Adicionar um nome alternativo de assunto a um certificado LDAP seguro

  • Artigo

Este artigo descreve como adicionar um san (nome alternativo) de assunto a um certificado LDAP (Protocolo de Acesso leve) seguro.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 931351

Resumo

O certificado LDAP é enviado a uma autoridade de certificação (AC) configurada em um computador baseado no Windows Server 2003. A SAN permite que você se conecte a um controlador de domínio usando um nome DNS (Sistema de Nomes de Domínio) diferente do nome do computador. Este artigo inclui informações sobre como adicionar atributos SAN a uma solicitação de certificação enviada a uma AC corporativa, uma AC autônoma ou a uma AC de terceiros.

Este artigo também discute como fazer as seguintes ações:

  • Configure uma AC para aceitar um atributo SAN de uma solicitação de certificado.
  • Crie e envie uma solicitação de certificado para uma AC corporativa.
  • Crie e envie uma solicitação de certificado para uma AC autônoma.
  • Crie uma solicitação de certificado usando a ferramenta Certreq.exe.
  • Crie e envie uma solicitação de certificado para uma AC de terceiros.

Criar e enviar uma solicitação de certificado

Quando você envia uma solicitação de certificado para uma AC corporativa, o modelo de certificado deve ser configurado para usar a SAN na solicitação em vez de usar informações do serviço de diretório do Active Directory. O modelo do Servidor Web versão 1 pode ser usado para solicitar um certificado que dê suporte a LDAP na SSL (Camada de Soquetes Seguros). Modelos de versão 2 podem ser configurados para recuperar a SAN na solicitação de certificado ou no Active Directory. Para emitir certificados baseados em modelos da Versão 2, a AC corporativa deve estar em execução em um computador que está executando o Windows Server 2003 Edição Enterprise.

Quando você envia uma solicitação para uma AC autônoma, os modelos de certificado não são usados. Portanto, a SAN deve sempre ser incluída na solicitação de certificado. Os atributos SAN podem ser adicionados a uma solicitação criada usando o programa Certreq.exe. Ou, os atributos SAN podem ser incluídos em solicitações enviadas usando as páginas de registro da Web.

Usar páginas de registro da Web para enviar uma solicitação de certificado para uma AC corporativa

Para enviar uma solicitação de certificado que contém uma SAN para uma AC corporativa, siga estas etapas:

  1. Abra o Internet Explorer.

  2. Na Internet Explorer, conecte-se a http://<servername>/certsrv.

    Observação

    O nome do servidor> de espaço reservado <representa o nome do servidor Web que está executando o Windows Server 2003 e que tem a AC que você deseja acessar.

  3. Clique em Solicitar um Certificado.

  4. Clique em Solicitação avançada de certificado.

  5. Clique em Criar e enviar uma solicitação para a autoridade de certificação.

  6. Na lista Modelo de Certificado , clique em Servidor Web.

    Observação

    A AC deve ser configurada para emitir certificados de servidor Web. Talvez seja necessário adicionar o modelo do Servidor Web à pasta Modelos de Certificado no snap-in da Autoridade de Certificação se a AC ainda não estiver configurada para emitir certificados de servidor Web.

  7. Forneça informações de identificação conforme necessário.

  8. Na caixa Nome , digite o nome de domínio totalmente qualificado do controlador de domínio.

  9. Em Opções de Chave, defina as seguintes opções:

    • Criar um novo conjunto de chaves
    • CSP: Provedor criptográfico SChannel do Microsoft RSA
    • Uso de chave: Exchange
    • Tamanho da chave: 1024 - 16384
    • Nome do contêiner de chave automática
    • Armazenar certificado no repositório de certificados de computador local

  10. Em Opções Avançadas, defina o formato de solicitação como CMC.

  11. Na caixa Atributos , digite os atributos SAN desejados. Os atributos SAN tomam o seguinte formulário:

    san:dns=dns.name[&dns=dns.name]

    Vários nomes DNS são separados por um ampersand (&). Por exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o alias for ldap.fabrikam.com, ambos os nomes deverão ser incluídos nos atributos SAN. A cadeia de caracteres de atributo resultante é exibida da seguinte maneira:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Clique em Enviar.

  13. Se você vir a página da Web Emitida pelo Certificado , clique em Instalar este Certificado.

Usar páginas de registro da Web para enviar uma solicitação de certificado para uma AC autônoma

Para enviar uma solicitação de certificado que inclua uma SAN a uma AC autônoma, siga estas etapas:

  1. Abra o Internet Explorer.

  2. Na Internet Explorer, conecte-se a http://<servername>/certsrv.

    Observação

    O nome do servidor> de espaço reservado <representa o nome do servidor Web que está executando Windows Server 2012 R2 e que tem a AC que você deseja acessar.

