
конкретного центра сертификации. Если не используется -config Переключитесь, появится приглашение выбрать центр сертификации, к которому
следует отправлять запрос.
В -config коммутатор для ссылки на определенный ЦС используется следующий формат:
computerName\Имя центра сертификации
Предположим, что имя ЦС — CA1 корпоративной политики и
имя домена, corpca1.fabrikam.com. Для использования certreq Команда вместе с –config переключиться на
Укажите этот ЦС, введите следующую команду:
certreq-Отправка certnew.cer certnew.req политики CA1 - config «corpca1.fabrikam.com\Corporate»
Если этот ЦС является ЦС предприятия и отправил
запрос имеет разрешения «чтение» и «заявка» для шаблона сертификата
запрос отправлен. Выданный сертификат сохраняется в файл Certnew.cer.
Если ЦС изолированного ЦС, сертификат будет в состоянии ожидания
состояние, пока оно утверждено администратором центра сертификации. Выходные данные certreq - Отправка команда содержит идентификатор запрос отправлен запрос.
Как сертификат был утвержден, его можно получить, используя
Запросите Идентификационный номер.
Используйте идентификатор запроса для получения сертификата. Для
для этого введите следующую команду и нажмите клавишу ВВОД:
certreq-извлечь RequestID certnew.cer
Можно также использовать -config Переключение извлечь из указанного запроса сертификата
ЦЕНТР СЕРТИФИКАЦИИ. Если -config не используется параметр, потребуется выбрать центр сертификации из которого
для получения сертификата.
В командной строке введите следующую команду, а затем
Нажмите клавишу ВВОД:
certreq-принять certnew.cer
После получения сертификата его необходимо установить. Это
команда импортирует в соответствующее хранилище сертификатов, а затем связывает
сертификат с закрытым ключом, созданный на шаге 4.
Как отправить запрос сертификата независимого центра сертификации
Если вы хотите отправить запрос сертификата независимого центра сертификации
Сначала используйте программу Certreq.exe для создания файла запроса сертификата. Вы можете
Отправьте запрос на независимого центра сертификации, используя любой доступный метод
подходит для данного поставщика. Третьей стороны должны иметь возможность обработать
запросы сертификатов в формате CMC.
Примечание Большинство поставщиков называть сертификата запрос сертификата
Подписание запроса (CSR).
Для получения дополнительных сведений о включении LDAP через SSL вместе с
сторонние центры сертификации, щелкните следующий номер просмотр статьи
в статье базы знаний Майкрософт:
Код статьи: 931351 - Последнее изменение :: 18 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Ключевые слова:
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Спасибо! Благодаря вашему отзыву мы сможем сделать справочные материалы еще лучше. Чтобы воспользоваться дополнительными возможностями поддержки, посетите домашнюю страницу центра справки и поддержки.
Перейти к началу страницы
