Makale numarası: 931351 - Son Gözden Geçirme: 17 Ağustos 2011 Çarşamba - Gözden geçirme: 1.0

Konu diğer adı için güvenli bir ldap sertifika ekleme

İngilizce ve Türkçe'yi yan yana görüntülemeBuraya tıklayarak İngilizce ve Türkçe'yi yan yana görüntüleyebilirsiniz.
Otomatik TercümeOtomatik tercüme makalelerin ne olduğunu açıklayan yazıyı okumak için buraya tıklayın
Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Bu makalede, konu diğer adı (san) için güvenli bir Basit Dizin Erişim Protokolü (ldap) sertifika ekleme işlemi açıklanmaktadır. ldap sertifika Microsoft Windows Server 2003 tabanlı bir bilgisayarda yapılandırılmış bir sertifika yetkilisi (ca) gönderilir. san bilgisayar adından farklı bir etki alanı adı sistemi (dns) adı kullanarak bir etki alanı denetleyicisine bağlanma sağlar. Bu makalede bir kuruluş CA'sı, gönderilen bir sertifika isteği san özniteliklerini eklemek hakkında bilgi içeren bir tek başına CA'ya veya üçüncü taraf ca.
Üste

GİRİŞ

Bu makalede bir san özniteliği eklemek nasıl bir Güvenli ldap sertifika. Bu makalede ayrıca nasıl yapılacağı aşağıda anlatılmaktadır:
  • san özniteliği bir sertifikadan kabul etmek için bir CA'yı yapılandırma isteği.
  • Oluşturmak ve bir kuruluş sertifika isteği gönderme CA.
  • Oluşturma ve tek başına bir sertifika isteği gönderme CA.
  • CertReq.exe'yi kullanarak bir sertifika isteği oluştur aracı.
  • Oluşturmak ve bir üçüncü taraf bir sertifika isteme CA.
Üste

Daha fazla bilgi

ca sertifika isteğini san özniteliğinden kabul etmek için yapılandırma hakkında

Varsayılan olarak, Windows sunucusunda yapılandırılmış ca 2003 tabanlı bilgisayar san uzantısı içeren sertifika düzenlemiyor. san girişleri ise sertifika isteğinde, bu girişler atlanır verilen dan Sertifika. Bu davranışı değiştirmek için aşağıdaki komutları bir komut çalıştırın Sertifika yetkilisi hizmetini çalıştıran sunucuda isteyecek. enter tuşuna basın Her komutun ardından.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc


Not EDITF_ATTRIBUTESUBJECTALNAME2, san istek özniteliği varsa yalnızca gereklidir.
Üste

Nasıl oluşturulacağı ve sertifika isteği gönderme

Kuruluş CA'sı, bir sertifika isteği gönderdiğinizde san istekte kullanmayı sertifika şablonu yapılandırılmalıdır. Active Directory dizin hizmetinden bilgileri kullanarak. Sürüm 1 ldap destekleyen sertifika istemek için Web sunucusu şablonu kullanılabilir. Güvenli Yuva Katmanı (ssl). Sürüm 2 şablonları için yapılandırılabilir: san, sertifika isteği veya Active Directory'den alır. Sürüm 2 şablonları, kuruluş CA'sı temel alan sertifikalar vermek üzere bir Windows Server 2003, Enterprise Edition tabanlı çalışmalıdır bilgisayar.

Tek başına bir ca için bir istek gönderdiğinde, sertifika Şablonları kullanılmaz. Bu nedenle, san her zaman dahil gerekir Sertifika isteği. san özniteliklerini oluşturulan bir isteğine eklenebilir. CertReq.exe'yi programını kullanarak. Ya da san öznitelikleri eklenebilir Web kayıt sayfalarını kullanarak gönderilen istek sayısı.

Bir kuruluş CA'sına sertifika isteği göndermek için Web kayıt sayfaları nasıl kullanılır

Bir san içeren bir sertifika isteği göndermek için bir Kuruluş CA'sı, şu adımları izleyin:
  1. Internet Explorer'ı açın.
  2. Internet Explorer'da bağlanmak http://Sunucuadıcertsrv.

    Not Sunucuadı Web adı istediğiniz CA'yı Windows Server 2003 ve o sunucuya sahip erişim.
  3. Tıklatın Sertifika isteme.
  4. Tıklatın Gelişmiş Sertifika İstek.
  5. Tıklatın Oluşturmak ve bu isteği gönder CA.
  6. İçinde Sertifika şablonu tıklatınWeb sunucusu.

