Güvenli bir LDAP sertifikasına konu alternatif adı ekleme

  • Makale

Bu makalede, güvenli bir Basit Dizin Erişim Protokolü (LDAP) sertifikasına konu alternatif adı (SAN) ekleme işlemi açıklanmaktadır.

Şunlar için geçerlidir: Windows Server 2012 R2
Özgün KB numarası: 931351

Özet

LDAP sertifikası, Windows Server 2003 tabanlı bir bilgisayarda yapılandırılmış bir sertifika yetkilisine (CA) gönderilir. SAN, bilgisayar adı dışında bir Etki Alanı Adı Sistemi (DNS) adı kullanarak bir etki alanı denetleyicisine bağlanmanızı sağlar. Bu makale, kurumsal CA'ya, tek başına CA'ya veya üçüncü taraf CA'ya gönderilen bir sertifika isteğine SAN özniteliklerinin nasıl ekleneceği hakkında bilgi içerir.

Bu makalede aşağıdaki eylemlerin nasıl gerçekleştirılacağı da açıklanır:

  • Sertifika isteğinden SAN özniteliği kabul etmek için BIR CA yapılandırın.
  • Kuruluş CA'sına sertifika isteği oluşturun ve gönderin.
  • Tek başına CA'ya sertifika isteği oluşturun ve gönderin.
  • Certreq.exe aracını kullanarak bir sertifika isteği oluşturun.
  • Bir üçüncü taraf CA'ya sertifika isteği oluşturun ve gönderin.

Sertifika isteği oluşturma ve gönderme

Bir kuruluş CA'sına sertifika isteği gönderdiğinizde, sertifika şablonunun Active Directory dizin hizmetindeki bilgileri kullanmak yerine istekte SAN kullanacak şekilde yapılandırılması gerekir. Sürüm 1 Web Sunucusu şablonu, Güvenli Yuva Katmanı (SSL) üzerinden LDAP'yi destekleyecek bir sertifika istemek için kullanılabilir. Sürüm 2 şablonları, SAN'ı sertifika isteğinden veya Active Directory'den alacak şekilde yapılandırılabilir. Sürüm 2 şablonlarını temel alan sertifikalar vermek için kuruluş CA'sının Windows Server 2003 Enterprise Sürümü çalıştıran bir bilgisayarda çalışıyor olması gerekir.

Tek başına CA'ya istek gönderdiğinizde sertifika şablonları kullanılmaz. Bu nedenle, SAN her zaman sertifika isteğine dahil edilmelidir. SAN öznitelikleri, Certreq.exe programı kullanılarak oluşturulan bir isteğe eklenebilir. Alternatif olarak, WEB kayıt sayfaları kullanılarak gönderilen isteklere SAN öznitelikleri de eklenebilir.

Kurumsal CA'ya sertifika isteği göndermek için web kayıt sayfalarını kullanma

Kurumsal CA'ya SAN içeren bir sertifika isteği göndermek için şu adımları izleyin:

  1. Internet Explorer'ı açın.

  2. Internet Explorer'da adresine http://<servername>/certsrvbağlanın.

    Not

    Yer tutucu <sunucu adı> , Windows Server 2003 çalıştıran ve erişmek istediğiniz CA'ya sahip olan web sunucusunun adını temsil eder.

  3. Sertifika İste'ye tıklayın.

  4. Gelişmiş sertifika isteği'ne tıklayın.

  5. Oluştur'a tıklayın ve bu CA'ya istek gönderin.

  6. Sertifika Şablonu listesinde Web Sunucusu'na tıklayın.

    Not

    CA, web sunucusu sertifikaları vermek için yapılandırılmalıdır. CA web sunucusu sertifikaları vermek üzere henüz yapılandırılmamışsa, Web Sunucusu şablonunu Sertifika Yetkilisi ek bileşenindeki Sertifika Şablonları klasörüne eklemeniz gerekebilir.

