Aggiungere un nome alternativo soggetto a un certificato LDAP sicuro

  • Articolo

Questo articolo descrive come aggiungere un nome alternativo del soggetto (SAN) a un certificato LDAP (Lightweight Directory Access Protocol) sicuro.

Si applica a: Windows Server 2012 R2
Numero KB originale: 931351

Riepilogo

Il certificato LDAP viene inviato a un'autorità di certificazione configurata in un computer basato su Windows Server 2003. La SAN consente di connettersi a un controller di dominio usando un nome DNS (Domain Name System) diverso dal nome del computer. Questo articolo include informazioni su come aggiungere attributi SAN a una richiesta di certificazione inviata a una CA aziendale, una CA autonoma o una CA di terze parti.

Questo articolo illustra anche come eseguire le azioni seguenti:

  • Configurare una CA per accettare un attributo SAN da una richiesta di certificato.
  • Creare e inviare una richiesta di certificato a una CA aziendale.
  • Creare e inviare una richiesta di certificato a una CA autonoma.
  • Creare una richiesta di certificato usando lo strumento Certreq.exe.
  • Creare e inviare una richiesta di certificato a una CA di terze parti.

Creare e inviare una richiesta di certificato

Quando si invia una richiesta di certificato a una CA dell'organizzazione, il modello di certificato deve essere configurato per l'uso della san nella richiesta anziché usare le informazioni del servizio directory Active Directory. Il modello server Web versione 1 può essere usato per richiedere un certificato che supporterà LDAP tramite SSL (Secure Sockets Layer). I modelli della versione 2 possono essere configurati per recuperare la SAN dalla richiesta di certificato o da Active Directory. Per rilasciare certificati basati sui modelli della versione 2, la CA aziendale deve essere in esecuzione in un computer che esegue Windows Server 2003 edizione Enterprise.

Quando si invia una richiesta a una CA autonoma, i modelli di certificato non vengono usati. Pertanto, la SAN deve essere sempre inclusa nella richiesta di certificato. Gli attributi SAN possono essere aggiunti a una richiesta creata usando il programma Certreq.exe. In alternativa, gli attributi SAN possono essere inclusi nelle richieste inviate tramite le pagine di registrazione Web.

Usare le pagine di registrazione Web per inviare una richiesta di certificato a una CA aziendale

Per inviare una richiesta di certificato che contiene una SAN a una CA aziendale, seguire questa procedura:

  1. Aprire Internet Explorer.

  2. In Internet Explorer connettersi a http://<servername>/certsrv.

    Nota

    Il segnaposto <servername> rappresenta il nome del server Web che esegue Windows Server 2003 e che ha la CA a cui si vuole accedere.

  3. Fare clic su Richiedi un certificato.

  4. Fare clic su Richiesta avanzata di certificati.

  5. Fare clic su Creare e inviare una richiesta a questa CA.

  6. Nell'elenco Modello di certificato fare clic su Server Web.

    Nota

    La CA deve essere configurata per rilasciare certificati server Web. Potrebbe essere necessario aggiungere il modello di server Web alla cartella Modelli di certificato nello snap-in Autorità di certificazione se la CA non è già configurata per l'emissione di certificati del server Web.

  7. Fornire informazioni di identificazione in base alle esigenze.

  8. Nella casella Nome digitare il nome di dominio completo del controller di dominio.

  9. In Opzioni chiave impostare le opzioni seguenti:

    • Creare un nuovo set di chiavi
    • CSP: Provider di crittografia SChannel di Microsoft RSA
    • Utilizzo chiave: Exchange
    • Dimensioni chiave: 1024 - 16384
    • Nome del contenitore di chiavi automatico
    • Archiviare il certificato nell'archivio certificati del computer locale

  10. In Opzioni avanzate impostare il formato della richiesta su CMC.

  11. Nella casella Attributi digitare gli attributi SAN desiderati. Gli attributi SAN hanno il formato seguente:

    san:dns=dns.name[&dns=dns.name]

    Più nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere inclusi negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Fare clic su Invia.

  13. Se viene visualizzata la pagina Web Certificato emesso , fare clic su Installa questo certificato.

Usare le pagine di registrazione Web per inviare una richiesta di certificato a una CA autonoma

Per inviare una richiesta di certificato che include una SAN a una CA autonoma, seguire questa procedura:

  1. Aprire Internet Explorer.

  2. In Internet Explorer connettersi a http://<servername>/certsrv.

    Nota

    Il segnaposto <servername> rappresenta il nome del server Web che esegue Windows Server 2012 R2 e che ha la CA a cui si vuole accedere.

  3. Fare clic su Richiedi un certificato.

  4. Fare clic su Richiesta avanzata di certificati.

  5. Fare clic su Creare e inviare una richiesta a questa CA.

  6. Fornire informazioni di identificazione in base alle esigenze.

  7. Nella casella Nome digitare il nome di dominio completo del controller di dominio.

  8. Nell'elenco Tipo di server certificato necessario fare clic su Certificato di autenticazione server.

  9. In Opzioni chiave impostare le opzioni seguenti:

    • Creare un nuovo set di chiavi
    • CSP: Provider di crittografia SChannel di Microsoft RSA
    • Utilizzo chiave: Exchange
    • Dimensioni chiave: 1024 - 16384
    • Nome del contenitore di chiavi automatico
    • Archiviare il certificato nell'archivio certificati del computer locale

  10. In Opzioni avanzate impostare il formato della richiesta come CMC.

  11. Nella casella Attributi digitare gli attributi SAN desiderati. Gli attributi SAN hanno il formato seguente:

    san:dns=dns.name[&dns=dns.name]

    Più nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere inclusi negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Fare clic su Invia.

