Teď jste offline a čekáte, až se znova připojí internet.

Postup přidání alternativní název předmětu certifikátu zabezpečeného LDAP

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

931351
Souhrn
Tento článek popisuje, jak přidat předmět alternativní název (SAN) k zabezpečení certifikátu Lightweight Directory Access Protocol (LDAP). Certifikát protokolu LDAP je odeslán certifikační úřad (CÚ), který je konfigurován v počítači se systémem Windows Server 2003. Sítě SAN umožňuje připojit k řadiči domény pomocí systému DNS (Domain Name) název jiný než název počítače. Tento článek obsahuje informace o tom, jak přidat atributy SAN požadavek na certifikát, který je odeslat do podnikové certifikační Autority, samostatnou certifikační Autoritu nebo certifikační Autority jiných výrobců.
ÚVOD
Tento článek popisuje, jak přidat atribut SAN zabezpečení certifikátu LDAP. Tento článek také popisuje, jak provést následující akce:
  • Konfigurace certifikačního úřadu přijmout SAN atribut z certificaterequest.
  • Vytvořit a odeslat žádost o certifikát certifikačního úřadu rozlehlé sítě.
  • Vytvořit a odeslat žádost o certifikát se stojanem aloneCA.
  • Vytvoření žádosti o certifikát pomocí Certreq.exetool.
  • Vytvořit a odeslat žádost o certifikát třetí partyCA.
Další informace

Jak vytvořit a odeslat žádost o certifikát

Podáte-li žádost o certifikát certifikačního úřadu rozlehlé sítě, musí šablona certifikátu nakonfigurována pro použití SAN v žádosti o místo pomocí informací z adresářové služby Active Directory. Šablony verze 1 webového serveru můžete použít k vyžádání certifikátu, který bude podporovat LDAP přes protokol SSL (Secure Sockets Layer) (protokol SSL). K načtení sítě SAN ze žádosti o certifikát nebo ze služby Active Directory lze nakonfigurovat šablony verze 2. K vydávání certifikátů založených na šablonách verze 2, organizace, kterou CÚ musí být spuštěny v počítači se systémem Windows Server 2003 Enterprise Edition.

Když odešlete požadavek na samostatnou certifikační Autoritu, šablony certifikátů se nepoužívají. Proto SAN musí vždy zahrnut v žádosti o certifikát. SAN atributy mohou být přidány k požadavku, který je vytvořen pomocí Certreq.exe program. Nebo SAN atributy mohou být zahrnuty v žádosti, které byly odeslány prostřednictvím webových stránek pro zápis.

Jak používat webové stránky pro zápis podat žádost o certifikát certifikačního úřadu rozlehlé sítě

Chcete-li odeslat žádost o certifikát obsahující SAN na podnikovou certifikační Autoritu, postupujte takto:
  1. Spusťte aplikaci Internet Explorer.
  2. V aplikaci Internet Explorer připojení tohttp: / /název_serveru/ certsrv.

    Poznámka: Zástupný symbol název_serverupředstavuje název webového serveru se systémem Windows Server 2003 s nainstalovanou certifikační úřad, který chcete získat přístup.
  3. Klepněte na možnost podání žádosti o certifikát.
  4. Klepněte na tlačítko Upřesnit certificaterequest.
  5. Klepněte na tlačítko vytvořit a odeslat žádost o thisCA.
  6. V seznamu Šablon certifikátů klepněte naWebový Server.