  7. Gerektiğinde tanımlayıcı bilgiler sağlayın.

  8. Ad kutusuna etki alanı denetleyicisinin tam etki alanı adını yazın.

  9. Anahtar Seçenekleri'nin altında aşağıdaki seçenekleri ayarlayın:

    • Yeni anahtar kümesi oluşturma
    • CSP: Microsoft RSA SChannel Şifreleme Sağlayıcısı
    • Anahtar Kullanımı: Exchange
    • Anahtar Boyutu: 1024 - 16384
    • Otomatik anahtar kapsayıcı adı
    • Sertifikayı yerel bilgisayar sertifika deposunda depolama

  10. Gelişmiş Seçenekler'in altında istek biçimini CMC olarak ayarlayın.

  11. Öznitelikler kutusuna istediğiniz SAN özniteliklerini yazın. SAN öznitelikleri aşağıdaki biçimi alır:

    san:dns=dns.name[&dns=dns.name]

    Birden çok DNS adı bir ve işareti (&) ile ayrılır. Örneğin, etki alanı denetleyicisinin corpdc1.fabrikam.com adı ve diğer adı ise ldap.fabrikam.com, her iki ad da SAN özniteliklerine eklenmelidir. Sonuçta elde edilen öznitelik dizesi aşağıdaki gibi görüntülenir:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Gönder'e tıklayın.

  13. Sertifika Verildi web sayfasını görüyorsanız, Bu Sertifikayı Yükle'ye tıklayın.

Tek başına CA'ya sertifika isteği göndermek için web kayıt sayfalarını kullanma

Tek başına CA'ya SAN içeren bir sertifika isteği göndermek için şu adımları izleyin:

  1. Internet Explorer'ı açın.

  2. Internet Explorer'da adresine http://<servername>/certsrvbağlanın.

    Not

    Yer tutucu <sunucu adı>, Windows Server 2012 R2 çalıştıran ve erişmek istediğiniz CA'ya sahip olan web sunucusunun adını temsil eder.

  3. Sertifika İste'ye tıklayın.

  4. Gelişmiş sertifika isteği'ne tıklayın.

  5. Oluştur'a tıklayın ve bu CA'ya istek gönderin.

  6. Gerektiğinde tanımlayıcı bilgiler sağlayın.

  7. Ad kutusuna etki alanı denetleyicisinin tam etki alanı adını yazın.

  8. Sertifika Gerekli Sunucu Türü listesinde Sunucu Kimlik Doğrulama Sertifikası'na tıklayın.

  9. Anahtar Seçenekleri'nin altında aşağıdaki seçenekleri ayarlayın:

    • Yeni anahtar kümesi oluşturma
    • CSP: Microsoft RSA SChannel Şifreleme Sağlayıcısı
    • Anahtar Kullanımı: Exchange
    • Anahtar Boyutu: 1024 - 16384
    • Otomatik anahtar kapsayıcı adı
    • Sertifikayı yerel bilgisayar sertifika deposunda depolama

  10. Gelişmiş Seçenekler'in altında istek biçimini CMC olarak ayarlayın.

  11. Öznitelikler kutusuna istediğiniz SAN özniteliklerini yazın. SAN öznitelikleri aşağıdaki biçimi alır:

    san:dns=dns.name[&dns=dns.name]

    Birden çok DNS adı bir ve işareti (&) ile ayrılır. Örneğin, etki alanı denetleyicisinin adı corpdc1.fabrikam.com ve diğer ad ldap.fabrikam.com ise, her iki ad da SAN özniteliklerine eklenmelidir. Sonuçta elde edilen öznitelik dizesi aşağıdaki gibi görüntülenir:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Gönder'e tıklayın.

  13. CA otomatik olarak sertifika vermek üzere yapılandırılmamışsa, Bir Sertifika Beklemede web sayfası görüntülenir ve yöneticinin istenen sertifikayı vermesini beklemenizi gerektirir.

    Bir yöneticinin yayımladığı bir sertifikayı almak için öğesine bağlanın http://<servername>/certsrvve Ardından Bekleyen Sertifikayı Denetle'ye tıklayın. İstenen sertifikaya tıklayın ve ardından İleri'ye tıklayın.

    Sertifika verildiyse , Sertifika Verilen web sayfası görüntülenir. Sertifikayı yüklemek için Bu Sertifikayı Yükle'ye tıklayın.

SAN içeren bir sertifika isteği oluşturmak ve göndermek için Certreq.exe kullanma

sertifika isteği oluşturmak ve göndermek için Certreq.exe yardımcı programını kullanmak için şu adımları izleyin:

  1. Sertifika isteğinin ayarlarını belirten bir .inf dosyası oluşturun. .inf dosyası oluşturmak için, Özel Konu Alternatif Adıyla Sertifika İsteme bölümündeki RequestPolicy.inf dosyası oluşturma bölümündeki örnek kodu kullanabilirsiniz.