  13. Se la CA non è configurata per rilasciare automaticamente i certificati, viene visualizzata una pagina Web Certificato in sospeso e viene richiesta l'attesa che un amministratore rilasci il certificato richiesto.

    Per recuperare un certificato emesso da un amministratore, connettersi a http://<servername>/certsrve quindi fare clic su Verifica su un certificato in sospeso. Fare clic sul certificato richiesto e quindi su Avanti.

    Se il certificato è stato emesso, viene visualizzata la pagina Web Certificate Issued .If the certificate was issued, the Certificate Issued webpage is displayed. Fare clic su Installa questo certificato per installare il certificato.

Usare Certreq.exe per creare e inviare una richiesta di certificato che include una SAN

Per usare l'utilità Certreq.exe per creare e inviare una richiesta di certificato, seguire questa procedura:

  1. Creare un file con estensione inf che specifica le impostazioni per la richiesta di certificato. Per creare un file con estensione inf, è possibile usare il codice di esempio nella sezione Creazione di un file RequestPolicy.inf in How to Request a Certificate With a Custom Subject Alternative Name.To create an .inf file, you can use the sample code in the Creating a RequestPolicy.inf file section in How to Request a Certificate With a Custom Subject Alternative Name.

    I nomi SAN possono essere inclusi nella sezione [Extensions]. Per esempi, vedere il file inf di esempio.

  2. Salvare il file come Request.inf.

  3. Aprire la finestra del prompt dei comandi.

  4. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -new request.inf certnew.req

    Questo comando usa le informazioni nel file Request.inf per creare una richiesta nel formato specificato dal valore RequestType nel file con estensione inf. Quando viene creata la richiesta, la coppia di chiavi pubblica e privata viene generata automaticamente e quindi inserita in un oggetto richiesta nell'archivio richieste di registrazione nel computer locale.

  5. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -submit certnew.req certnew.cer

    Questo comando invia la richiesta di certificato alla CA. Se nell'ambiente sono presenti più ca, il -config commutatore può essere usato nella riga di comando per indirizzare la richiesta a una CA specifica. Se non si usa l'opzione -config , viene richiesto di selezionare l'autorità di certificazione a cui inviare la richiesta.

    L'opzione -config usa il formato seguente per fare riferimento a una CA specifica:

    computername\Certification Authority Name

    Si supponga, ad esempio, che il nome della CA sia Ca1 criteri aziendali e che il nome di dominio sia corpca1.fabrikam.com. Per usare il comando certreq insieme all'opzione -config per specificare questa CA, digitare il comando seguente:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Se questa CA è un'autorità di certificazione aziendale e se l'utente che invia la richiesta di certificato dispone delle autorizzazioni lettura e registrazione per il modello, la richiesta viene inviata. Il certificato emesso viene salvato nel file Certnew.cer. Se la CA è una CA autonoma, la richiesta di certificato sarà in sospeso fino a quando non viene approvata dall'amministratore della CA. L'output del comando certreq -submit contiene il numero di ID richiesta della richiesta inviata. Non appena il certificato viene approvato, può essere recuperato usando il numero di ID richiesta.

  6. Usare il numero di ID richiesta per recuperare il certificato eseguendo il comando seguente:

    certreq -retrieve RequestID certnew.cer

    È anche possibile usare l'opzione -config qui per recuperare la richiesta di certificato da una CA specifica. Se l'opzione -config non viene usata, viene richiesto di selezionare la CA da cui recuperare il certificato.

  7. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -accept certnew.cer

    Dopo aver recuperato il certificato, è necessario installarlo. Questo comando importa il certificato nell'archivio appropriato e quindi collega il certificato alla chiave privata creata nel passaggio 4.

Inviare una richiesta di certificato a una CA di terze parti

Se si vuole inviare una richiesta di certificato a una CA di terze parti, usare prima di tutto lo strumento Certreq.exe per creare il file della richiesta di certificato. È quindi possibile inviare la richiesta alla CA di terze parti usando il metodo appropriato per il fornitore. La CA di terze parti deve essere in grado di elaborare le richieste di certificato nel formato CMC.

Nota

La maggior parte dei fornitori fa riferimento alla richiesta di certificato come richiesta di firma del certificato.Most vendors refer to the certificate request as a Certificate Signing Request (CSR).

Riferimenti

Per altre informazioni su come abilitare LDAP tramite SSL insieme a un'autorità di certificazione di terze parti, vedere Come abilitare LDAP tramite SSL con un'autorità di certificazione di terze parti.

Per altre informazioni su come richiedere un certificato con un nome alternativo soggetto personalizzato, vedere Come richiedere un certificato con un nome alternativo soggetto personalizzato.

Per altre informazioni su come usare le attività certutil per gestire un'autorità di certificazione (CA), visitare il sito Web Microsoft Developer Network (MSDN) seguente: Attività di Certutil per la gestione di un'autorità di certificazione (CA)