  3. Clique em Solicitar um Certificado.

  4. Clique em Solicitação avançada de certificado.

  5. Clique em Criar e enviar uma solicitação para a autoridade de certificação.

  6. Forneça informações de identificação conforme necessário.

  7. Na caixa Nome , digite o nome de domínio totalmente qualificado do controlador de domínio.

  8. Na lista Tipo de Servidor Necessário de Certificado , clique em Certificado de Autenticação do Servidor.

  9. Em Opções de Chave, defina as seguintes opções:

    • Criar um novo conjunto de chaves
    • CSP: Provedor criptográfico SChannel do Microsoft RSA
    • Uso de chave: Exchange
    • Tamanho da chave: 1024 - 16384
    • Nome do contêiner de chave automática
    • Armazenar certificado no repositório de certificados de computador local

  10. Em Opções Avançadas, defina o formato de solicitação como CMC.

  11. Na caixa Atributos , digite os atributos SAN desejados. Os atributos SAN tomam o seguinte formulário:

    san:dns=dns.name[&dns=dns.name]

    Vários nomes DNS são separados por um ampersand (&). Por exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o alias for ldap.fabrikam.com, ambos os nomes deverão ser incluídos nos atributos SAN. A cadeia de caracteres de atributo resultante é exibida da seguinte maneira:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Clique em Enviar.

  13. Se a AC não estiver configurada para emitir certificados automaticamente, uma página da Web Pendente de Certificado será exibida e solicitará que você aguarde que um administrador emita o certificado solicitado.

    Para recuperar um certificado emitido por um administrador, conecte-se a http://<servername>/certsrve clique em Verificar um Certificado Pendente. Clique no certificado solicitado e clique em Avançar.

    Se o certificado tiver sido emitido, a página da Web Emitida pelo Certificado será exibida. Clique em Instalar este Certificado para instalar o certificado.

Use Certreq.exe para criar e enviar uma solicitação de certificado que inclua uma SAN

Para usar o utilitário Certreq.exe para criar e enviar uma solicitação de certificado, siga estas etapas:

  1. Crie um arquivo .inf que especifica as configurações da solicitação de certificado. Para criar um arquivo .inf, você pode usar o código de exemplo na seção Criando um arquivo RequestPolicy.inf em Como solicitar um certificado com um nome alternativo de assunto personalizado.

    AS SANs podem ser incluídas na seção [Extensões] . Para obter exemplos, consulte o arquivo .inf de exemplo.

  2. Salve o arquivo como Request.inf.

  3. Abra um prompt de comando.

  4. No prompt de comando, digite o seguinte comando e pressione ENTER:

    certreq -new request.inf certnew.req

    Esse comando usa as informações no arquivo Request.inf para criar uma solicitação no formato especificado pelo valor RequestType no arquivo .inf. Quando a solicitação é criada, o par de chaves público e privado é gerado automaticamente e, em seguida, colocado em um objeto de solicitação no repositório de solicitações de registro no computador local.

  5. No prompt de comando, digite o seguinte comando e pressione ENTER:

    certreq -submit certnew.req certnew.cer

    Este comando envia a solicitação de certificado para a AC. Se houver mais de uma AC no ambiente, a opção -config poderá ser usada na linha de comando para direcionar a solicitação para uma AC específica. Se você não usar a opção -config , será solicitado que você selecione a AC à qual a solicitação deve ser enviada.

    A -config opção usa o seguinte formato para se referir a uma AC específica:

    computername\Certification Authority Name

    Por exemplo, suponha que o nome da AC seja CA1 da Política Corporativa e que o nome do domínio seja corpca1.fabrikam.com. Para usar o comando certreq junto com a opção -config para especificar essa AC, digite o seguinte comando:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Se essa AC for uma AC corporativa e se o usuário que enviar a solicitação de certificado tiver permissões de Leitura e Registrar para o modelo, a solicitação será enviada. O certificado emitido é salvo no arquivo Certnew.cer. Se a AC for uma AC autônoma, a solicitação de certificado estará em um estado pendente até que seja aprovada pelo administrador da AC. A saída do comando certreq -submit contém o número de ID de solicitação da solicitação enviada. Assim que o certificado for aprovado, ele poderá ser recuperado usando o número da ID da Solicitação.

  6. Use o número da ID da Solicitação para recuperar o certificado executando o seguinte comando:

    certreq -retrieve RequestID certnew.cer

    Você também pode usar a opção -config aqui para recuperar a solicitação de certificado de uma AC específica. Se a opção -config não for usada, você será solicitado a selecionar a AC da qual recuperar o certificado.

  7. No prompt de comando, digite o seguinte comando e pressione ENTER:

    certreq -accept certnew.cer

    Depois de recuperar o certificado, você deve instalá-lo. Esse comando importa o certificado para o repositório apropriado e vincula o certificado à chave privada criada na etapa 4.

Enviar uma solicitação de certificado para uma AC de terceiros

Se você quiser enviar uma solicitação de certificado para uma AC de terceiros, primeiro use a ferramenta Certreq.exe para criar o arquivo de solicitação de certificado. Em seguida, você pode enviar a solicitação para a AC de terceiros usando qualquer método apropriado para esse fornecedor. A AC de terceiros deve ser capaz de processar solicitações de certificado no formato CMC.

Observação

A maioria dos fornecedores refere-se à solicitação de certificado como uma CSR (Solicitação de Assinatura de Certificado).

Referências

Para obter mais informações sobre como habilitar o LDAP por SSL junto com uma autoridade de certificação de terceiros, consulte Como habilitar o LDAP por SSL com uma autoridade de certificação de terceiros.

Para obter mais informações sobre como solicitar um certificado que tenha um nome alternativo de assunto personalizado, consulte Como solicitar um certificado com um nome alternativo de assunto personalizado.

Para obter mais informações sobre como usar tarefas certutil para gerenciar uma autoridade de certificação (AC), acesse o seguinte site da MSDN (Microsoft Developer Network): tarefas do Certutil para gerenciar uma AUTORIDADE de Certificação (AC)