Làm th? nào đ? thêm m?t đ?i tư?ng thay th? tên cho m?t gi?y ch?ng nh?n an toàn LDAP

ID c?a bài: 931351 - Xem s?n ph?m mà bài này áp d?ng vào.
Máy d?chThông báo: bài vi?t này là bài đư?c d?ch b?i Máy d?ch
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Bài vi?t này mô t? làm th? nào đ? thêm m?t tên thay th? tiêu đ? (SAN) cho m?t gi?y ch?ng nh?n an toàn Lightweight Directory Access Protocol (LDAP). Ch?ng ch? LDAP n?p cho m?t ch?ng nh?n authority (CA) đư?c c?u h?nh trên m?t máy tính d?a trên Microsoft Windows Server 2003. SAN cho phép b?n k?t n?i t?i m?t b? đi?u khi?n tên mi?n b?ng cách s? d?ng m?t h? th?ng tên mi?n (DNS) tên khác v?i tên máy tính. Bài vi?t này bao g?m thông tin v? làm th? nào đ? thêm SAN thu?c tính vào m?t yêu c?u c?p gi?y ch?ng nh?n n?p cho m?t doanh nghi?p CA, m?t CA đ?c l?p, ho?c m?t CA bên th? ba.
Quay l?i đ?u trang | Cung cấp Phản hồi

GI?I THI?U

Bài vi?t này mô t? cách thêm m?t thu?c tính SAN đ? m?t LDAP gi?y ch?ng nh?n an toàn. Bài vi?t này c?ng th?o lu?n v? làm th? nào đ? th?c hi?n như sau:
  • C?u h?nh m?t CA đ? ch?p nh?n m?t thu?c tính SAN t? m?t ch?ng ch? yêu c?u.
  • T?o và g?i m?t yêu c?u ch?ng ch? đ? m?t doanh nghi?p CA.
  • T?o và g?i m?t yêu c?u ch?ng ch? đ? m?t đ?c l?p CA.
  • T?o ra m?t yêu c?u ch?ng ch? b?ng cách s? d?ng Certreq.exe công c?.
  • T?o và g?i m?t yêu c?u ch?ng ch? đ? m?t bên th? ba CA.
Quay l?i đ?u trang | Cung cấp Phản hồi

THÔNG TIN THÊM

Làm th? nào đ? c?u h?nh m?t CA đ? ch?p nh?n m?t thu?c tính SAN t? m?t yêu c?u gi?y ch?ng nh?n

Theo m?c đ?nh, m?t CA đư?c c?u h?nh trên m?t máy ch? Windows 2003-d?a máy tính không c?p gi?y ch?ng nh?n có ch?a ph?n m? r?ng SAN. N?u SAN m?c bao g?m trong yêu c?u c?a gi?y ch?ng nh?n, các m?c đư?c b? qua t? các ban hành gi?y ch?ng nh?n. Đ? thay đ?i hành vi này, ch?y các l?nh sau t?i m?t l?nh nhanh chóng trên máy ch? ch?y d?ch v? th?m quy?n c?p gi?y ch?ng nh?n. Nh?n ENTER sau m?i l?nh.
certutil - setreg policy\EditFlags + EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net b?t đ?u certsvc


Chú ý EDITF_ATTRIBUTESUBJECTALNAME2 ch? c?n thi?t n?u SAN đư?c bao g?m như là m?t thu?c tính yêu c?u.