    SAN'lar [Uzantılar] bölümüne eklenebilir. Örnekler için örnek .inf dosyasına bakın.

  2. Dosyayı Request.inf olarak kaydedin.

  3. Bir komut istemi açın.

  4. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

    certreq -new request.inf certnew.req

    Bu komut, .inf dosyasındaki RequestType değeri tarafından belirtilen biçimde bir istek oluşturmak için Request.inf dosyasındaki bilgileri kullanır. İstek oluşturulduğunda, ortak ve özel anahtar çifti otomatik olarak oluşturulur ve ardından yerel bilgisayardaki kayıt istekleri deposuna bir istek nesnesi yerleştirir.

  5. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

    certreq -submit certnew.req certnew.cer

    Bu komut sertifika isteğini CA'ya gönderir. Ortamda birden fazla CA varsa anahtar, -config isteği belirli bir CA'ya yönlendirmek için komut satırında kullanılabilir. Anahtarı kullanmıyorsanız -config , isteğin gönderileceği CA'yı seçmeniz istenir.

    Anahtar, -config belirli bir CA'ya başvurmak için aşağıdaki biçimi kullanır:

    computername\Certification Authority Name

    Örneğin, CA adının Kurumsal İlke CA1 ve etki alanı adının olduğunu corpca1.fabrikam.comvarsayalım. Certreq komutunu bu CA'yı belirtmek üzere anahtarla -config birlikte kullanmak için aşağıdaki komutu yazın:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Bu CA kurumsal bir CA ise ve sertifika isteğini gönderen kullanıcının şablon için Okuma ve Kaydetme izinleri varsa istek gönderilir. Verilen sertifika Certnew.cer dosyasına kaydedilir. CA tek başına bir CA ise, sertifika isteği CA yöneticisi tarafından onaylanana kadar bekleme durumunda olur. certreq -submit komutunun çıkışı, gönderilen isteğin İstek Kimliği numarasını içerir. Sertifika onaylanır onaylanmaz İstek Kimliği numarası kullanılarak alınabilir.

  6. Aşağıdaki komutu çalıştırarak sertifikayı almak için İstek Kimliği numarasını kullanın:

    certreq -retrieve RequestID certnew.cer

    Sertifika isteğini belirli bir CA'dan almak için buradaki anahtarı da kullanabilirsiniz -config . -config Anahtar kullanılmazsa, sertifikanın alındığı CA'yı seçmeniz istenir.

  7. Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

    certreq -accept certnew.cer

    Sertifikayı aldıktan sonra yüklemeniz gerekir. Bu komut sertifikayı uygun depoya aktarır ve ardından sertifikayı 4. adımda oluşturulan özel anahtara bağlar.

Üçüncü taraf CA'ya sertifika isteği gönderme

Bir üçüncü taraf CA'ya sertifika isteği göndermek istiyorsanız, önce sertifika isteği dosyasını oluşturmak için Certreq.exe aracını kullanın. Ardından, söz konusu satıcı için uygun olan yöntemi kullanarak isteği üçüncü taraf CA'ya gönderebilirsiniz. Üçüncü taraf CA'nın sertifika isteklerini CMC biçiminde işleyebilmesi gerekir.

Not

Çoğu satıcı sertifika isteğine Sertifika İmzalama İsteği (CSR) olarak başvurur.

Başvurular

Ssl üzerinden LDAP'yi üçüncü taraf sertifika yetkilisiyle birlikte etkinleştirme hakkında daha fazla bilgi için bkz. Üçüncü taraf sertifika yetkilisiyle SSL üzerinden LDAP'yi etkinleştirme.

Özel konu alternatif adına sahip bir sertifika isteme hakkında daha fazla bilgi için bkz. Özel Konu Alternatif Adıyla Sertifika İsteme.

Sertifika yetkilisini (CA) yönetmek için certutil görevlerini kullanma hakkında daha fazla bilgi için aşağıdaki Microsoft Developer Network (MSDN) web sitesine gidin: Sertifika Yetkilisi 'ni (CA) yönetmek için Certutil görevleri