如何新增安全的 LDAP 憑證主體的別名

文章翻譯 文章翻譯
文章編號: 931351 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

本文說明如何將主體替代名稱 (SAN) 加入至安全的輕量型目錄存取通訊協定 (LDAP) 憑證。LDAP 憑證提交給憑證授權單位 (CA) 設定的 Windows Server 2003 電腦上。SAN可讓您使用的網域名稱 (DNS) 而不是電腦名稱連線到網域控制站。本文包含有關如何將 SAN 屬性加入至送出到企業 CA,獨立 CA 或協力廠商 CA的憑證要求。

簡介

本文將告訴您如何將 SAN 屬性加入至安全的 LDAP 憑證。本文也將告訴您如何執行下列作業:
  • 設定的 CA 接受從 certificaterequest 的 SAN 屬性。
  • 建立並提交到企業 CA 的憑證要求。
  • 建立及提交憑證要求給攤 aloneCA。
  • 使用 Certreq.exetool 來建立憑證要求。
  • 建立及提交憑證要求給第三個 partyCA。

其他相關資訊

如何建立及提交憑證要求

當您將憑證要求提交到企業 CA 時,憑證範本必須設定為使用 SAN 中的要求,而不是使用從 Active Directory 目錄服務的資訊。版本 1 Web 伺服器範本可以用來要求安全通訊端層 (SSL) 上時將會支援 LDAP 的憑證。第二版範本可以設定為從憑證要求或從 Active Directory 擷取 SAN。若要發出第 2 版範本為基礎的憑證,CA 必須在電腦執行的企業,正在執行 Windows Server 2003 企業版。

當您將要求提交到獨立 CA 時,不會使用憑證範本。因此,SAN 必須永遠被包含在憑證要求。SAN 屬性可以新增到使用 Certreq.exe 程式所建立的要求。或者,可以使用網頁註冊頁來提交的要求中包含 SAN 屬性。

如何使用網頁註冊頁來提交到企業 CA 的憑證要求

提交憑證要求包含 SAN 到企業 CA,請依照下列步驟執行:
  1. 開啟 [Internet Explorer]。
  2. 在 [Internet Explorer 連接 tohttp: / /伺服器名稱/certsrv。

    附註版面配置區 伺服器名稱代表 web 伺服器執行 Windows Server 2003,且具有您想要存取的 CA 名稱。
  3. 按一下 [要求憑證
  4. 按一下 [進階 certificaterequest
  5. 按一下 [建立並提交一個要求至 thisCA
  6. 在 [憑證範本] 清單中,按一下 [Web 伺服器

    附註CA 必須設定為發行 web 伺服器憑證。您可能要將 Web 伺服器範本加入至憑證授權單位] 嵌入式管理單元中的 [憑證範本] 資料夾中,如果 CA 已經未設定為發行 web 伺服器憑證。
  7. 提供所需的識別資訊。
  8. 在 [名稱] 方塊中,鍵入完全 qualifieddomain 的網域控制站名稱。
  9. 在 [金鑰選項] 中,設定 followingoptions:
    • 建立新的金鑰組
    • CSP: Microsoft RSA SChannel 密碼編譯提供者
    • 基碼用法: 交換
    • 金鑰大小: 1024年-16384
    • 自動金鑰容器名稱
    • 將憑證存放在本機電腦憑證存放區
  10. 在 [進階選項],將設定為CMC的 requestformat。
  11. 在 [屬性] 方塊中,輸入 desiredSAN 屬性。SAN 屬性的形式如下:
    san: dns =dns.name[& dns =dns.name]
    以連字號 (&) 分隔多個 DNS 名稱。例如,如果網域控制站的名稱是 corpdc1.fabrikam.com,別名是 ldap.fabrikam.com,這兩個名稱必須包含在 SAN 屬性。產生的屬性字串隨即出現,如下所示:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. 按一下 [送出]。
  13. 如果您看到憑證已發出 網頁,按一下 [安裝這個憑證

如何使用網頁註冊頁,將憑證要求提交到獨立的 CA

提交憑證要求包含獨立的 CA 到 SAN,請依照下列步驟執行:
  1. 開啟 [Internet Explorer]。
  2. 在 [Internet Explorer 連接 tohttp: / /伺服器名稱/certsrv。

    附註版面配置區 伺服器名稱代表 web 伺服器執行 Windows Server 2003,且具有您想要存取的 CA 名稱。
  3. 按一下 [要求憑證
  4. 按一下 [進階 certificaterequest
  5. 按一下 [建立並提交一個要求至 thisCA
  6. 提供所需的識別資訊。
  7. 在 [名稱] 方塊中,鍵入完全 qualifieddomain 的網域控制站名稱。
  8. 憑證需要伺服器的類型] 清單中,按一下 [伺服器驗證憑證]。
  9. 在 [金鑰選項] 中,設定 followingoptions:
    • 建立新的金鑰組
    • CSP: Microsoft RSA SChannel 密碼編譯提供者
    • 基碼用法: 交換
    • 金鑰大小: 1024年-16384
    • 自動金鑰容器名稱
    • 將憑證存放在本機電腦憑證存放區
  10. 在 [進階選項],請將 requestformat 設定為CMC
  11. 在 [屬性] 方塊中,輸入 desiredSAN 屬性。SAN 屬性的形式如下:
    san: dns =dns.name[& dns =dns.name]
    以連字號 (&) 分隔多個 DNS 名稱。例如,如果網域控制站的名稱是 corpdc1.fabrikam.com,別名是 ldap.fabrikam.com,這兩個名稱必須包含在 SAN 屬性。產生的屬性字串隨即出現,如下所示:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. 按一下 [送出]。
  13. 如果 CA 不是設定為發行 certificatesautomatically,憑證擱置的網頁會顯示,要求您等候系統管理員發行所要求的憑證。