Làm th? nào đ? t?o ra và g?i m?t yêu c?u gi?y ch?ng nh?n

Khi b?n g?i m?t yêu c?u ch?ng ch? đ? m?t doanh nghi?p CA, các bi?u m?u ch?ng ch? ph?i đư?c c?u h?nh đ? s? d?ng các SAN trong yêu c?u thay th? s? d?ng thông tin t? d?ch v? thư m?c Active directory. Phiên b?n 1 Web Server m?u có th? đư?c s? d?ng đ? yêu c?u m?t ch?ng ch? s? h? tr? LDAP hơn Secure Sockets Layer (SSL). Phiên b?n 2 m?u có th? đư?c c?u h?nh đ? truy xu?t các SAN t? yêu c?u ch?ng ch? ho?c t? Active Directory. C?p gi?y ch?ng nh?n đư?c d?a trên phiên b?n 2 m?u, doanh nghi?p CA ph?i ch?y trên m?t Windows Server 2003, phiên b?n doanh nghi?p d?a trên máy tính.

Khi b?n g?i m?t yêu c?u cho m?t CA đ?c l?p, ch?ng ch? m?u không đư?c s? d?ng. V? v?y, các SAN luôn luôn ph?i đư?c bao g?m trong các yêu c?u ch?ng ch?. SAN thu?c tính có th? đư?c thêm vào m?t yêu c?u đư?c t?o ra b?ng cách s? d?ng chương tr?nh Certreq.exe. Ho?c, SAN thu?c tính có th? đư?c bao g?m trong yêu c?u đư?c g?i b?ng cách s? d?ng các trang Web đăng k?.

Làm th? nào đ? s? d?ng các trang Web đăng k? đ? g?i m?t yêu c?u ch?ng ch? đ? m?t doanh nghi?p CA

Đ? g?i m?t yêu c?u ch?ng ch? ch?a m?t SAN đ? m?t doanh nghi?p CA, h?y làm theo các bư?c sau:
  1. M? Internet Explorer.
  2. Trong Internet Explorer, k?t n?i v?i http://ServerName/certsrv.

    Chú ý ServerName là tên c?a trang Web máy ch? đang ch?y Windows Server 2003 và đi?u đó có CA mà b?n mu?n truy c?p.
  3. Nh?p vào Yêu c?u m?t ch?ng ch?.
  4. Nh?p vào Ch?ng ch? chuyên sâu yêu c?u.
  5. Nh?p vào T?o và đ? tr?nh m?t đ? ngh? này CA.
  6. Trong các Bi?u m?u ch?ng ch? danh sách, b?m vàoWeb Server.

    Chú ý CA ph?i đư?c c?u h?nh đ? phát hành ch?ng ch? máy ch? Web. B?n có th? có thêm các b?n m?u Web Server đ? thư m?c ch?ng ch? m?u trong ch?ng nh?n Authority-theo n?u CA không đ? đư?c c?u h?nh đ? c?p ch?ng ch? máy ch? Web.
  7. Cung c?p thông tin nh?n d?ng theo yêu c?u.
  8. Trong các Tên h?p, g? đ?y đ? đi?u ki?n tên mi?n c?a đi?u khi?n vùng.
  9. Dư?i Phím tùy ch?n, đ?t sau đây tùy ch?n:
    • T?o m?t t?p m?i quan tr?ng
    • CSP: Microsoft RSA SChannel m?t m? Nhà cung c?p
    • Phím cách s? d?ng: Exchange
    • Phím kích thư?c: 1024-16384
    • T? đ?ng khóa container Tên
    • Ch?ng ch? lưu tr? trong máy tính c?c b? Kho ch?ng ch?
  10. Dư?i Tùy ch?n chuyên sâu, đ?t theo yêu c?u đ?nh d?ng đ? CMC.
  11. Trong các Thu?c tính h?p, g? các mong mu?n SAN thu?c tính. SAN thu?c tính có d?ng sau:
    San: dns =DNS.name[& dns =DNS.name]
    Nhi?u DNS tên đư?c ngăn cách b?i m?t d?u "và" (&). Cho Ví d?, n?u tên c?a b? đi?u khi?n tên mi?n là corpdc1.fabrikam.com và các bí danh là ldap.fabrikam.com, c? hai trong s? các tên này ph?i đư?c bao g?m trong các SAN thu?c tính. Thu?c tính chu?i k?t qu? xu?t hi?n như sau:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Nh?p vào Gửi.
  13. N?u b?n nh?n th?y các Ch?ng ch? đ? ban hành Web Trang, nh?p vào Cài đ?t ch?ng ch? này.

