Al momento sei offline in attesa che la connessione Internet venga ristabilita

Come aggiungere un nome alternativo del soggetto a un certificato LDAP sicuro

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 931351
Sommario
In questo articolo viene descritto come aggiungere un nome alternativo soggetto (SAN) a un certificato di Lightweight Directory Access Protocol (LDAP) protetta. Il certificato LDAP viene inviato a un'autorità di certificazione (CA) è configurata in un computer basato su Windows Server 2003. La rete SAN consente di connettersi a un controller di dominio utilizzando un nome di sistema DNS (Domain Name) diverso dal nome del computer. In questo articolo sono incluse informazioni su come aggiungere attributi SAN a una richiesta di certificazione viene inviata a una CA globale, una CA autonoma o un'autorità di certificazione di terze parti.
INTRODUZIONE
In questo articolo viene descritto come aggiungere un attributo SAN per un certificato LDAP protetto. In questo articolo spiega inoltre come eseguire le operazioni seguenti:
  • Configurare un'autorità di certificazione per accettare un attributo SAN da un certificaterequest.
  • Creare e inviare una richiesta di certificato a una CA dell'organizzazione.
  • Creare e inviare una richiesta a un aloneCA di supporto.
  • Creare una richiesta di certificato utilizzando il Certreq.exetool.
  • Creare e inviare una richiesta a un terzo-partyCA.
Informazioni

Come creare e inviare una richiesta di certificato

Quando si invia una richiesta di certificato per una CA dell'organizzazione, il modello di certificato deve essere configurato per utilizzare la rete SAN nella richiesta invece di utilizzare le informazioni del servizio directory Active Directory. Il modello di Server Web della versione 1 consente di richiedere un certificato che supporterà LDAP tramite il livello SSL (Secure Sockets). Modelli versione 2 possono essere configurati per recuperare la SAN dalla richiesta di certificato o da Active Directory. Per il rilascio di certificati basati sui modelli versione 2, l'azienda che CA deve essere in esecuzione su un computer che esegue Windows Server 2003 Enterprise Edition.

Quando si invia una richiesta a una CA autonoma, modelli di certificato non vengono utilizzati. Di conseguenza, la SAN deve essere sempre incluso nella richiesta di certificato. Gli attributi SAN possono aggiunti a una richiesta che viene creata utilizzando il programma Certreq.exe. In alternativa, gli attributi SAN possono essere inclusi nelle richieste inviate tramite le pagine di registrazione web.

Come utilizzare pagine di registrazione web per inviare una richiesta di certificato a una CA dell'organizzazione

Per inviare una richiesta di certificato che contiene una SAN a una CA globale, attenersi alla seguente procedura:
  1. Aprire Internet Explorer.
  2. In Internet Explorer connettersi tohttp: / /NomeServer/certsrv.

    Nota. Il segnaposto NomeServerrappresenta il nome del server web che esegue Windows Server 2003 e che ha l'autorità di certificazione che si desidera accedere.
  3. Fare clic su richiedere un certificato.
  4. Fare clic su Advanced certificaterequest.
  5. Fare clic su Crea e invia una richiesta a thisCA.
  6. Nell'elenco Modello di certificato , fare clic suServer Web.

    Nota.La CA deve essere configurata per il rilascio di certificati server web. Potrebbe essere necessario aggiungere il modello di Server Web nella cartella dei modelli di certificato nello snap-in Autorità di certificazione, se la CA non è già configurata per il rilascio di certificati server web.
  7. Fornire le informazioni di identificazione come richiesto.
  8. Nella casella nome digitare il nome di qualifieddomain completamente del controller di dominio.
  9. In Opzioni chiaveimpostare il followingoptions:
    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiave: Exchange
    • Dimensione della chiave: 1024-16384
    • Nome contenitore chiave automatico
    • Archivia certificato nell'archivio certificati del computer locale
  10. In Opzioni avanzate, impostare la requestformat CMC.
  11. Nella casella attributi digitare gli attributi di desiredSAN. Gli attributi SAN hanno il seguente formato:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    I nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere incluso negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Fare clic su Invia.
  13. Se viene visualizzato il certificato rilasciato pagina Web, fare clic suInstalla questo certificato.

Come utilizzare pagine di registrazione web per inviare una richiesta di certificato per una CA autonoma

Per inviare una richiesta di certificato che include una rete SAN a una CA autonoma, attenersi alla seguente procedura:
  1. Aprire Internet Explorer.
  2. In Internet Explorer connettersi tohttp: / /NomeServer/certsrv.

    Nota. Il segnaposto NomeServerrappresenta il nome del server web che esegue Windows Server 2003 e che ha l'autorità di certificazione che si desidera accedere.
  3. Fare clic su richiedere un certificato.
  4. Fare clic su Advanced certificaterequest.
  5. Fare clic su Crea e invia una richiesta a thisCA.
  6. Fornire le informazioni di identificazione come richiesto.
  7. Nella casella nome digitare il nome di qualifieddomain completamente del controller di dominio.
  8. Nell'elenco Tipi di certificati necessari Server, fare clic su Certificato di autenticazione Server.
  9. In Opzioni chiaveimpostare il followingoptions:
    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiave: Exchange
    • Dimensione della chiave: 1024-16384
    • Nome contenitore chiave automatico
    • Archivia certificato nell'archivio certificati del computer locale
  10. In Opzioni avanzate, impostare la requestformat CMC.
  11. Nella casella attributi digitare gli attributi di desiredSAN. Gli attributi SAN hanno il seguente formato:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    I nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere incluso negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:
    SAN:DNS=CORPDC1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Fare clic su Invia.
  13. Se la CA non è configurata per il rilascio di certificatesautomatically, chiesto di attendere per un amministratore emetta il certificato è stato richiesto e viene visualizzata una pagina Web Certificato in sospeso.

