如何向安全 LDAP 证书添加使用者备用名称

文章翻译 文章翻译
文章编号: 931351 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

本文介绍如何向安全轻型目录访问协议 (LDAP) 证书添加使用者备用名称 (SAN)。LDAP 证书提交给证书颁发机构 (CA) 配置的基于 Windows Server 2003 的计算机上。SAN 允许您通过使用域名系统 (DNS) 名称,不是计算机名连接到域控制器。本文包含有关如何将 SAN 属性添加到证书请求提交到企业 CA、 独立的 CA 或第三方 CA。

简介

本文介绍如何向安全 LDAP 证书添加 SAN 属性。本文还讨论了如何执行以下操作:
  • 配置 CA 以接受来自 certificaterequest SAN 属性。
  • 创建并提交到企业 CA 的证书申请。
  • 创建和提交证书申请到支架-aloneCA。
  • 通过使用 Certreq.exetool 创建证书请求。
  • 创建和提交证书申请到第三 partyCA。

更多信息

如何创建和提交证书申请

提交到企业 CA 的证书请求时,必须将证书模板配置用于 SAN 中的请求,而不是使用 活动目录(AD) 目录服务中的信息。版本 1 Web 服务器模板可以用于请求支持的 LDAP 通过安全套接字层 (SSL) 证书。若要检索的证书请求中或从 活动目录(AD) 的 SAN,可以配置版本 2 模板。要颁发基于版本 2 模板的证书时,的企业 CA 必须运行在一台计算机运行 Windows Server 2003 企业版。

提交的请求,向独立 CA 时,不使用证书模板。因此,在证书申请中必须始终包括 SAN。可以将 SAN 属性添加到使用 Certreq.exe 程序中创建的请求。或者,可以通过使用 web 注册页提交的申请中包括 SAN 属性。

如何使用 web 注册页提交到企业 CA 的证书申请

若要提交包含 SAN 到企业 CA 的证书请求,请执行以下步骤:
  1. 打开 Internet Explorer。
  2. 在 Internet Explorer 中连接 tohttp: / /服务器名/certsrv。

    注意占位符 服务器名表示 web 服务器在运行 Windows Server 2003,并具有您要访问的 CA 的名称。
  3. 单击申请一个证书
  4. 单击高级 certificaterequest
  5. 单击创建并提交一个申请到 thisCA
  6. 证书模板列表中,单击Web 服务器

    注意必须将 CA 配置为颁发 web 服务器证书。您可能需要将 Web 服务器模板添加到证书颁发机构管理单元中的证书模板文件夹中,如果 CA 尚未配置为颁发 web 服务器证书。
  7. 提供所需的标识信息。
  8. 名称框中,键入域控制器的完全 qualifieddomain 名。
  9. 密钥选项中设置 followingoptions:
    • 创建新的密钥集
    • CSP: Microsoft RSA SChannel 加密提供程序
    • 密钥用法: 交换
    • 密钥大小: 1024年-16384
    • 自动密钥容器名称
    • 将证书保存在本地计算机证书存储区
  10. 高级选项设置为CMC的 requestformat。
  11. 属性框中,键入 desiredSAN 属性。SAN 属性采用以下形式:
    san: dns =dns.name[& dns =dns.name]
    由 and 符 (&) 分隔多个 DNS 名称。例如,如果域控制器的名称为 corpdc1.fabrikam.com,该别名是 ldap.fabrikam.com,这两个名称必须包括在 SAN 属性。显示生成的属性字符串,如下所示:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. 单击提交
  13. 如果您看到证书颁发的 网页,单击安装此证书

如何使用 web 注册页提交到独立 CA 的证书申请

若要提交包含 SAN 向独立 CA 的证书请求,请执行以下步骤:
  1. 打开 Internet Explorer。
  2. 在 Internet Explorer 中连接 tohttp: / /服务器名/certsrv。

    注意占位符 服务器名表示 web 服务器在运行 Windows Server 2003,并具有您要访问的 CA 的名称。
  3. 单击申请一个证书
  4. 单击高级 certificaterequest
  5. 单击创建并提交一个申请到 thisCA
  6. 提供所需的标识信息。
  7. 名称框中,键入域控制器的完全 qualifieddomain 名。
  8. 证书的所需服务器类型列表中,单击服务器身份验证证书
  9. 密钥选项中设置 followingoptions:
    • 创建新的密钥集
    • CSP: Microsoft RSA SChannel 加密提供程序
    • 密钥用法: 交换
    • 密钥大小: 1024年-16384
    • 自动密钥容器名称
    • 将证书保存在本地计算机证书存储区
  10. 高级选项设置为CMC的 requestformat。
  11. 属性框中,键入 desiredSAN 属性。SAN 属性采用以下形式:
    san: dns =dns.name[& dns =dns.name]
    由 and 符 (&) 分隔多个 DNS 名称。例如,如果域控制器的名称为 corpdc1.fabrikam.com,该别名是 ldap.fabrikam.com,这两个名称必须包括在 SAN 属性。显示生成的属性字符串,如下所示:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. 单击提交。
  13. 如果不是 CA 配置为颁发 certificatesautomatically,证书挂起网页将显示,要求您等候管理员颁发所申请的证书。