    Not ca Web sunucusu sertifikaları vermek için yapılandırılmış olmalıdır. , Web sunucusu şablonunu sertifika şablonları klasörüne eklemek zorunda kalabilirsiniz Sertifika yetkilisi ca için önceden yapılandırılmamışsa, eklentisi Web sunucusu sertifika vermek.
  7. Gerektiği gibi tanımlayıcı bilgiler sağlar.
  8. İçinde Adı tam yazın etki alanı denetleyicisinin etki alanı adı.
  9. Altında Anahtar seçenekleri, aşağıdaki ayarla Seçenekler:
    • Yeni bir anahtar kümesi oluşturma
    • csp: Microsoft rsa SChannel Şifreleme Sağlayıcı
    • Anahtar kullanımı: Exchange
    • Anahtar boyutu: 1024-16384
    • Otomatik anahtar kapsayıcısı Ad
    • Yerel bilgisayardaki sertifika deposu Sertifika deposu
  10. Altında Gelişmiş seçenekleri, istek ayarlama biçimlendirmek için CMC.
  11. İçinde Öznitelikler İstenen yazın san özniteliklerini. san öznitelikleri aşağıdaki formu alın:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Birden çok dns adları ampersan (&) tarafından ayrılır. İçin Örneğin, etki alanı denetleyicisinin adı corpdc1.fabrikam.com ise ve ldap.fabrikam.com, diğer adı olan bu adlarının her ikisi san dahil edilmesi öznitelikler. Sonuç öznitelik dizesi aşağıdaki gibi görünür:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Tıklatın Gönder.
  13. Görüyorsanız, Sertifikanın verildiği kişi Web sayfasında,'ı tıklatın Bu sertifikayı yüklemek.

Bir tek başına CA'ya sertifika isteği göndermek için Web kayıt sayfaları nasıl kullanılır

Bir san içeren bir sertifika isteği göndermek için bir tek başına ca, aşağıdaki adımları izleyin:
  1. Internet Explorer'ı açın.
  2. Internet Explorer'da bağlanmak http://Sunucuadıcertsrv.

    Not Sunucuadı Web adı istediğiniz CA'yı Windows Server 2003 ve o sunucuya sahip erişim.
  3. Tıklatın Sertifika isteme.
  4. Tıklatın Gelişmiş Sertifika İstek.
  5. Tıklatın Oluşturmak ve bu isteği gönder CA.
  6. Gerektiği gibi tanımlayıcı bilgiler sağlar.
  7. İçinde Adı tam yazın etki alanı denetleyicisinin etki alanı adı.
  8. İçinde Sunucu sertifika gereklitıklatın Sunucu kimlik doğrulama sertifikası.
  9. Altında Anahtar seçenekleri, aşağıdaki ayarla Seçenekler:
    • Yeni bir anahtar kümesi oluşturma
    • csp: Microsoft rsa SChannel Şifreleme Sağlayıcı
    • Anahtar kullanımı: Exchange
    • Anahtar boyutu: 1024-16384
    • Otomatik anahtar kapsayıcısı Ad
    • Yerel bilgisayardaki sertifika deposu Sertifika deposu
  10. Altında Gelişmiş seçenekleri, istek ayarlama olarak biçimlendirmek CMC.
  11. İçinde Öznitelikler İstenen yazın san özniteliklerini. san öznitelikleri aşağıdaki formu alın:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Birden çok dns adları ampersan (&) tarafından ayrılır. İçin Örneğin, etki alanı denetleyicisinin adı corpdc1.fabrikam.com ise ve ldap.fabrikam.com, diğer adı olan bu adlarının her ikisi san dahil edilmesi öznitelikler. Sonuç öznitelik dizesi aşağıdaki gibi görünür:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Gönder'i tıklatın.
  13. ca sertifikaları verecek şekilde yapılandırılmamışsa otomatik olarak, bir Bekleyen sertifika Web sayfası görüntülenir ve bir yöneticinin sertifikayı vermesini beklemeniz istekleri oldu istedi.

    Bir yönetici olan bir sertifika almak için verilen, http:// bağlanmakSunucuadı/ certsrv öğesini ve i Bir beklemedeki sertifikayı izleme. İstenen tıklatın sertifikayı tıklatın ve sonra Sonraki.

    Sertifika verilmiş olan Sertifikanın verildiği kişi Web sayfası görüntülenir. Tıklatın Bu sertifikayı yüklemek yüklemek için Sertifika.
Üste

Oluşturmak ve bir san içeren bir sertifika isteği göndermek için certreq.exe'yi yardımcı programı nasıl kullanılır

CertReq.exe'yi yardımcı programını kullanarak oluşturmak ve sertifika Gönder İstek şu adımları izleyin:
  1. Ayarlarını belirten bir .inf dosyası oluşturmak Sertifika isteği. Bir .inf oluşturmak için aşağıdaki örnek kodu kullanabilirsiniz. dosya.
    [Version] 

Signature="$Windows NT$ 

[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE  ; TRUE = Private key is exportable
KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
			  ;    4096, 8192, 16384
KeySpec = 1             ; Key Exchange
KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
	