    Poznámka:Certifikační úřad musí být nakonfigurován pro certifikáty webových serverů. Je třeba přidat šablonu webového serveru do složky šablon certifikátů v modulu snap-in Certifikační úřad, je-li certifikační úřad není již nakonfigurována k vystavování certifikátů serveru WWW.
  7. Identifikační údaje podle potřeby.
  8. Do pole název zadejte plně qualifieddomain název řadiče domény.
  9. V části Možnosti klíčenastavena followingoptions:
    • Vytvořit novou sadu klíčů
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Použití klíče: Exchange
    • Velikost klíče: 1024-16384
    • Automatický název kontejneru klíče
    • Uložit certifikát v úložišti certifikátů místního počítače
  10. Ve skupinovém rámečku Upřesnit možnostinastavte requestformat CMC.
  11. V dialogovém okně atributy zadejte atributy desiredSAN. SAN atributy mají následující formu:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Více názvů DNS jsou odděleny ampersand (&). Například pokud je název řadiče domény, corpdc1.fabrikam.com a alias je ldap.fabrikam.com, obě jména musí být součástí SAN atributy. Výsledný řetězec atribut je zobrazen následujícím způsobem:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Klepněte na tlačítko Odeslat.
  13. Pokud vidíte certifikát vystaven webové stránky, klepněte na tlačítkonainstalovat certifikát.

Jak odeslat žádost o certifikát samostatnému certifikačnímu úřadu pomocí webových stránek pro zápis

Chcete-li odeslat požadavek na certifikát, který obsahuje SAN samostatné certifikační autoritě, postupujte takto:
  1. Spusťte aplikaci Internet Explorer.
  2. V aplikaci Internet Explorer připojení tohttp: / /název_serveru/ certsrv.

    Poznámka: Zástupný symbol název_serverupředstavuje název webového serveru se systémem Windows Server 2003 s nainstalovanou certifikační úřad, který chcete získat přístup.
  3. Klepněte na možnost podání žádosti o certifikát.
  4. Klepněte na tlačítko Upřesnit certificaterequest.
  5. Klepněte na tlačítko vytvořit a odeslat žádost o thisCA.
  6. Identifikační údaje podle potřeby.
  7. Do pole název zadejte plně qualifieddomain název řadiče domény.
  8. V seznamu Typ certifikátu zapotřebí serveruklepněte na položku Certifikát ověření serveru.
  9. V části Možnosti klíčenastavena followingoptions:
    • Vytvořit novou sadu klíčů
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Použití klíče: Exchange
    • Velikost klíče: 1024-16384
    • Automatický název kontejneru klíče
    • Uložit certifikát v úložišti certifikátů místního počítače
  10. Ve skupinovém rámečku Upřesnit možnostinastavte requestformat jako CMC.
  11. V dialogovém okně atributy zadejte atributy desiredSAN. SAN atributy mají následující formu:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Více názvů DNS jsou odděleny ampersand (&). Například pokud je název řadiče domény, corpdc1.fabrikam.com a alias je ldap.fabrikam.com, obě jména musí být součástí SAN atributy. Výsledný řetězec atribut je zobrazen následujícím způsobem:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Klepněte na tlačítko Odeslat.
  13. Pokud certifikační úřad není konfigurován k vydávání certificatesautomatically, Čekajícíwebové stránky se zobrazí a požadavky čekat vystaví certifikát, který byl požadován.

    Načtení certifikátu, hasissued Správce připojení na http://název_serveru/ certsrv, andthen klepněte na tlačítko Kontrola čekajících žádostí o certifikáty. Klepněte requestedcertificate a potom klepněte na tlačítko Další.

    Pokud se zobrazí certificatewas vydán, webová stránkaCertifikát vystaven. Klepnutím na tlačítko nainstalovat thecertificatenainstalovat tento certifikát .

Použití nástroje Certreq.exe k vytvoření a odeslání žádosti o certifikát, který obsahuje SAN

Použití nástroje Certreq.exe k vytvoření a odeslání žádosti o certifikát, postupujte takto:
  1. Vytvořte soubor INF, který určuje nastavení žádosti o certifikát. Chcete-li vytvořit soubor s příponou INF, můžete použít ukázkový kód v části "Vytvoření souboru RequestPolicy.inf" v následujícím článku Microsoft TechNet:V části [rozšíření] lze zahrnout sítě SAN. Příklady naleznete v tématu ukázkový soubor INF.
  2. Uložte soubor jako Request.inf.
  3. Otevřete příkazový řádek.
  4. Na příkazovém řádku zadejte následující příkaz a thenpress ENTER:
    certreq-nové certnew.req request.inf
    Tento příkaz používá informace v souboru tocreate Request.inf žádost ve formátu, který je určen v souboru INF hodnotu RequestType. Jakmile je vytvořena žádost, isautomatically pár veřejného a soukromého klíče generované a potom vložíte do objektu request enrollmentrequests úložiště v místním počítači.
  5. Na příkazovém řádku zadejte následující příkaz a thenpress ENTER:
    certreq-odeslat certnew.req certnew.cer
    Tento příkaz odešle žádost o certifikát do certifikačního úřadu. Pokud thereis více než jedné certifikační Autority v prostředí, může být přepínač - config na příkazovém řádku používána ke směrování požadavku na aspecific CA. Pokud použijete přepínač - config, budete vyzváni, vyberte certifikační úřad, ke kterému je žádost předložena.

