Hinzufügen eines alternativen Antragstellernamens zu einem sicheren LDAP-Zertifikat

  • Artikel

In diesem Artikel wird beschrieben, wie Sie einem LDAP-Zertifikat (Lightweight Directory Access Protocol) einen alternativen Antragstellernamen (Subject Alternative Name, SAN) hinzufügen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 931351

Zusammenfassung

Das LDAP-Zertifikat wird an eine Zertifizierungsstelle (Ca) übermittelt, die auf einem Windows Server 2003-basierten Computer konfiguriert ist. Mit dem SAN können Sie eine Verbindung mit einem Domänencontroller herstellen, indem Sie einen anderen DNS-Namen (Domain Name System) als den Computernamen verwenden. Dieser Artikel enthält Informationen zum Hinzufügen von SAN-Attributen zu einer Zertifizierungsanforderung, die an eine Unternehmenszertifizierungsstelle, eine eigenständige Zertifizierungsstelle oder eine Drittanbieterzertifizierungsstelle übermittelt wird.

In diesem Artikel wird auch erläutert, wie die folgenden Aktionen ausgeführt werden:

  • Konfigurieren Sie eine Zertifizierungsstelle so, dass sie ein SAN-Attribut aus einer Zertifikatanforderung akzeptiert.
  • Erstellen Sie eine Zertifikatanforderung, und übermitteln Sie sie an eine Unternehmenszertifizierungsstelle.
  • Erstellen Sie eine Zertifikatanforderung, und übermitteln Sie sie an eine eigenständige Zertifizierungsstelle.
  • Erstellen Sie mithilfe des tools Certreq.exe eine Zertifikatanforderung.
  • Erstellen Sie eine Zertifikatanforderung, und übermitteln Sie sie an eine Drittanbieterzertifizierungsstelle.

Erstellen und Übermitteln einer Zertifikatanforderung

Wenn Sie eine Zertifikatanforderung an eine Unternehmenszertifizierungsstelle übermitteln, muss die Zertifikatvorlage für die Verwendung des SAN in der Anforderung konfiguriert werden, anstatt Informationen aus dem Active Directory-Verzeichnisdienst zu verwenden. Die Webservervorlage version 1 kann verwendet werden, um ein Zertifikat anzufordern, das LDAP über Secure Sockets Layer (SSL) unterstützt. Vorlagen der Version 2 können so konfiguriert werden, dass das SAN entweder aus der Zertifikatanforderung oder aus Active Directory abgerufen wird. Um Zertifikate auszustellen, die auf Vorlagen der Version 2 basieren, muss die Unternehmenszertifizierungsstelle auf einem Computer ausgeführt werden, auf dem Windows Server 2003 Enterprise Edition ausgeführt wird.

Wenn Sie eine Anforderung an eine eigenständige Zertifizierungsstelle übermitteln, werden keine Zertifikatvorlagen verwendet. Daher muss das SAN immer in der Zertifikatanforderung enthalten sein. SAN-Attribute können einer Anforderung hinzugefügt werden, die mithilfe des Certreq.exe-Programms erstellt wird. Alternativ können SAN-Attribute in Anforderungen eingeschlossen werden, die über die Webregistrierungsseiten übermittelt werden.

Verwenden von Webregistrierungsseiten zum Übermitteln einer Zertifikatanforderung an eine Unternehmenszertifizierungsstelle

Führen Sie die folgenden Schritte aus, um eine Zertifikatanforderung mit einem SAN an eine Unternehmenszertifizierungsstelle zu übermitteln:

  1. Öffnen Sie Internet Explorer.

  2. Stellen Sie in Internet Explorer eine Verbindung mit herhttp://<servername>/certsrv.

    Hinweis

    Der Platzhalterservername <> stellt den Namen des Webservers dar, auf dem Windows Server 2003 ausgeführt wird und der über die Zertifizierungsstelle verfügt, auf die Sie zugreifen möchten.

  3. Klicken Sie auf Zertifikat anfordern.

  4. Klicken Sie auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Klicken Sie in der Liste Zertifikatvorlage auf Webserver.

    Hinweis

    Die Zertifizierungsstelle muss so konfiguriert werden, dass sie Webserverzertifikate ausstellt. Möglicherweise müssen Sie die Webservervorlage dem Ordner Zertifikatvorlagen im Zertifizierungsstellen-Snap-In hinzufügen, wenn die Zertifizierungsstelle nicht bereits für die Ausstellung von Webserverzertifikaten konfiguriert ist.

