Adición de un nombre alternativo de firmante a un certificado LDAP seguro

  • Artículo

En este artículo se describe cómo agregar un nombre alternativo de firmante (SAN) a un certificado de protocolo ligero de acceso a directorios (LDAP) seguro.

Se aplica a: Windows Server 2012 R2
Número de KB original: 931351

Resumen

El certificado LDAP se envía a una entidad de certificación (CA) configurada en un equipo basado en Windows Server 2003. La SAN le permite conectarse a un controlador de dominio mediante un nombre de sistema de nombres de dominio (DNS) distinto del nombre del equipo. En este artículo se incluye información sobre cómo agregar atributos SAN a una solicitud de certificación que se envía a una CA empresarial, una CA independiente o una CA de terceros.

En este artículo también se describe cómo realizar las siguientes acciones:

  • Configure una ENTIDAD de certificación para aceptar un atributo SAN de una solicitud de certificado.
  • Cree y envíe una solicitud de certificado a una entidad de certificación empresarial.
  • Cree y envíe una solicitud de certificado a una entidad de certificación independiente.
  • Cree una solicitud de certificado mediante la herramienta Certreq.exe.
  • Cree y envíe una solicitud de certificado a una entidad de certificación de terceros.

Creación y envío de una solicitud de certificado

Al enviar una solicitud de certificado a una entidad de certificación empresarial, la plantilla de certificado debe configurarse para usar la SAN en la solicitud en lugar de usar información del servicio de directorio de Active Directory. La plantilla de servidor web versión 1 se puede usar para solicitar un certificado que admita LDAP a través de la capa de sockets seguros (SSL). Las plantillas de la versión 2 se pueden configurar para recuperar la SAN desde la solicitud de certificado o desde Active Directory. Para emitir certificados basados en plantillas de la versión 2, la CA empresarial debe ejecutarse en un equipo que ejecute Windows Server 2003 Enterprise Edition.

Al enviar una solicitud a una entidad de certificación independiente, no se usan plantillas de certificado. Por lo tanto, la SAN siempre debe incluirse en la solicitud de certificado. Los atributos SAN se pueden agregar a una solicitud que se crea mediante el programa Certreq.exe. O bien, los atributos SAN se pueden incluir en las solicitudes enviadas mediante las páginas de inscripción web.

Uso de páginas de inscripción web para enviar una solicitud de certificado a una entidad de certificación empresarial

Para enviar una solicitud de certificado que contenga una SAN a una entidad de certificación empresarial, siga estos pasos:

  1. Abra Internet Explorer.

  2. En Internet Explorer, conéctese a http://<servername>/certsrv.

    Nota:

    El marcador de posición <servername> representa el nombre del servidor web que ejecuta Windows Server 2003 y que tiene la entidad de certificación a la que desea acceder.

  3. Haga clic en Solicitar un certificado.

  4. Haga clic en Solicitud de certificado avanzada.

  5. Haga clic en Crear y envíe una solicitud a esta CA.

  6. En la lista Plantilla de certificado , haga clic en Servidor web.

    Nota:

    La entidad de certificación debe configurarse para emitir certificados de servidor web. Es posible que tenga que agregar la plantilla servidor web a la carpeta Plantillas de certificado en el complemento Entidad de certificación si la entidad de certificación no está configurada para emitir certificados de servidor web.

  7. Proporcione información de identificación según sea necesario.

  8. En el cuadro Nombre , escriba el nombre de dominio completo del controlador de dominio.

  9. En Opciones de clave, establezca las siguientes opciones:

    • Creación de un nuevo conjunto de claves
    • CSP: Proveedor criptográfico SChannel de Microsoft RSA
    • Uso de clave: Exchange
    • Tamaño de clave: 1024 - 16384
    • Nombre automático del contenedor de claves
    • Almacenar certificado en el almacén de certificados del equipo local

  10. En Opciones avanzadas, establezca el formato de solicitud en CMC.

  11. En el cuadro Atributos , escriba los atributos SAN deseados. Los atributos SAN tienen el siguiente formato:

    san:dns=dns.name[&dns=dns.name]

    Varios nombres DNS están separados por una y comercial (&). Por ejemplo, si el nombre del controlador de dominio es corpdc1.fabrikam.com y el alias es ldap.fabrikam.com, ambos nombres deben incluirse en los atributos san. La cadena de atributo resultante se muestra de la siguiente manera:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Haga clic en Enviar.

  13. Si ve la página web Certificado emitido , haga clic en Instalar este certificado.

Uso de páginas de inscripción web para enviar una solicitud de certificado a una entidad de certificación independiente

Para enviar una solicitud de certificado que incluya una SAN a una entidad de certificación independiente, siga estos pasos:

  1. Abra Internet Explorer.

  2. En Internet Explorer, conéctese a http://<servername>/certsrv.

    Nota:

    El nombre del> servidor del marcador de posición <representa el nombre del servidor web que ejecuta Windows Server 2012 R2 y que tiene la entidad de certificación a la que desea tener acceso.

