Tento článok popisuje Pridanie predmetom alternatívne meno (SAN) bezpečné Lightweight Directory Access Protocol (LDAP) osvedčenia. LDAP osvedčenia sa podáva certifikačný úrad (CA), ktorý je nakonfigurovaný na počítač so systémom Microsoft Windows Server 2003. SAN umožňuje pripojiť na radič domény pomocou systému DNS (Domain Name) iným názvom ako názov počítača. Tento článok obsahuje informácie o tom, ako pridať SAN atribúty na certifikáciu žiadosti, ktoré predloží podnik CA, samostatný certifikačný úrad alebo certifikačný úrad tretej strany.
Ako nakonfigurovať CA prijať SAN atribútu žiadosti o certifikát
V predvolenom nastavení, CA, ktorý je nakonfigurovaný na serveri Windows
2003-založené počítača
nesmú vydávať osvedčenia, ktoré obsahujú SAN rozšírenie. Ak SAN položky sú
zahrnuté do žiadosti o certifikát, tieto položky sú vynechané z vydaných
osvedčenie. Ak chcete zmeniť toto správanie, spustite nasledovné príkazy na príkaz
výzvu na serveri spustená služba Certifikačná autorita. Stlačte kláves ENTER
po každom príkaze.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2 net stop certsvc net start certsvc
Poznámka: EDITF_ATTRIBUTESUBJECTALNAME2 je potrebný len v prípade SAN je zahrnutý ako žiadosť atribút.
Ako vytvoriť a predložiť žiadosti o certifikát
Ak ste podanie žiadosti o certifikát na podnik CA,
Šablóna certifikátu musí byť nakonfigurovaný na používanie SAN v žiadosti namiesto
s použitím informácií z adresárovej služby Active Directory. Verzia 1
Web Server šablóny možno žiadosť o certifikát, ktorý bude podporovať LDAP
nad Secure Sockets Layer (SSL). Verzia 2 šablóny môžete nakonfigurovať tak, aby
načítať SAN z žiadosť o certifikát alebo zo služby Active Directory.
Vydávať osvedčenia, ktoré sú založené na verzii 2 šablóny, podnik CA
musí byť spustená na Windows Server 2003, Enterprise Edition-založené
počítač.
Ak podávate žiadosť na samostatný certifikačný úrad, osvedčenia
šablóny sa nepoužívajú. SAN, preto musia byť vždy zahrnuté v
žiadosť o certifikát. SAN atribúty môžu byť pridané do žiadosti, ktorý je vytvorený
pomocou programu Certreq.exe. Alebo SAN atribúty môžu byť zahrnuté do
žiadosti, ktoré sú predložené pomocou webových stránok pre zápis.
Ako používať stránky registrácia na podanie žiadosti o certifikát na certifikačný úrad podnikovej siete
Na podanie žiadosti o certifikát, ktorý obsahuje SAN na
podnik CA, postupujte nasledovne:
Otvorte program Internet Explorer.
V programe Internet Explorer, pripojte k
http://názov_servera/certsrv.
Poznámka: názov_servera je názov webovej
server so systémom Windows Server 2003 a že má CA, ktoré chcete
prístup.
Kliknite na položku Žiadosť o certifikát.
Kliknite na položku Rozšírené osvedčenie
žiadosť.
Kliknite na položku Vytvoriť a predložiť žiadosť to
CA.
V Šablóna certifikátu kliknite na,Webový Server.
Poznámka: Certifikačný úrad musí byť nakonfigurovaný vydávať osvedčenia webový Server. Ste
môžu sa pridať webový Server šablónu do priečinka Šablóny certifikátov v
Certifikačný úrad modulu Ak certifikačný úrad už nie je nakonfigurovaný na
vydávať osvedčenia webový Server.
Poskytnúť identifikačné informácie podľa požiadaviek.
V programu Zadajte plne kvalifikovaní
názov domény z radiča domény.
Podľa Kľúčové možnosti, nasledovné
možnosti:
Vytvorenie novej sady kľúčov
SDK: Microsoft RSA SChannel kryptografické
Poskytovateľ
Kľúčové použitie: výmena
Veľkosť kľúča: 1024-16384
Automatické kontajner kľúča
meno
Uložiť certifikát v lokálnom počítači
priestor na uloženie certifikátov
Podľa Rozšírené možnosti, nastaviť žiadosť
formát na CMC.