    Per recuperare un certificato che hasissued un amministratore, connettersi a http://NomeServer/ certsrv, andthen clic su controllo di un certificato in sospeso. Fare clic sui requestedcertificate e quindi fare clic su Avanti.

    Se viene visualizzato il certificatewas rilasciato, la pagina WebCertificato emesso. Fare clic suInstalla questo certificato per installare il certificato.

Come utilizzare l'utilità Certreq.exe per creare e inviare una richiesta di certificato che include una rete SAN

Per utilizzare l'utilità Certreq.exe per creare e inviare una richiesta di certificato, attenersi alla seguente procedura:
  1. Creare un file inf che specifica le impostazioni per la richiesta di certificato. Per creare un file inf, è possibile utilizzare il codice di esempio nella sezione "Creazione di un file RequestPolicy.inf" del seguente articolo Microsoft TechNet:SAN possono essere inclusi nella sezione [Extensions]. Per esempi, vedere il file inf di esempio.
  2. Salvare il file come Request.
  3. Aprire un prompt dei comandi.
  4. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-nuovo Request certnew.req
    Questo comando utilizza le informazioni in tocreate di file una richiesta nel formato specificato dal valore RequestType nel file inf di Request. Quando viene creata la richiesta, isautomatically la coppia di chiavi pubblica e privata generata e quindi inserire in un oggetto di richiesta nell'archivio di enrollmentrequests sul computer locale.
  5. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-inoltrare Certnew certnew.req
    Questo comando Invia la richiesta di certificato alla CA. Se thereis più di un'autorità di certificazione nell'ambiente, l'opzione di configurazione può essere utilizzato nella riga di comando per indirizzare le richieste a inizialmente CA. Se non si utilizza l'opzione di configurazione, richiesto di selezionare l'autorità di certificazione a cui inviare la richiesta.

    L'opzione di configurazione utilizza il formato seguente per fare riferimento a una CA specifica:
    nomecomputer\Nome dell'autorità di certificazione
    Ad esempio, si supponga che il nome della CA è CA1 criteri aziendali andthat il nome di dominio è corpca1.fabrikam.com. Per utilizzare il comando certreq con il tospecify switch – config questa CA, digitare il seguente comando:
    CertReq-inoltrare Certnew certnew.req corpca1.fabrikam.com\Corporate"- config CA1 criteri"
    Se la CA è una CA dell'organizzazione e se l'utente che invia la richiesta di certificato dispone di autorizzazioni di lettura e registrazione per il modello, therequest viene inviato. Il certificato emesso viene salvato nel file Certnew.Se si tratta di una CA autonoma, la richiesta di certificato sarà in un pendingstate finché non viene approvato dall'amministratore CA. L'output di certreq-inviarecomando contiene il numero di ID di richiesta della richiesta inviata. Quando il certificato viene approvato, può essere recuperato utilizzando il numero di ID di richiesta.
  6. Utilizzare il numero di ID di richiesta per recuperare il certificato. TODO, digitare il comando seguente e quindi premere INVIO:
    CertReq-recuperare ID richiesta Certnew
    È inoltre possibile utilizzare l'opzione di configurazione qui per recuperare la richiesta di certificato da un specificCA. Se non viene utilizzata l'opzione di configurazione , richiesto di selezionare la CA da whichto recuperare il certificato.
  7. Al prompt dei comandi, digitare il comando seguente e thenpress invio:
    CertReq-accettare Certnew
    Dopo aver recuperato il certificato, è necessario installarlo. Thiscommand consente di importare il certificato nell'archivio appropriato e quindi collega certificato per la chiave privata viene creata nel passaggio 4.

Come inviare una richiesta di certificato a un'autorità di certificazione di terze parti

Se si desidera inviare una richiesta di certificato a un'autorità di certificazione di terze parti, è innanzitutto necessario utilizzare lo strumento di Certreq.exe per creare il file di richiesta di certificato. È quindi possibile inviare la richiesta all'autorità di certificazione di terze parti utilizzando qualsiasi metodo è appropriato per tale fornitore. Il terzo deve essere in grado di elaborare le richieste di certificato in formato CMC.

Nota. La maggior parte dei fornitori, fare riferimento alla richiesta di certificato come richiesta dei certificati di firma (CSR).
Riferimenti
Per ulteriori informazioni sull'abilitazione di LDAP su SSL con un'autorità di certificazione di terze parti, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
321051 Come abilitare il protocollo LDAP su SSL con un'autorità di certificazione di terze parti

Per ulteriori informazioni su come richiedere un certificato con un nome alternativo soggetto personalizzato, vedere il seguente sito Web Microsoft TechNet:Per ulteriori informazioni sull'utilizzo di attività certutil per la gestione di un'autorità di certificazione (CA), visitare il seguente sito Web MicrosoftDeveloper Network (MSDN):

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 931351 - Ultima revisione: 03/13/2014 20:08:00 - Revisione: 4.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbexpertiseadvanced kbhowto kbmt KB931351 KbMtit
Feedback