    Přepínač - config používá následující formát odkázat na konkrétní certifikační Autority:
    název_počítače\Název certifikačního úřadu
    Předpokládejme například, že název certifikačního úřadu je vybraná podnikových zásad CA1 název domény je corpca1.fabrikam.com. Chcete-li použít příkaz certreq s tospecify přepínač -config tohoto certifikačního úřadu, zadejte následující příkaz:
    certreq-odeslat certnew.req certnew.cer zásad CA1 - config "corpca1.fabrikam.com\Corporate"
    Pokud tento certifikační úřad je certifikační úřad rozlehlé sítě a má oprávnění pro čtení a zápis pro šablonu uživatel, který odešle požadavek thecertificate, podává se therequest. Vydaný certifikát je uložen v souboru Certnew.cer.Jedná-li se o samostatný certifikační úřad, žádost o certifikát bude v pendingstate dokud je neschválí správce certifikační Autority. Výstup certreq-odeslatpříkaz obsahuje číslo ID žádosti předložené žádosti. Co nejdříve po schválení osvědčení mohou být načteny pomocí čísla ID požadavku.
  6. Načíst certifikát použijte číslo ID požadavku. Todo, zadejte následující příkaz a stiskněte klávesu ENTER:
    certreq-načtení Id_žádosti Certnew.cer
    Můžete také přepínač - config zde načíst z specificCA žádosti o certifikát. Pokud není použit přepínač - config , budete vyzváni, vyberte z whichto načtení certifikátu certifikačního úřadu.
  7. Na příkazovém řádku zadejte následující příkaz a thenpress ENTER:
    certreq-přijmout certnew.cer
    Po načtení certifikátu je nutné jej nainstalovat. Thiscommand importuje do příslušné úložiště certifikátu a potom propojí thecertificate soukromý klíč, který je vytvořený v kroku 4.

Jak podávat žádost o certifikát certifikačního úřadu jiného výrobce

Pokud chcete odeslat žádost o certifikát certifikačního úřadu od jiného výrobce, nejprve pomocí nástroje Certreq.exe k vytvoření souboru žádosti o certifikát. Potom můžete odeslat požadavek na certifikačního úřadu jiného výrobce pomocí jakékoli metoda je vhodná pro daného dodavatele. Třetí strany, musí být schopen zpracovávat žádosti o certifikát ve formátu CMC.

Poznámka: Většina dodavatelů předložit žádost o certifikát jako certifikát podepisování požadavku (zástupce).
Odkazy
Další informace o povolení protokolu LDAP přes SSL a jiného certifikačního úřadu klepněte na následující číslo článku databáze Microsoft Knowledge Base:
321051 Povolení protokolu LDAP přes připojení SSL pomocí jiného certifikačního úřadu

Další informace o postupu při podání žádosti o certifikát, který má vlastní předmět alternativní název naleznete na následujícím webu Microsoft TechNet:Další informace o použití úlohy příkazu certutil při správě certifikačního úřadu (CÚ) přejděte na následující web MicrosoftDeveloper Network (MSDN):

Upozornění: Tento článek byl přeložen automaticky

Vlastnosti

ID článku: 931351 - Poslední kontrola: 03/15/2015 03:44:00 - Revize: 7.0

  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • kbexpertiseadvanced kbhowto kbmt KB931351 KbMtcs
Váš názor