Cómo agregar un nombre alternativo del sujeto a un certificado LDAP seguro

Resumen

Este artículo describe cómo agregar un nombre alternativo de asunto (SAN) a un certificado de protocolo ligero de acceso a directorios (LDAP) segura. Se envía el certificado LDAP a una entidad emisora de certificados (CA) que está configurada en un equipo basado en Windows Server 2003. El SAN le permite conectarse a un controlador de dominio mediante un nombre de sistema de nombres de dominio (DNS) que no sea el nombre del equipo. Este artículo incluye información acerca de cómo agregar atributos de SAN a una petición de certificado que se envía a una CA de empresa, una CA independiente o una CA de terceros.

INTRODUCCIÓN

Este artículo describe cómo agregar un atributo de SAN a un certificado LDAP seguro. En este artículo también se explica cómo hacer lo siguiente:
  • Configurar una entidad emisora de certificados para que acepte un atributo de SAN desde una solicitud de certificado.
  • Crear y enviar una solicitud de certificado a una CA de empresa.
  • Crear y enviar una solicitud de certificado a una CA independiente.
  • Crear una solicitud de certificado mediante la herramienta Certreq.exe.
  • Crear y enviar una solicitud de certificado a una CA de terceros.

Más información

Cómo crear y enviar una solicitud de certificado

Cuando envíe una solicitud de certificado a una CA de empresa, la plantilla de certificado debe configurarse para usar el SAN en la solicitud en lugar de utilizar la información desde el servicio de directorio de Active Directory. La plantilla de servidor Web de versión 1 se puede utilizar para solicitar un certificado que admita LDAP través de Secure Sockets Layer (SSL). Plantillas de la versión 2 pueden configurarse para recuperar el SAN de la solicitud de certificado o de Active Directory. Para emitir certificados basados en plantillas de versión 2, la empresa que CA se debe ejecutar en un equipo que ejecuta Windows Server 2003 Enterprise Edition.

Cuando envíe una solicitud a una CA independiente, no se usan plantillas de certificado. Por lo tanto, el SAN siempre debe estar incluido en la solicitud de certificado. Atributos de SAN pueden agregarse a una solicitud que se crea mediante el programa Certreq.exe. O bien, los atributos de SAN pueden incluirse en las solicitudes enviadas mediante las páginas de inscripción web.

Cómo utilizar páginas de inscripción web para enviar una solicitud de certificado a una CA de empresa

Para enviar una solicitud de certificado que contiene un SAN para una CA de empresa, siga estos pasos:
  1. Abra Internet Explorer.
  2. En Internet Explorer, conéctese a http://nombreDeServidor/certsrv.

    Nota: El marcador de posición nombreDeServidor representa el nombre del servidor web que ejecuta Windows Server 2003 y que tiene la CA que desea tener acceso.
  3. Haga clic en Solicitar un certificado.
  4. Haga clic en solicitud de certificado avanzada.
  5. Haga clic en crear y enviar una solicitud a esta CA.
  6. En la lista de Plantillas de certificado , haga clic en
    Servidor web.

    Nota: La entidad emisora de certificados debe configurarse para que emita certificados de servidor web. Tendrá que agregar la plantilla de servidor Web a la carpeta de plantillas de certificados en el complemento entidad emisora de certificados si la entidad emisora ya no está configurada para emitir certificados de servidor web.
  7. Proporcionar información de identificación según sea necesario.
  8. En el cuadro nombre , escriba el nombre de dominio completo del controlador de dominio.
  9. En Opciones de clave, establezca las siguientes opciones:
    • Crear un nuevo conjunto de claves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de claves: Exchange
    • Tamaño de clave: 1024-16384
    • Nombre del contenedor de claves automática
    • Almacenar el certificado en el almacén de certificados del equipo local
  10. En Opciones avanzadas, establezca el formato de solicitud CMC.
  11. En el cuadro Attributes , escriba los atributos deseados del SAN. Atributos de SAN tienen la siguiente forma:
    san:dns=dns.name[&dns=dns.name]
    Varios nombres DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos nombres deben incluirse en los atributos de SAN. La cadena de atributo resultante aparece como sigue:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. Haga clic en Enviar.
  13. Si ve la página Web de Certificado emitido , haga clic en instalar este certificado.

Cómo utilizar páginas de inscripción web para enviar una solicitud de certificado a una CA independiente

Para enviar una solicitud de certificado que incluye un SAN para una entidad emisora de certificados independiente, siga estos pasos:
  1. Abra Internet Explorer.
  2. En Internet Explorer, conéctese a http://nombreDeServidor/certsrv.

    Nota: El marcador de posición nombreDeServidor representa el nombre del servidor web que ejecuta Windows Server 2003 y que tiene la CA que desea tener acceso.
  3. Haga clic en Solicitar un certificado.
  4. Haga clic en solicitud de certificado avanzada.
  5. Haga clic en crear y enviar una solicitud a esta CA.
  6. Proporcionar información de identificación según sea necesario.
  7. En el cuadro nombre , escriba el nombre de dominio completo del controlador de dominio.
  8. En la lista Tipo de certificado necesario de servidor, haga clic en Certificado de autenticación de servidor.
  9. En Opciones de clave, establezca las siguientes opciones:
    • Crear un nuevo conjunto de claves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de claves: Exchange
    • Tamaño de clave: 1024-16384
    • Nombre del contenedor de claves automática
    • Almacenar el certificado en el almacén de certificados del equipo local
  10. En Opciones avanzadas, establezca el formato de solicitud como CMC.
  11. En el cuadro Attributes , escriba los atributos deseados del SAN. Atributos de SAN tienen la siguiente forma:
    san:dns=dns.name[&dns=dns.name]
    Varios nombres DNS están separados por un signo de y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos nombres deben incluirse en los atributos de SAN. La cadena de atributo resultante aparece como sigue:
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. Haga clic en enviar.
  13. Si la entidad emisora de certificados no está configurada para emitir certificados automáticamente, una página Web Certificado pendiente se muestra y le pide que espere para que un administrador emita el certificado solicitado.