  7. Geben Sie nach Bedarf identifizierende Informationen an.

  8. Geben Sie im Feld Name den vollqualifizierten Domänennamen des Domänencontrollers ein.

  9. Legen Sie unter Schlüsseloptionen die folgenden Optionen fest:

    • Erstellen eines neuen Schlüsselsatzes
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Schlüsselverwendung: Exchange
    • Schlüsselgröße: 1024 - 16384
    • Name des automatischen Schlüsselcontainers
    • Speichern des Zertifikats im Zertifikatspeicher des lokalen Computers

  10. Legen Sie unter Erweiterte Optionen das Anforderungsformat auf CMC fest.

  11. Geben Sie im Feld Attribute die gewünschten SAN-Attribute ein. SAN-Attribute haben die folgende Form:

    san:dns=dns.name[&dns=dns.name]

    Mehrere DNS-Namen werden durch ein kaufmännisches Und-Zeichen (&) getrennt. Wenn der Name des Domänencontrollers beispielsweise lautet corpdc1.fabrikam.com und der Alias ist ldap.fabrikam.com, müssen beide Namen in den SAN-Attributen enthalten sein. Die resultierende Attributzeichenfolge wird wie folgt angezeigt:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klicken Sie auf Absenden.

  13. Wenn die Webseite Zertifikat ausgestellt angezeigt wird , klicken Sie auf Dieses Zertifikat installieren.

Verwenden von Webregistrierungsseiten zum Übermitteln einer Zertifikatanforderung an eine eigenständige Zertifizierungsstelle

Führen Sie die folgenden Schritte aus, um eine Zertifikatanforderung zu übermitteln, die ein SAN an eine eigenständige Zertifizierungsstelle enthält:

  1. Öffnen Sie Internet Explorer.

  2. Stellen Sie in Internet Explorer eine Verbindung mit herhttp://<servername>/certsrv.

    Hinweis

    Der Platzhalterservername <> stellt den Namen des Webservers dar, auf dem Windows Server 2012 R2 ausgeführt wird und der über die Zertifizierungsstelle verfügt, auf die Sie zugreifen möchten.

  3. Klicken Sie auf Zertifikat anfordern.

  4. Klicken Sie auf Erweiterte Zertifikatanforderung.

  5. Klicken Sie auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen.

  6. Geben Sie nach Bedarf identifizierende Informationen an.

  7. Geben Sie im Feld Name den vollqualifizierten Domänennamen des Domänencontrollers ein.

  8. Klicken Sie in der Liste Typ des erforderlichen Zertifikatservers auf Serverauthentifizierungszertifikat.

  9. Legen Sie unter Schlüsseloptionen die folgenden Optionen fest:

    • Erstellen eines neuen Schlüsselsatzes
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Schlüsselverwendung: Exchange
    • Schlüsselgröße: 1024 - 16384
    • Name des automatischen Schlüsselcontainers
    • Speichern des Zertifikats im Zertifikatspeicher des lokalen Computers

  10. Legen Sie unter Erweiterte Optionen das Anforderungsformat auf CMC fest.

  11. Geben Sie im Feld Attribute die gewünschten SAN-Attribute ein. SAN-Attribute haben die folgende Form:

    san:dns=dns.name[&dns=dns.name]

    Mehrere DNS-Namen werden durch ein kaufmännisches Und-Zeichen (&) getrennt. Wenn beispielsweise der Name des Domänencontrollers corpdc1.fabrikam.com ist und der Alias ldap.fabrikam.com ist, müssen beide Namen in den SAN-Attributen enthalten sein. Die resultierende Attributzeichenfolge wird wie folgt angezeigt:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klicken Sie auf Absenden.

  13. Wenn die Zertifizierungsstelle nicht so konfiguriert ist, dass Zertifikate automatisch ausgestellt werden, wird eine Webseite zertifikatausstehend angezeigt, und Sie werden aufgefordert, dass Sie warten, bis ein Administrator das angeforderte Zertifikat ausstellt.

    Um ein Zertifikat abzurufen, das ein Administrator ausgestellt hat, stellen Sie eine Verbindung mit http://<servername>/certsrvher, und klicken Sie dann auf Ausstehendes Zertifikat überprüfen. Klicken Sie auf das angeforderte Zertifikat und dann auf Weiter.

    Wenn das Zertifikat ausgestellt wurde, wird die Webseite Zertifikat ausgestellt angezeigt. Klicken Sie auf Dieses Zertifikat installieren , um das Zertifikat zu installieren.

Verwenden sie Certreq.exe, um eine Zertifikatanforderung zu erstellen und zu übermitteln, die ein SAN enthält.

Führen Sie die folgenden Schritte aus, um das Hilfsprogramm Certreq.exe zum Erstellen und Übermitteln einer Zertifikatanforderung zu verwenden:

  1. Erstellen Sie eine INF-Datei, die die Einstellungen für die Zertifikatanforderung angibt. Zum Erstellen einer INF-Datei können Sie den Beispielcode im Abschnitt Erstellen einer RequestPolicy.inf-Datei unter Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen verwenden.

    SANs können im Abschnitt [Erweiterungen] eingeschlossen werden. Beispiele finden Sie in der INF-Beispieldatei.