  3. Haga clic en Solicitar un certificado.

  4. Haga clic en Solicitud de certificado avanzada.

  5. Haga clic en Crear y envíe una solicitud a esta CA.

  6. Proporcione información de identificación según sea necesario.

  7. En el cuadro Nombre , escriba el nombre de dominio completo del controlador de dominio.

  8. En la lista Tipo de servidor necesario de certificado , haga clic en Certificado de autenticación de servidor.

  9. En Opciones de clave, establezca las siguientes opciones:

    • Creación de un nuevo conjunto de claves
    • CSP: Proveedor criptográfico SChannel de Microsoft RSA
    • Uso de clave: Exchange
    • Tamaño de clave: 1024 - 16384
    • Nombre automático del contenedor de claves
    • Almacenar certificado en el almacén de certificados del equipo local

  10. En Opciones avanzadas, establezca el formato de solicitud como CMC.

  11. En el cuadro Atributos , escriba los atributos SAN deseados. Los atributos SAN tienen el siguiente formato:

    san:dns=dns.name[&dns=dns.name]

    Varios nombres DNS están separados por una y comercial (&). Por ejemplo, si se corpdc1.fabrikam.com el nombre del controlador de dominio y se ldap.fabrikam.com el alias, ambos nombres deben incluirse en los atributos san. La cadena de atributo resultante se muestra de la siguiente manera:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Haga clic en Enviar.

  13. Si la entidad de certificación no está configurada para emitir certificados automáticamente, se muestra una página web Certificado pendiente y se solicita que espere a que un administrador emita el certificado solicitado.

    Para recuperar un certificado emitido por un administrador, conéctese a y, a http://<servername>/certsrvcontinuación, haga clic en Comprobar en un certificado pendiente. Haga clic en el certificado solicitado y, a continuación, haga clic en Siguiente.

    Si se emitió el certificado, se muestra la página web Certificado emitido . Haga clic en Instalar este certificado para instalar el certificado.

Uso de Certreq.exe para crear y enviar una solicitud de certificado que incluya una SAN

Para usar la utilidad Certreq.exe para crear y enviar una solicitud de certificado, siga estos pasos:

  1. Cree un archivo .inf que especifique la configuración de la solicitud de certificado. Para crear un archivo .inf, puede usar el código de ejemplo de la sección Creating a RequestPolicy.inf file (Creación de un archivo RequestPolicy.inf ) en How to Request a Certificate With a Custom Subject Alternative Name (Cómo solicitar un certificado con un nombre alternativo de sujeto personalizado).

    Los SAN se pueden incluir en la sección [Extensiones] . Para obtener ejemplos, vea el archivo .inf de ejemplo.

  2. Guarde el archivo como Request.inf.

  3. Abra un símbolo del sistema.

  4. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    certreq -new request.inf certnew.req

    Este comando usa la información del archivo Request.inf para crear una solicitud en el formato especificado por el valor RequestType en el archivo .inf. Cuando se crea la solicitud, el par de claves pública y privada se genera automáticamente y, a continuación, se coloca en un objeto de solicitud en el almacén de solicitudes de inscripción en el equipo local.

  5. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    certreq -submit certnew.req certnew.cer

    Este comando envía la solicitud de certificado a la ca. Si hay más de una entidad de certificación en el entorno, el -config modificador se puede usar en la línea de comandos para dirigir la solicitud a una ca específica. Si no usa el -config modificador, se le pedirá que seleccione la entidad de certificación a la que se debe enviar la solicitud.

    El -config modificador usa el siguiente formato para hacer referencia a una ca específica:

    computername\Certification Authority Name

    Por ejemplo, suponga que el nombre de la entidad de certificación es CA1 de directiva corporativa y que el nombre de dominio es corpca1.fabrikam.com. Para usar el comando certreq junto con el -config modificador para especificar esta entidad de certificación, escriba el siguiente comando:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Si esta CA es una CA empresarial y el usuario que envía la solicitud de certificado tiene permisos de lectura e inscripción para la plantilla, se envía la solicitud. El certificado emitido se guarda en el archivo Certnew.cer. Si la CA es una entidad de certificación independiente, la solicitud de certificado estará en un estado pendiente hasta que el administrador de la entidad de certificación la apruebe. La salida del comando certreq -submit contiene el número de identificador de solicitud de la solicitud enviada. En cuanto se aprueba el certificado, se puede recuperar mediante el número de id. de solicitud.

  6. Use el número de identificador de solicitud para recuperar el certificado mediante la ejecución del siguiente comando:

    certreq -retrieve RequestID certnew.cer

    También puede usar el -config modificador aquí para recuperar la solicitud de certificado de una entidad de certificación específica. Si no se usa el -config modificador, se le pedirá que seleccione la entidad de certificación desde la que recuperar el certificado.

  7. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    certreq -accept certnew.cer

    Después de recuperar el certificado, debe instalarlo. Este comando importa el certificado en el almacén adecuado y, a continuación, vincula el certificado a la clave privada que se crea en el paso 4.

Envío de una solicitud de certificado a una entidad de certificación de terceros

Si desea enviar una solicitud de certificado a una entidad de certificación de terceros, use primero la herramienta Certreq.exe para crear el archivo de solicitud de certificado. A continuación, puede enviar la solicitud a la entidad de certificación de terceros mediante cualquier método adecuado para ese proveedor. La entidad de certificación de terceros debe poder procesar las solicitudes de certificado en el formato CMC.

Nota:

La mayoría de los proveedores hacen referencia a la solicitud de certificado como una solicitud de firma de certificado (CSR).

Referencias

Para obtener más información sobre cómo habilitar LDAP a través de SSL junto con una entidad de certificación de terceros, consulte Habilitación de LDAP a través de SSL con una entidad de certificación de terceros.

Para obtener más información sobre cómo solicitar un certificado que tenga un nombre alternativo de firmante personalizado, vea Cómo solicitar un certificado con un nombre alternativo de firmante personalizado.

Para obtener más información sobre cómo usar tareas certutil para administrar una entidad de certificación (CA), vaya al siguiente sitio web de Microsoft Developer Network (MSDN): Tareas certutil para administrar una entidad de certificación (CA)