Làm th? nào đ? s? d?ng các trang Web đăng k? đ? g?i m?t yêu c?u ch?ng ch? đ? m?t đ?ng m?t m?nh-CA

Đ? g?i m?t yêu c?u ch?ng ch? bao g?m m?t SAN đ? m?t đ?c l?p CA, làm theo các bư?c sau:
  1. M? Internet Explorer.
  2. Trong Internet Explorer, k?t n?i v?i http://ServerName/certsrv.

    Chú ý ServerName là tên c?a trang Web máy ch? đang ch?y Windows Server 2003 và đi?u đó có CA mà b?n mu?n truy c?p.
  3. Nh?p vào Yêu c?u m?t ch?ng ch?.
  4. Nh?p vào Ch?ng ch? chuyên sâu yêu c?u.
  5. Nh?p vào T?o và đ? tr?nh m?t đ? ngh? này CA.
  6. Cung c?p thông tin nh?n d?ng theo yêu c?u.
  7. Trong các Tên h?p, g? đ?y đ? đi?u ki?n tên mi?n c?a đi?u khi?n vùng.
  8. Trong các Lo?i gi?y ch?ng nh?n c?n thi?t h? ph?c v?danh sách, b?m vào Ch?ng ch? máy ch? xác th?c.
  9. Dư?i Phím tùy ch?n, đ?t sau đây tùy ch?n:
    • T?o m?t t?p m?i quan tr?ng
    • CSP: Microsoft RSA SChannel m?t m? Nhà cung c?p
    • Phím cách s? d?ng: Exchange
    • Phím kích thư?c: 1024-16384
    • T? đ?ng khóa container Tên
    • Ch?ng ch? lưu tr? trong máy tính c?c b? Kho ch?ng ch?
  10. Dư?i Tùy ch?n chuyên sâu, đ?t theo yêu c?u đ?nh d?ng như CMC.
  11. Trong các Thu?c tính h?p, g? các mong mu?n SAN thu?c tính. SAN thu?c tính có d?ng sau:
    San: dns =DNS.name[& dns =DNS.name]
    Nhi?u DNS tên đư?c ngăn cách b?i m?t d?u "và" (&). Cho Ví d?, n?u tên c?a b? đi?u khi?n tên mi?n là corpdc1.fabrikam.com và các bí danh là ldap.fabrikam.com, c? hai trong s? các tên này ph?i đư?c bao g?m trong các SAN thu?c tính. Thu?c tính chu?i k?t qu? xu?t hi?n như sau:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Nh?p vào g?i.
  13. N?u CA không đư?c c?u h?nh đ? c?p gi?y ch?ng nh?n t? đ?ng, m?t Ch?ng ch? ch? gi?i quy?t Trang web s? xu?t hi?n và yêu c?u b?n ch? cho ngư?i qu?n tr? đ? phát hành ch?ng ch? đ? yêu c?u.

    Đ? l?y m?t gi?y ch?ng nh?n ngư?i qu?n tr? có Ban hành, k?t n?i v?i http://ServerName/certsrv, và sau đó b?m Ki?m tra trên gi?y ch?ng nh?n đang ch? gi?i quy?t. Nh?p vào các yêu c?u ch?ng ch?, và sau đó b?m Ti?p theo.

    N?u gi?y ch?ng nh?n đ? đư?c ban hành, các Ch?ng ch? đ? ban hành Trang web s? xu?t hi?n. Nh?p vào Cài đ?t ch?ng ch? này đ? cài đ?t các gi?y ch?ng nh?n.