V Atribúty Zadajte po?adovaný
SAN atribúty. SAN atribúty mať nasledovnú podobu:
San: dns =DNS.name[& dns =DNS.name]
Viacero názvov DNS sú oddelené ampersand (&). Pre
napríklad, ak názov radiča domény je corpdc1.fabrikam.com a
alias je ldap.fabrikam.com, obe tieto názvy musia byť zahrnuté v SAN
atribúty. Výsledné atribút reťazec sa zobrazí takto:
Ak vidíte Osvedčenie vydané Web
kliknite na možnosť Install this Certificate.
Ako používať stránky registrácia na podanie žiadosti o certifikát na samostatný certifikačný úrad
Na podanie žiadosti o certifikát, ktorý obsahuje SAN na
samostatný CA, postupujte nasledovne:
Otvorte program Internet Explorer.
V programe Internet Explorer, pripojte k
http://názov_servera/certsrv.
Poznámka: názov_servera je názov webovej
server so systémom Windows Server 2003 a že má CA, ktoré chcete
prístup.
Kliknite na položku Žiadosť o certifikát.
Kliknite na položku Rozšírené osvedčenie
žiadosť.
Kliknite na položku Vytvoriť a predložiť žiadosť to
CA.
Poskytnúť identifikačné informácie podľa požiadaviek.
V programu Zadajte plne kvalifikovaní
názov domény z radiča domény.
V Typ certifikátu potrebné Serverkliknite na, Certifikát overovania servera.
Podľa Kľúčové možnosti, nasledovné
možnosti:
Vytvorenie novej sady kľúčov
SDK: Microsoft RSA SChannel kryptografické
Poskytovateľ
Kľúčové použitie: výmena
Veľkosť kľúča: 1024-16384
Automatické kontajner kľúča
meno
Uložiť certifikát v lokálnom počítači
priestor na uloženie certifikátov
Podľa Rozšírené možnosti, nastaviť žiadosť
formát CMC.
V Atribúty Zadajte po?adovaný
SAN atribúty. SAN atribúty mať nasledovnú podobu:
San: dns =DNS.name[& dns =DNS.name]
Viacero názvov DNS sú oddelené ampersand (&). Pre
napríklad, ak názov radiča domény je corpdc1.fabrikam.com a
alias je ldap.fabrikam.com, obe tieto názvy musia byť zahrnuté v SAN
atribúty. Výsledné atribút reťazec sa zobrazí takto:
Ak certifikačný úrad nie je nakonfigurovaný na vydanie osvedčenia
automaticky, Certifikát čakajúcej Zobrazí sa webová stránka a
žiadosti, ktoré počkať na správca vydať certifikát, ktorý bol
požadované.
Načítať certifikát, správca
vydané, pripojenie na http://názov_servera/certsrv, a
kliknite na tlačidlo Kontrolu čakajúceho certifikátu. Kliknite na požadované
certifikát a potom kliknite na tlačidlo Next.
Ak certifikát
bol vydaný, Osvedčenie vydané Webová stránka sa zobrazí.
Kliknite na položku Install this Certificate Inštalácia
osvedčenie.
Ako používať Certreq.exe pomôcku na vytvorenie a predloženie žiadosti o certifikát, ktorý obsahuje SAN
Použitie nástroja Certreq.exe na vytvoriť a predložiť osvedčenie
požiadať, postupujte nasledovne:
Vytvorenie súboru typu .inf, ktorý určuje nastavenia pre
žiadosť o certifikát. Môžete použiť nasledujúci kód vzorky vytvoriť súbor typu .inf
súbor.
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 1024 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer ;Omit line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
Important Notes: 1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file.
b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
Uložte súbor ako Request.inf.
Otvorte príkazový riadok.
Do príkazového riadka zadajte nasledovný príkaz a potom
stlačte kláves ENTER:
certreq-nový request.inf certnew.req
Tento príkaz používa informácie v súbore Request.inf na
vytvoriť požiadavku vo formáte, ktorý je určený hodnotou RequestType v
súbor .inf. Keď žiadosť je vytvorená, verejných a súkromných kľúčov je
automaticky generované a potom Vložiť v žiadosti námietky v registrácia
žiadosti sa uložiť na lokálnom počítači.
