Bu makalede, konu diğer adı (san) için güvenli bir Basit Dizin Erişim Protokolü (ldap) sertifika ekleme işlemi açıklanmaktadır. ldap sertifika Microsoft Windows Server 2003 tabanlı bir bilgisayarda yapılandırılmış bir sertifika yetkilisi (ca) gönderilir. san bilgisayar adından farklı bir etki alanı adı sistemi (dns) adı kullanarak bir etki alanı denetleyicisine bağlanma sağlar. Bu makalede bir kuruluş CA'sı, gönderilen bir sertifika isteği san özniteliklerini eklemek hakkında bilgi içeren bir tek başına CA'ya veya üçüncü taraf ca.
Bu makalede bir san özniteliği eklemek nasıl bir
Güvenli ldap sertifika. Bu makalede ayrıca nasıl yapılacağı aşağıda anlatılmaktadır:
- san özniteliği bir sertifikadan kabul etmek için bir CA'yı yapılandırma
isteği.
- Oluşturmak ve bir kuruluş sertifika isteği gönderme
CA.
- Oluşturma ve tek başına bir sertifika isteği gönderme
CA.
- CertReq.exe'yi kullanarak bir sertifika isteği oluştur
aracı.
- Oluşturmak ve bir üçüncü taraf bir sertifika isteme
CA.
ca sertifika isteğini san özniteliğinden kabul etmek için yapılandırma hakkında
Varsayılan olarak, Windows sunucusunda yapılandırılmış ca
2003 tabanlı bilgisayar
san uzantısı içeren sertifika düzenlemiyor. san girişleri ise
sertifika isteğinde, bu girişler atlanır verilen dan
Sertifika. Bu davranışı değiştirmek için aşağıdaki komutları bir komut çalıştırın
Sertifika yetkilisi hizmetini çalıştıran sunucuda isteyecek. enter tuşuna basın
Her komutun ardından.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
Not EDITF_ATTRIBUTESUBJECTALNAME2, san istek özniteliği varsa yalnızca gereklidir.
Nasıl oluşturulacağı ve sertifika isteği gönderme
Kuruluş CA'sı, bir sertifika isteği gönderdiğinizde
san istekte kullanmayı sertifika şablonu yapılandırılmalıdır.
Active Directory dizin hizmetinden bilgileri kullanarak. Sürüm 1
ldap destekleyen sertifika istemek için Web sunucusu şablonu kullanılabilir.
Güvenli Yuva Katmanı (ssl). Sürüm 2 şablonları için yapılandırılabilir:
san, sertifika isteği veya Active Directory'den alır.
Sürüm 2 şablonları, kuruluş CA'sı temel alan sertifikalar vermek üzere
bir Windows Server 2003, Enterprise Edition tabanlı çalışmalıdır
bilgisayar.
Tek başına bir ca için bir istek gönderdiğinde, sertifika
Şablonları kullanılmaz. Bu nedenle, san her zaman dahil gerekir
Sertifika isteği. san özniteliklerini oluşturulan bir isteğine eklenebilir.
CertReq.exe'yi programını kullanarak. Ya da san öznitelikleri eklenebilir
Web kayıt sayfalarını kullanarak gönderilen istek sayısı.
Bir kuruluş CA'sına sertifika isteği göndermek için Web kayıt sayfaları nasıl kullanılır
Bir san içeren bir sertifika isteği göndermek için bir
Kuruluş CA'sı, şu adımları izleyin:
- Internet Explorer'ı açın.
- Internet Explorer'da bağlanmak
http://Sunucuadıcertsrv.
Not Sunucuadı Web adı
istediğiniz CA'yı Windows Server 2003 ve o sunucuya sahip
erişim. - Tıklatın Sertifika isteme.
- Tıklatın Gelişmiş Sertifika
İstek.
- Tıklatın Oluşturmak ve bu isteği gönder
CA.
- İçinde Sertifika şablonu tıklatınWeb sunucusu.
Not ca Web sunucusu sertifikaları vermek için yapılandırılmış olmalıdır. ,
Web sunucusu şablonunu sertifika şablonları klasörüne eklemek zorunda kalabilirsiniz
Sertifika yetkilisi ca için önceden yapılandırılmamışsa, eklentisi
Web sunucusu sertifika vermek. - Gerektiği gibi tanımlayıcı bilgiler sağlar.
- İçinde Adı tam yazın
etki alanı denetleyicisinin etki alanı adı.