    要检索的证书,管理员 hasissued,连接到 http://服务器名/ certsrv,然后单击检查挂起的证书。单击 requestedcertificate,然后单击下一步

    如果显示 certificatewas 发出,该证书已发布的网页。请单击安装此证书来安装该证书。

如何使用 Certreq.exe 实用程序来创建和提交包含 SAN 的证书申请

若要使用 Certreq.exe 实用程序创建和提交证书申请,请按照下列步骤操作:
  1. 创建.inf 文件中指定的证书申请的设置。若要创建.inf 文件,可以下面的 Microsoft TechNet 文章"创建 RequestPolicy.inf 文件"一节中使用的示例代码:
    如何使用自定义主题备用名称申请证书
    [扩展信息] 部分中,可以包含 San。有关示例,请参见示例.inf 文件。
  2. 将文件保存为 Request.inf。
  3. 打开命令提示符。
  4. 在命令提示符下,键入以下命令,然后 thenpress enter 键:
    certreq 中的新的 request.inf certnew.req
    此命令在 Request.inf 文件以创建.inf 文件中的 RequestType 值所指定的格式的请求中使用的信息。当创建请求时,公钥和私钥对 isautomatically 生成,然后放入一个请求对象,在本地计算机上的 enrollmentrequests 存储中。
  5. 在命令提示符下,键入以下命令,然后 thenpress enter 键:
    certreq 中的提交 certnew.req certnew.cer
    此命令将提交给 CA 的证书申请。如果 thereis 多个环境中的某个 CA配置交换机可以通过在命令行中用于将请求指向 aspecific CA。如果不使用-配置开关,则会提示您选择应将请求提交到 CA。

    配置交换机使用下面的格式来引用特定 CA:
    计算机名\证书颁发机构名称
    例如,假设 CA 名称是公司的策略 CA1 andthat 的域名为 corpca1.fabrikam.com。若要使用与–config开关指定的certreq 中命令此 CA,请键入以下命令:
    certreq 中的提交配置"corpca1.fabrikam.com\Corporate 策略 CA1"certnew.req certnew.cer
    如果此 CA 是企业 CA,并且提交该证书请求的用户具有模板的读取和注册权限,则提交 therequest。颁发的证书保存在 Certnew.cer 文件中。如果该 CA 是独立 CA,证书申请将在 pendingstate 直到该由 CA 管理员。从输出certreq 中的提交命令包含提交的请求的请求 ID 号。一旦被批准证书,可以通过使用申请 ID 号检索它。
  6. 使用申请 ID 号检索证书。托多此操作,请键入以下命令,然后按 ENTER:
    certreq 中的检索 了申请 Id certnew.cer
    此外可用配置交换机此处从 specificCA 中检索的证书申请。如果不使用-配置开关,则会提示您选择从从中检索该证书的 CA。
  7. 在命令提示符下,键入以下命令,然后 thenpress enter 键:
    certreq 中的接受 certnew.cer
    检索证书后,您必须安装它。Thiscommand 将该证书导入到适当的存储,然后在步骤 4 中创建的专用密钥对中链接该证书。

如何提交给第三方 CA 的证书申请

如果您想要提交给第三方 CA 的证书申请,第一次使用 Certreq.exe 工具来创建证书请求文件。然后可以使用最适合于该供应商的方法来提交给第三方 CA 请求。第三方必须能够处理 CMC 格式的证书申请。

注意大多数供应商请参阅证书申请为证书签名请求 (CSR)。

参考

有关如何启用 ssl 的 LDAP,以及第三方证书颁发机构的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
321051 如何启用 ssl 的 LDAP 使用第三方证书颁发机构

有关如何请求,具有自定义主题备用名称的证书的详细信息,请访问以下 Microsoft TechNet 网站:
如何使用自定义主题备用名称申请证书
有关如何使用 certutil 任务来管理证书颁发机构 (CA) 的详细信息,请转到下面的 MicrosoftDeveloper 网络 (MSDN) 网站:
管理证书颁发机构 (CA) Certutil 任务

属性

文章编号: 931351 - 最后修改: 2014年3月14日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
关键字:?
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 931351
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com