Do príkazového riadka zadajte nasledovný príkaz a potom
stlačte kláves ENTER:
certreq-predložiť certnew.req certnew.cer
Tento príkaz predloží žiadosť o certifikát na certifikačný úrad. Ak tam
je viac ako jeden príslušný orgán v životnom prostredí, -config prepínač možno použiť v príkazovom riadku na podať žiadosť
špecifické CA. Ak nepoužívate -config prepnúť, zobrazí sa výzva na vyberte certifikačný úrad, na ktorý
žiadosti sa predkladajú.
V -config prepínač používa nasledujúci formát odkazovať na špecifické CA:
názov_počítača\Názov orgánu osvedčenie
Napríklad predpokladať, že názvu CA je firemné politika CA1 a
názov domény je corpca1.fabrikam.com. Použitie certreq príkaz spolu s –Config prepnúť na
zadajte tento CA, zadajte nasledovný príkaz:
certreq-predložiť - config "corpca1.fabrikam.com\Corporate politiky CA1" certnew.req certnew.cer
Ak tento CA podnik CA a ak užívateľ, ktorý predkladá
osvedčenie, na ktoré sa žiadosť má čítať a Enroll povolenia pre šablónu,
žiadosti. Vydaný certifikát sa uloží v súbore Certnew.cer.
Ak certifikačný úrad je samostatný certifikačný úrad, žiadosť o certifikát bude Čakajúce
štátu, kým ho neschvália správcom CA. Výstup z certreq - predložiť príkaz obsahuje číslo ID žiadosti predložené žiadosti.
Osvedčenie bolo schválené, ako aj pomocou môže byť Zdroj:
Požiadať identifikačné číslo.
Načítať certifikát pomocou požiadať identifikačné číslo. Vykonaná akcia
to, zadajte nasledovný príkaz a stlačte kláves ENTER:
certreq-načítať RequestID certnew.cer
Môžete použiť aj -config prepínač tu získať žiadosť o certifikát z určitého
CA. Ak -config prepínač nie je použitá, sa zobrazí výzva na vyberte certifikačný úrad, z ktorých
na získanie osvedčenia.
Do príkazového riadka zadajte nasledovný príkaz a potom
stlačte kláves ENTER:
certreq-prijať certnew.cer
Po môžete načítať certifikát, musíte ho nainštalovať. Toto
príkaz dovozy osvedčenie na vhodné sklad a potom odkazy
osvedčenie na súkromný kľúč, ktorý je vytvorený v kroku 4.
Ako na podanie žiadosti o certifikát na certifikačný úrad tretej strany
Ak chcete požiadať o certifikát na certifikačný úrad tretej strany,
prvé použitie nástroja Certreq.exe vytvoriť súbor so žiadosťou certifikát. Môžete
potom predloží žiadosť na certifikačný úrad tretej strany pomocou akoukoľvek metódou je
vhodné pre daného dodávateľa. Tretia-party musia mať schopnosť spracovať
žiadosti o certifikáty v CMC formát.
Poznámka: Väčšina dodávateľov postúpi žiadosť o certifikát ako potvrdenie
Podpisovanie žiadosti (CSR).
Ďalšie informácie o tom, ako umožniť LDAP cez SSL spolu s
tretej strany certifikačného úradu, kliknite na nasledujúce článok číslo zobraziť
článok v databáze Microsoft Knowledge Base:
How to enable LDAP cez SSL s tretej strany certifikačného úradu
Ďalšie informácie o tom, ako žiadosť o certifikát, ktorý má vlastný alternatívny názov predmetu, navštívte nasledujúce webové stránky Microsoft TechNet:
ID článku: 931351 - Posledná kontrola: 17. augusta 2011 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Kľúčové slová:
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok bol preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft, nie prekladateľom. Spoločnosť Microsoft ponúka články preložené prekladateľmi aj strojovo preložené články, vďaka čomu máte možnosť prístupu ku všetkým článkom databázy Knowledge Base vo svojom jazyku. Strojovo preložený článok však nie je vždy perfektný. Môže obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky, podobne ako cudzinec môže robiť chyby, keď rozpráva vašim jazykom. Spoločnosť Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené akýmkoľvek nepresným prekladom obsahu alebo jeho použitím zo strany zákazníkov. Spoločnosť Microsoft softvér na strojový preklad pravidelne aktualizuje.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem:931351
Späť na začiatok