- Altında Anahtar seçenekleri, aşağıdaki ayarla
Seçenekler:
- Yeni bir anahtar kümesi oluşturma
- csp: Microsoft rsa SChannel Şifreleme
Sağlayıcı
- Anahtar kullanımı: Exchange
- Anahtar boyutu: 1024-16384
- Otomatik anahtar kapsayıcısı
Ad
- Yerel bilgisayardaki sertifika deposu
Sertifika deposu
- Altında Gelişmiş seçenekleri, istek ayarlama
biçimlendirmek için CMC.
- İçinde Öznitelikler İstenen yazın
san özniteliklerini. san öznitelikleri aşağıdaki formu alın:
SAN: dns =DNS.Name[& dns =DNS.Name]
Birden çok dns adları ampersan (&) tarafından ayrılır. İçin
Örneğin, etki alanı denetleyicisinin adı corpdc1.fabrikam.com ise ve
ldap.fabrikam.com, diğer adı olan bu adlarının her ikisi san dahil edilmesi
öznitelikler. Sonuç öznitelik dizesi aşağıdaki gibi görünür:SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
- Tıklatın Gönder.
- Görüyorsanız, Sertifikanın verildiği kişi Web
sayfasında,'ı tıklatın Bu sertifikayı yüklemek.
Bir tek başına CA'ya sertifika isteği göndermek için Web kayıt sayfaları nasıl kullanılır
Bir san içeren bir sertifika isteği göndermek için bir
tek başına ca, aşağıdaki adımları izleyin:
- Internet Explorer'ı açın.
- Internet Explorer'da bağlanmak
http://Sunucuadıcertsrv.
Not Sunucuadı Web adı
istediğiniz CA'yı Windows Server 2003 ve o sunucuya sahip
erişim. - Tıklatın Sertifika isteme.
- Tıklatın Gelişmiş Sertifika
İstek.
- Tıklatın Oluşturmak ve bu isteği gönder
CA.
- Gerektiği gibi tanımlayıcı bilgiler sağlar.
- İçinde Adı tam yazın
etki alanı denetleyicisinin etki alanı adı.
- İçinde Sunucu sertifika gereklitıklatın Sunucu kimlik doğrulama sertifikası.
- Altında Anahtar seçenekleri, aşağıdaki ayarla
Seçenekler:
- Yeni bir anahtar kümesi oluşturma
- csp: Microsoft rsa SChannel Şifreleme
Sağlayıcı
- Anahtar kullanımı: Exchange
- Anahtar boyutu: 1024-16384
- Otomatik anahtar kapsayıcısı
Ad
- Yerel bilgisayardaki sertifika deposu
Sertifika deposu
- Altında Gelişmiş seçenekleri, istek ayarlama
olarak biçimlendirmek CMC.
- İçinde Öznitelikler İstenen yazın
san özniteliklerini. san öznitelikleri aşağıdaki formu alın:
SAN: dns =DNS.Name[& dns =DNS.Name]
Birden çok dns adları ampersan (&) tarafından ayrılır. İçin
Örneğin, etki alanı denetleyicisinin adı corpdc1.fabrikam.com ise ve
ldap.fabrikam.com, diğer adı olan bu adlarının her ikisi san dahil edilmesi
öznitelikler. Sonuç öznitelik dizesi aşağıdaki gibi görünür:SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
- Gönder'i tıklatın.
- ca sertifikaları verecek şekilde yapılandırılmamışsa
otomatik olarak, bir Bekleyen sertifika Web sayfası görüntülenir ve
bir yöneticinin sertifikayı vermesini beklemeniz istekleri oldu
istedi.
Bir yönetici olan bir sertifika almak için
verilen, http:// bağlanmakSunucuadı/ certsrv öğesini ve
i Bir beklemedeki sertifikayı izleme. İstenen tıklatın
sertifikayı tıklatın ve sonra Sonraki.
Sertifika
verilmiş olan Sertifikanın verildiği kişi Web sayfası görüntülenir.
Tıklatın Bu sertifikayı yüklemek yüklemek için
Sertifika.
Oluşturmak ve bir san içeren bir sertifika isteği göndermek için certreq.exe'yi yardımcı programı nasıl kullanılır
CertReq.exe'yi yardımcı programını kullanarak oluşturmak ve sertifika Gönder
İstek şu adımları izleyin:
- Ayarlarını belirten bir .inf dosyası oluşturmak
Sertifika isteği. Bir .inf oluşturmak için aşağıdaki örnek kodu kullanabilirsiniz.
dosya.
[Version]
Signature="$Windows NT$
[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE ; TRUE = Private key is exportable
KeyLength = 1024 ; Common key sizes: 512, 1024, 2048,
; 4096, 8192, 16384
KeySpec = 1 ; Key Exchange
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[RequestAttributes]
CertificateTemplate = WebServer ;Omit line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"
Important Notes: 1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file.
b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
- Dosyayı Request.inf kaydedin.