Làm th? nào đ? s? d?ng ti?n ích Certreq.exe đ? t?o ra và g?i m?t yêu c?u ch?ng ch? bao g?m m?t SAN

Đ? s? d?ng ti?n ích Certreq.exe đ? t?o ra và g?i m?t ch?ng ch? yêu c?u, h?y làm theo các bư?c sau:
  1. T?o m?t t?p inf ch? r? các thi?t đ?t cho các yêu c?u ch?ng ch?. B?n có th? s? d?ng m?u m? sau đây đ? t?o m?t Inf. t?p tin.
    [Version] 

Signature="$Windows NT$ 

[NewRequest]
Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
EncipherOnly = FALSE
Exportable = FALSE  ; TRUE = Private key is exportable
KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
			  ;    4096, 8192, 16384
KeySpec = 1             ; Key Exchange
KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
	
; Omit entire section if CA is an enterprise CA
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
	
[RequestAttributes]
CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
SAN="dns=corpdc1.fabrikam.com&dns=.fabrikam.com&dns=ldap.fabrikam.com"

Important Notes:  1) If you’re generating a request for a Windows 2008 and above, please remove “EncipherOnly” option from the inf file. 

     b) If CA is a standalone CA, either remove “CertificateTemplate = WebServer” option from the inf file or mark that as a comment by putting ; before the option.
  2. Lưu t?p tin là Request.inf.
  3. Mở dấu nhắc lệnh.
  4. T?i d?u nh?c l?nh, g? l?nh sau, và sau đó nh?n ENTER:
    certreq-m?i request.inf certnew.req
    L?nh này s? d?ng các thông tin trong các t?p tin Request.inf t?o m?t yêu c?u trong các đ?nh d?ng đư?c xác đ?nh b?i giá tr? RequestType trong T?p INF. Khi yêu c?u đư?c t?o ra, các c?p công c?ng và tư nhân ch? ch?t là t? đ?ng t?o ra và sau đó đ?t trong m?t yêu c?u ph?n đ?i trong các ghi danh yêu c?u lưu tr? trên máy tính đ?a phương.
  5. T?i d?u nh?c l?nh, g? l?nh sau, và sau đó nh?n ENTER:
    certreq-g?i certnew.req certnew.cer
    L?nh này n?p yêu c?u ch?ng ch? đ? CA. N?u có là nhi?u hơn m?t CA trong môi trư?ng, các -config chuy?n đ?i có th? đư?c s? d?ng trong d?ng l?nh tr?c ti?p yêu c?u đ?n m?t c? th? CA. N?u b?n không s? d?ng các -config chuy?n đ?i, b?n s? đư?c nh?c ch?n CA mà các yêu c?u ph?i đư?c g?i.

    Các -config chuy?n đ?i s? d?ng đ?nh d?ng sau đ? ch? m?t CA c? th?:
    computername\Ch?ng nh?n cơ quan tên
    Ví d?, gi? s? là tên CA là công ty chính sách CA1 và tên mi?n là corpca1.fabrikam.com. S? d?ng các certreq l?nh cùng v?i các –Config chuy?n sang ch? đ?nh này CA, g? l?nh sau đây:
    certreq-g?i - config "corpca1.fabrikam.com\Corporate chính sách CA1" certnew.req certnew.cer
    N?u này CA là m?t doanh nghi?p CA và n?u ngư?i s? d?ng ngư?i n?p các ch?ng ch? yêu c?u có đ?c và tham quy?n cho các m?u, các yêu c?u g?i. Ch?ng ch? phát hành đư?c lưu trong t?p tin Certnew.cer. N?u CA là m?t stand-alone CA, yêu c?u gi?y ch?ng nh?n s? trong m?t ch? gi?i quy?t nhà nư?c cho đ?n khi nó đư?c ch?p thu?n b?i các qu?n tr? viên CA. Đ?u ra t? các certreq - g?i l?nh có ch?a s? yêu c?u ID yêu c?u g?i. Ngay sau khi ch?ng ch? đ? đư?c ch?p thu?n, nó có th? đư?c l?y b?ng cách s? d?ng các Yêu c?u s? th?.
  6. S? d?ng m?t s? yêu c?u ID đ? l?y ch?ng ch?. Đ? làm đi?u này, g? l?nh sau, và sau đó nh?n ENTER:
    certreq-L?y RequestID certnew.cer
    B?n c?ng có th? s? d?ng các -config chuy?n ? đây đ? l?y các yêu c?u gi?y ch?ng nh?n t? m?t c? th? CA. Nếu -config chuy?n đ?i không đư?c s? d?ng, b?n s? đư?c nh?c ch?n CA t? đó đ? l?y ch?ng ch?.
  7. T?i d?u nh?c l?nh, g? l?nh sau, và sau đó nh?n ENTER:
    certreq-ch?p nh?n certnew.cer
    Sau khi b?n l?y ch?ng ch?, b?n ph?i cài đ?t nó. Đi?u này l?nh chuy?n nh?p ch?ng ch? vào các c?a hàng thích h?p và sau đó liên k?t các gi?y ch?ng nh?n cho khóa riêng đư?c t?o ra trong bư?c 4.