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
	
[RequestAttributes]
CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"

Important Notes:  1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file. 

     b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
  2. Dosyayı Request.inf kaydedin.
  3. Bir komut istemi açın.
  4. Komut istemine aşağıdaki komutu yazın ve sonra enter tuşuna basın:
    CertReq-yeni request.inf certnew.req
    Bu komut, Request.inf dosyasındaki bilgileri kullanır. RequestType değeri tarafından belirtilen biçimde bir isteği oluşturma .inf dosyası. Talebi, ortak ve özel anahtar çifti kullanılır otomatik olarak oluşturulur ve sonra put isteğinde nesne kaydını istekleri yerel bilgisayarda saklar.
  5. Komut istemine aşağıdaki komutu yazın ve sonra enter tuşuna basın:
    CertReq-certnew.req certnew.cer Gönder
    Bu komut, CA'ya sertifika isteği gönderir. Yoksa orada ortamında, birden fazla CA -config anahtarı kullanılabilir komut satırında isteğini yönlendirmek için bir Belirli ca. Kullanmak istemediğiniz, -config , size olan CA'yı seçin geçin İsteğin yeniden gönderilmesi gerekir.

    , -config anahtarı, belirli bir ca başvurmak için aşağıdaki biçimi kullanır:
    BİLGİSAYARADI\Sertifika Yetkilisi adı
    Örneğin, şirket İlkesi CA1 ca adı olduğunu varsayalım ve etki alanı adının corpca1.fabrikam.com olduğunu. Kullanmak için CertReq komutu ile birlikte –config geçiş Bu sertifika Yetkilisini belirtin, aşağıdaki komutu yazın:
    CertReq-ilke CA1 - config "corpca1.fabrikam.com\Corporate" certnew.req certnew.cer Gönder
    Bu CA'yı kuruluş CA'sı açıksa ve gönderen kullanıcının Sertifika İstek şablonu için okuma ve Kaydolma izinlerine sahiptir isteği gönderilir. Verilen sertifika Certnew.cer dosyasına kaydedilir. Bir tek başına CA'ya sertifika Yetkilisiyse, sertifika isteği olur bir bekleyen ca Yöneticisi tarafından onaylanana kadar durumu. Çıktısı CertReq - Gönder komut gönderilen istek istek kimliği numarasını içerir. Sertifikanın onaylanmış olarak, bunu kullanarak alınabilir Kimlik numarası isteyin.
  6. Sertifika almak için istek kimlik numarasını kullanın. İçin Bunu, aşağıdaki komutu yazın ve enter tuşuna basın:
    CertReq-almak RequestId certnew.cer
    De kullanabilirsiniz -config Buraya belirli bir sertifika isteği almak için geçiş CA. Yoksa -config anahtar, sorulur, ca seçmek için kullanılmaz sertifika almak için.
  7. Komut istemine aşağıdaki komutu yazın ve sonra enter tuşuna basın:
    CertReq-certnew.cer kabul
    Sertifikayı aldıktan sonra yüklemeniz gerekir. Bu komut uygun deposuna sertifika alır ve sonra bağlar 4. adımda oluşturduğunuz özel anahtarı sertifika.
Üste

Üçüncü taraf CA'sına sertifika isteği gönderme

Üçüncü taraf ca bir sertifika isteği göndermek istiyorsanız, İlk sertifika istek dosyası oluşturmak için certreq.exe'yi aracını kullanın. Yapabilecekleriniz sonra üçüncü taraf ca için hangi yöntemi kullanarak isteme Bu satıcı için uygun. Üçüncü taraf işleyebilir cmc biçiminde sertifika istekleri.

Not Sertifika isteği için bir sertifika olarak çoğu satıcıları bakın İmza iste (csr).
Üste

Referanslar

Birlikte ssl üzerinden ldap etkinleştirme hakkında daha fazla bilgi için bir üçüncü taraf sertifika yetkilisi, numarasını görüntülemek üzere aşağıdaki makaleyi tıklatın Microsoft Bilgi Bankası'ndaki makaleyi:
321051  (http://support.microsoft.com/kb/321051/ ) Üçüncü taraf sertifika yetkilisi ile ssl üzerinden ldap etkinleştirme

Bir özel konu diğer adı olan bir sertifika isteme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/ff625722 (ws.10) .aspx (http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx)
Bir sertifika yetkilisi (ca) yönetmek için kullanılan certutil görevleri'ni kullanma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn.microsoft.com/en-us/library/cc772751.aspx (http://msdn.microsoft.com/en-us/library/cc772751.aspx)
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Üste
Anahtar Kelimeler: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMttr
Üste
Otomatik TercümeOtomatik Tercüme
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:931351  (http://support.microsoft.com/kb/931351/en-us/ )
Üste