- Bir komut istemi açın.
- Komut istemine aşağıdaki komutu yazın ve sonra
enter tuşuna basın:
CertReq-yeni request.inf certnew.req
Bu komut, Request.inf dosyasındaki bilgileri kullanır.
RequestType değeri tarafından belirtilen biçimde bir isteği oluşturma
.inf dosyası. Talebi, ortak ve özel anahtar çifti kullanılır
otomatik olarak oluşturulur ve sonra put isteğinde nesne kaydını
istekleri yerel bilgisayarda saklar. - Komut istemine aşağıdaki komutu yazın ve sonra
enter tuşuna basın:
CertReq-certnew.req certnew.cer Gönder
Bu komut, CA'ya sertifika isteği gönderir. Yoksa orada
ortamında, birden fazla CA -config anahtarı kullanılabilir komut satırında isteğini yönlendirmek için bir
Belirli ca. Kullanmak istemediğiniz, -config , size olan CA'yı seçin geçin
İsteğin yeniden gönderilmesi gerekir.
, -config anahtarı, belirli bir ca başvurmak için aşağıdaki biçimi kullanır: BİLGİSAYARADI\Sertifika Yetkilisi adı
Örneğin, şirket İlkesi CA1 ca adı olduğunu varsayalım ve
etki alanı adının corpca1.fabrikam.com olduğunu. Kullanmak için CertReq komutu ile birlikte –config geçiş
Bu sertifika Yetkilisini belirtin, aşağıdaki komutu yazın: CertReq-ilke CA1 - config "corpca1.fabrikam.com\Corporate" certnew.req certnew.cer Gönder
Bu CA'yı kuruluş CA'sı açıksa ve gönderen kullanıcının
Sertifika İstek şablonu için okuma ve Kaydolma izinlerine sahiptir
isteği gönderilir. Verilen sertifika Certnew.cer dosyasına kaydedilir.
Bir tek başına CA'ya sertifika Yetkilisiyse, sertifika isteği olur bir bekleyen
ca Yöneticisi tarafından onaylanana kadar durumu. Çıktısı CertReq - Gönder komut gönderilen istek istek kimliği numarasını içerir.
Sertifikanın onaylanmış olarak, bunu kullanarak alınabilir
Kimlik numarası isteyin. - Sertifika almak için istek kimlik numarasını kullanın. İçin
Bunu, aşağıdaki komutu yazın ve enter tuşuna basın:
CertReq-almak RequestId certnew.cer
De kullanabilirsiniz -config Buraya belirli bir sertifika isteği almak için geçiş
CA. Yoksa -config anahtar, sorulur, ca seçmek için kullanılmaz
sertifika almak için. - Komut istemine aşağıdaki komutu yazın ve sonra
enter tuşuna basın:
CertReq-certnew.cer kabul
Sertifikayı aldıktan sonra yüklemeniz gerekir. Bu
komut uygun deposuna sertifika alır ve sonra bağlar
4. adımda oluşturduğunuz özel anahtarı sertifika.
Üçüncü taraf CA'sına sertifika isteği gönderme
Üçüncü taraf ca bir sertifika isteği göndermek istiyorsanız,
İlk sertifika istek dosyası oluşturmak için certreq.exe'yi aracını kullanın. Yapabilecekleriniz
sonra üçüncü taraf ca için hangi yöntemi kullanarak isteme
Bu satıcı için uygun. Üçüncü taraf işleyebilir
cmc biçiminde sertifika istekleri.
Not Sertifika isteği için bir sertifika olarak çoğu satıcıları bakın
İmza iste (csr).
Birlikte ssl üzerinden ldap etkinleştirme hakkında daha fazla bilgi için bir
üçüncü taraf sertifika yetkilisi, numarasını görüntülemek üzere aşağıdaki makaleyi tıklatın
Microsoft Bilgi Bankası'ndaki makaleyi:
321051
(http://support.microsoft.com/kb/321051/
)
Üçüncü taraf sertifika yetkilisi ile ssl üzerinden ldap etkinleştirme
Bir özel konu diğer adı olan bir sertifika isteme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
Bir sertifika yetkilisi (ca) yönetmek için kullanılan certutil görevleri'ni kullanma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Makale numarası: 931351 - Son Gözden Geçirme: 17 Ağustos 2011 Çarşamba - Gözden geçirme: 1.0
Bu makaledeki bilginin uygulandığı durum:
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Standard Edition
| kbexpertiseadvanced kbhowto kbmt KB931351 KbMttr |
Otomatik TercümeÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:
931351
(http://support.microsoft.com/kb/931351/en-us/
)
Üste