Làm th? nào đ? g?i m?t yêu c?u ch?ng ch? đ? m?t bên th? ba CA

N?u b?n mu?n g?i m?t yêu c?u ch?ng ch? đ? m?t bên th? ba CA, l?n đ?u tiên s? d?ng công c? Certreq.exe đ? t?o ra các t?p tin yêu c?u gi?y ch?ng nh?n. B?n có th? sau đó g?i yêu c?u đ? CA bên th? ba b?ng cách s? d?ng b?t k? phương pháp là thích h?p cho nhà cung c?p đó. Bên th? ba ph?i có kh? năng x? l? yêu c?u ch?ng ch? trong các đ?nh d?ng CMC.

Chú ý Nhà cung c?p h?u h?t ch? yêu c?u gi?y ch?ng nh?n như m?t ch?ng ch? Vi?c đăng k? yêu c?u (CSR).
Quay l?i đ?u trang | Cung cấp Phản hồi

THAM KH?O

Đ? bi?t thêm thông tin v? làm th? nào đ? cho phép LDAP trên SSL cùng v?i m?t th?m quy?n c?p gi?y ch?ng nh?n c?a bên th? ba, Click vào bài vi?t sau đây s? đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
321051
(http://support.microsoft.com/kb/321051/ )
Làm th? nào đ? cho phép LDAP trên SSL v?i m?t cơ quan c?p gi?y ch?ng nh?n c?a bên th? ba

Đ? bi?t thêm chi ti?t v? làm th? nào đ? yêu c?u m?t ch?ng ch? có m?t tên thay th? tiêu đ? tùy ch?nh, truy c?p vào trang web sau đây c?a Microsoft TechNet:
http://technet.Microsoft.com/en-US/Library/ff625722 (WS.10) .aspx
(http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx)
Đ? bi?t thêm chi ti?t v? cách s? d?ng certutil nhi?m v? đ? qu?n l? m?t ch?ng nh?n authority (CA), truy c?p vào trang web c?a Microsoft sau đây:
http://MSDN.Microsoft.com/en-US/Library/cc772751.aspx
(http://msdn.microsoft.com/en-us/library/cc772751.aspx)
Quay l?i đ?u trang | Cung cấp Phản hồi

Thu?c tính

ID c?a bài: 931351 - L?n xem xét sau cùng: 17 Tháng Tám 2011 - Xem xét l?i: 1.0
Áp d?ng
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
T? khóa: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:931351
(http://support.microsoft.com/kb/931351/en-us/ )
Quay l?i đ?u trang | Cung cấp Phản hồi

Cung cấp Phản hồi

 
Quay l?i đ?u trangQuay l?i đ?u trang