    Para recuperar un certificado que ha emitido un administrador, conectar con http://nombreDeServidor/certsrv y, a continuación, haga clic en comprobar un certificado pendiente. Haga clic en el certificado solicitado y, a continuación, haga clic en siguiente.

    Si el certificado fue emitido, se muestra la página Web de Certificado emitido . Haga clic en instalar este certificado para instalar el certificado.

Cómo utilizar la utilidad Certreq.exe para crear y enviar una solicitud de certificado que incluye un SAN

Para utilizar la utilidad Certreq.exe para crear y enviar una solicitud de certificado, siga estos pasos:
  1. Crear un archivo .inf que especifica la configuración para la solicitud de certificado. Para crear un archivo .inf, puede utilizar el código de ejemplo en la sección "Crear un archivo de RequestPolicy.inf" del siguiente artículo de Microsoft TechNet:SANs pueden incluirse en la sección [Extensions]. Para obtener ejemplos, vea el archivo .inf de ejemplo.
  2. Guarde el archivo como Request.inf.
  3. Abra un símbolo del sistema.
  4. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
    CertReq-nuevo certnew.req request.inf
    Este comando utiliza la información en el archivo Request.inf para crear una solicitud en el formato especificado por el valor de RequestType en el archivo .inf. Cuando se crea la solicitud, el par de claves público y privado se genera automáticamente y, a continuación, poner en un objeto de la solicitud en el almacén de las solicitudes de inscripción en el equipo local.
  5. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
    CertReq-enviar certnew.cer certnew.req
    Este comando envía la solicitud de certificado a la entidad emisora. Si hay más de una entidad emisora de certificados en el entorno, se puede utilizar el modificador - config en la línea de comandos para dirigir la petición a una entidad emisora de certificados específicos. Si no utiliza el modificador - config , solicitará que seleccione la entidad emisora a la que se debe enviar la solicitud.

    El modificador - config utiliza el siguiente formato para hacer referencia a una entidad emisora de certificados específicos:
    ComputerName\Nombre de la autoridad de certificación
    Por ejemplo, supongamos que el nombre de la entidad emisora de certificados es CA1 de política corporativa y que el nombre de dominio es corpca1.fabrikam.com. Para utilizar el comando certreq junto con el modificador – config para especificar esta entidad emisora de certificados, escriba el comando siguiente:
    CertReq-enviar certnew.cer certnew.req de - config "corpca1.fabrikam.com\Corporate directiva CA1"
    Si este CA es una CA de empresa y el usuario que envía la solicitud de certificado tiene permisos de lectura e inscripción para la plantilla, se envía la solicitud. El certificado emitido se guarda en el archivo Certnew.cer. Si la CA es una CA independiente, será la solicitud de certificado en un estado pendiente hasta que se apruebe el Administrador de la entidad emisora de certificados. El resultado de la certreq-enviar comando contiene el número de identificación de la solicitud de la solicitud enviada. En cuanto se aprueba el certificado, se puede recuperar utilizando el número de identificación de la solicitud.
  6. Utilice el número de ID de solicitud para recuperar el certificado. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
    CertReq-recuperar certnew.cer RequestID
    También puede utilizar el modificador - config aquí para recuperar la solicitud de certificado de una entidad emisora de certificados específicos. Si no se utiliza el modificador - config , solicitará que seleccione la entidad emisora desde la que se va a recuperar el certificado.
  7. En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
    CertReq-Aceptar certnew.cer
    Después de recuperar el certificado, debe instalarlo. Este comando importa el certificado en el almacén adecuado y, a continuación, vincula el certificado con la clave privada que se creó en el paso 4.

Cómo enviar una solicitud de certificado a una CA de terceros

Si desea enviar una solicitud de certificado a una CA de terceros, utilice primero la herramienta Certreq.exe para crear el archivo de solicitud de certificado. A continuación, puede enviar la solicitud a la entidad emisora de terceros utilizando el método que resulte apropiado para dicho proveedor. El tercero debe ser capaz de procesar las solicitudes de certificado en formato CMC.

Nota: La mayoría de proveedores, consulte la solicitud de certificado como una solicitud de firma de certificado (CSR).

Referencias

Para obtener más información acerca de cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
321051 cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros


Para obtener más información acerca de cómo solicitar un certificado que tenga un nombre alternativo de asunto personalizado, visite el siguiente sitio Web de Microsoft TechNet:Para obtener más información acerca de cómo utilizar tareas de certutil para administrar una entidad emisora de certificados (CA), visite el siguiente sitio Web de Microsoft Developer Network (MSDN):
Propiedades

Id. de artículo: 931351 - Última revisión: 14 ene. 2017 - Revisión: 1

Comentarios