  2. Speichern Sie die Datei als Request.inf.

  3. Öffnen Sie eine Eingabeaufforderung.

  4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    certreq -new request.inf certnew.req

    Dieser Befehl verwendet die Informationen in der Datei Request.inf, um eine Anforderung in dem Format zu erstellen, das durch den RequestType-Wert in der INF-Datei angegeben wird. Wenn die Anforderung erstellt wird, wird das öffentliche und private Schlüsselpaar automatisch generiert und dann in ein Anforderungsobjekt im Registrierungsanforderungsspeicher auf dem lokalen Computer eingefügt.

  5. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    certreq -submit certnew.req certnew.cer

    Dieser Befehl sendet die Zertifikatanforderung an die Zertifizierungsstelle. Wenn mehr als eine Zertifizierungsstelle in der Umgebung vorhanden ist, kann der -config Switch in der Befehlszeile verwendet werden, um die Anforderung an eine bestimmte Zertifizierungsstelle weiterzuleiten. Wenn Sie den -config Schalter nicht verwenden, werden Sie aufgefordert, die Zertifizierungsstelle auszuwählen, an die die Anforderung gesendet werden soll.

    Der -config Switch verwendet das folgende Format, um auf eine bestimmte Zertifizierungsstelle zu verweisen:

    computername\Certification Authority Name

    Angenommen, der Name der Zertifizierungsstelle lautet Unternehmensrichtlinie CA1 und der Domänenname lautet corpca1.fabrikam.com. Um den Befehl certreq zusammen mit dem -config Schalter zum Angeben dieser Zertifizierungsstelle zu verwenden, geben Sie den folgenden Befehl ein:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Wenn es sich bei dieser Zertifizierungsstelle um eine Unternehmenszertifizierungsstelle handelt und der Benutzer, der die Zertifikatanforderung übermittelt, über Lese- und Registrierungsberechtigungen für die Vorlage verfügt, wird die Anforderung übermittelt. Das ausgestellte Zertifikat wird in der Certnew.cer-Datei gespeichert. Wenn es sich bei der Zertifizierungsstelle um eine eigenständige Zertifizierungsstelle handelt, befindet sich die Zertifikatanforderung in einem ausstehenden Zustand, bis sie vom Zertifizierungsstellenadministrator genehmigt wurde. Die Ausgabe des Befehls certreq -submit enthält die Anforderungs-ID der übermittelten Anforderung. Sobald das Zertifikat genehmigt wurde, kann es mithilfe der Anforderungs-ID-Nummer abgerufen werden.

  6. Verwenden Sie die Anforderungs-ID, um das Zertifikat abzurufen, indem Sie den folgenden Befehl ausführen:

    certreq -retrieve RequestID certnew.cer

    Sie können hier auch den -config Schalter verwenden, um die Zertifikatanforderung von einer bestimmten Zertifizierungsstelle abzurufen. Wenn der -config Schalter nicht verwendet wird, werden Sie aufgefordert, die Zertifizierungsstelle auszuwählen, von der das Zertifikat abgerufen werden soll.

  7. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

    certreq -accept certnew.cer

    Nachdem Sie das Zertifikat abgerufen haben, müssen Sie es installieren. Dieser Befehl importiert das Zertifikat in den entsprechenden Speicher und verknüpft das Zertifikat dann mit dem privaten Schlüssel, der in Schritt 4 erstellt wird.

Übermitteln einer Zertifikatanforderung an eine Drittanbieterzertifizierungsstelle

Wenn Sie eine Zertifikatanforderung an eine Drittanbieterzertifizierungsstelle übermitteln möchten, verwenden Sie zunächst das tool Certreq.exe, um die Zertifikatanforderungsdatei zu erstellen. Anschließend können Sie die Anforderung an die Drittanbieterzertifizierungsstelle übermitteln, indem Sie eine beliebige Methode verwenden, die für diesen Anbieter geeignet ist. Die Drittanbieterzertifizierungsstelle muss In der Lage sein, Zertifikatanforderungen im CMC-Format zu verarbeiten.

Hinweis

Die meisten Anbieter bezeichnen die Zertifikatanforderung als Zertifikatsignieranforderung (Certificate Signing Request, CSR).

References

Weitere Informationen zum Aktivieren von LDAP über SSL zusammen mit einer Drittanbieterzertifizierungsstelle finden Sie unter Aktivieren von LDAP über SSL bei einer Drittanbieterzertifizierungsstelle.

Weitere Informationen zum Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen finden Sie unter Anfordern eines Zertifikats mit einem benutzerdefinierten alternativen Antragstellernamen.

Weitere Informationen zur Verwendung von certutil-Tasks zum Verwalten einer Zertifizierungsstelle (Ca) finden Sie auf der folgenden MSDN-Website (Microsoft Developer Network): Certutil Tasks for managing a Certification Authority (CA)