    若要擷取的憑證,系統管理員 hasissued,連線到 http://伺服器名稱/ 緣故,然後按一下 [檢查擱置的憑證。按一下 [requestedcertificate,然後按一下 [下一步]

    如果發出,certificatewas 的憑證已發出的網頁會顯示。按一下 [安裝這個憑證] 以安裝 thecertificate。

如何使用 Certreq.exe 公用程式來建立及提交憑證要求包含 SAN

若要使用 Certreq.exe 公用程式建立及提交憑證要求,請依照下列步驟執行:
  1. 建立指定的憑證要求設定的.inf 檔案。若要建立一個.inf 檔,您可以使用下列的 Microsoft TechNet 文章 〈 建立 RequestPolicy.inf 檔案 〉 一節中的範例程式碼:
    如何要求憑證,以使用自訂主體替代名稱
    San 可以包含在 [副檔名] 區段中。如需範例,請參閱範例.inf 檔案。
  2. 將檔案儲存為 Request.inf。
  3. 開啟 [命令提示字元]。
  4. 在命令提示字元中,輸入下列命令和 thenpress ENTER:
    certreq-新的 request.inf certnew.req
    這個命令會使用 Request.inf 檔案 tocreate 中的.inf 檔案中的 RequestType 值所指定的格式的要求中的資訊。建立要求時,公用和私用金鑰組 isautomatically 產生,然後放在本機電腦上的 enrollmentrequests 存放區中的要求物件。
  5. 在命令提示字元中,輸入下列命令和 thenpress ENTER:
    certreq-送出 certnew.req certnew.cer
    這個命令會提交至 CA 的憑證要求。如果 thereis 超過一個 CA 在環境中的,組態參數就可以在命令列中用來將要求導向到 aspecific CA。如果您不使用組態參數,會提示您選取的 CA 要求應該送出。

    組態參數來參考特定 CA 使用下列格式:
    電腦名稱\憑證授權單位名稱
    例如,假設 CA 名稱是 「 公司原則 CA1 andthat 的網域名稱是 corpca1.fabrikam.com。若要使用certreq命令,以及–config參數 tospecify 這個憑證授權單位,輸入下列命令:
    certreq-送出組態 」 corpca1.fabrikam.com\Corporate 原則 CA1"certnew.req certnew.cer
    如果這個 CA 為企業 CA,而且使用者送出 thecertificate 要求具有讀取 」 和 「 註冊 」 權限範本,將送出 therequest。發行的憑證會儲存在 Certnew.cer 檔案。如果 CA 為獨立 CA,憑證要求將會在 pendingstate 中,直到 CA 系統管理員核准。從輸出certreq-送出命令包含送出要求的要求 ID 編號。憑證已被核准,因為它可以擷取使用要求的 ID 編號。
  6. 用於擷取憑證的要求 ID 編號。Todo,輸入下列命令,並按 ENTER:
    certreq-擷取 RequestID certnew.cer
    您也可以從 specificCA 擷取憑證要求在這裡使用組態參數。如果未使用的組態參數,會提示您選取從 whichto 擷取憑證的 CA。
  7. 在命令提示字元中,輸入下列命令和 thenpress ENTER:
    certreq-接受 certnew.cer
    擷取憑證之後,您必須安裝它。Thiscommand 憑證匯入適當的儲存區,然後在步驟 4 建立的私密金鑰連結 thecertificate。

如何將憑證要求提交到協力廠商 CA

如果您要將憑證要求提交到協力廠商 CA,請先使用 Certreq.exe 工具來建立憑證要求檔案。您可以接著將要求提交給協力廠商 CA 使用任何方法適合該廠商。協力廠商必須能夠處理 CMC 格式中的憑證要求。

附註大多數廠商,請參閱憑證要求做為憑證簽章要求 (CSR)。

?考

如需有關如何啟用 LDAP 透過 SSL,以及協力廠商憑證授權單位的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
321051 如何啟用 SSL 上的 LDAP 與協力廠商憑證授權單位

如需有關如何要求具有自訂主體的別名的憑證的詳細資訊,請移至下列 Microsoft TechNet 網站:
如何要求憑證,以使用自訂主體替代名稱
如需有關如何使用 certutil 工作來管理憑證授權單位 (CA) 的詳細資訊,請移至下列 MicrosoftDeveloper 網路 (MSDN) 網站:
管理憑證授權單位 (CA) 的 Certutil 工作

屬性

文章編號: 931351 - 上次校閱: 2014年3月14日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
關鍵字:?
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:931351
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com