Добавление альтернативного имени субъекта в защищенный сертификат LDAP

  • Статья

В этой статье описывается добавление альтернативного имени субъекта (SAN) в сертификат LDAP.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 931351

Сводка

Сертификат LDAP отправляется в центр сертификации (ЦС), настроенный на компьютере под управлением Windows Server 2003. SAN позволяет подключаться к контроллеру домена, используя dns-имя, отличное от имени компьютера. В этой статье содержатся сведения о добавлении атрибутов SAN в запрос на сертификацию, который отправляется в корпоративный ЦС, автономный ЦС или сторонний ЦС.

В этой статье также рассматривается выполнение следующих действий:

  • Настройте ЦС для приема атрибута SAN из запроса сертификата.
  • Создайте и отправьте запрос на сертификат в корпоративный ЦС.
  • Создайте и отправьте запрос сертификата в автономный ЦС.
  • Создайте запрос на сертификат с помощью средства Certreq.exe.
  • Создайте и отправьте запрос на сертификат в стороннем ЦС.

Создание и отправка запроса на сертификат

При отправке запроса на сертификат в корпоративный ЦС шаблон сертификата должен быть настроен для использования san в запросе вместо использования сведений из службы каталогов Active Directory. Шаблон веб-сервера версии 1 можно использовать для запроса сертификата, который будет поддерживать ПРОТОКОЛ LDAP по протоколу SSL. Шаблоны версии 2 можно настроить для получения san из запроса на сертификат или из Active Directory. Для выдачи сертификатов, основанных на шаблонах версии 2, корпоративный ЦС должен работать на компьютере под управлением Windows Server 2003 выпуск Enterprise.

При отправке запроса в автономный ЦС шаблоны сертификатов не используются. Таким образом, san всегда должен быть включен в запрос на сертификат. Атрибуты SAN можно добавить в запрос, созданный с помощью программы Certreq.exe. Кроме того, атрибуты SAN можно включить в запросы, отправляемые с помощью страниц веб-регистрации.

Использование веб-страниц регистрации для отправки запроса на сертификат в корпоративный ЦС

Чтобы отправить запрос на сертификат, содержащий SAN, в корпоративный ЦС, выполните следующие действия.

  1. Откройте Internet Explorer.

  2. В интернет-Обозреватель подключитесь к http://<servername>/certsrv.

    Примечание.

    Имя-заполнитель <servername> представляет имя веб-сервера под управлением Windows Server 2003 с ЦС, к которому требуется получить доступ.

  3. Щелкните Запросить сертификат.

  4. Щелкните Дополнительный запрос сертификата.

  5. Щелкните Создать и отправьте запрос в этот ЦС.

  6. В списке Шаблон сертификата щелкните Веб-сервер.

    Примечание.

    ЦС должен быть настроен для выдачи сертификатов веб-сервера. Возможно, потребуется добавить шаблон веб-сервера в папку Шаблоны сертификатов в оснастке Центра сертификации, если ЦС еще не настроен для выдачи сертификатов веб-сервера.

  7. При необходимости предоставьте идентифицирующие сведения.

  8. В поле Имя введите полное доменное имя контроллера домена.

  9. В разделе Ключевые параметры задайте следующие параметры:

    • Создание нового набора ключей
    • CSP: поставщик шифрования SChannel Microsoft RSA
    • Использование ключа: Exchange
    • Размер ключа: 1024 – 16384
    • Автоматическое имя контейнера ключей
    • Хранение сертификата в хранилище сертификатов локального компьютера

  10. В разделе Дополнительные параметры задайте для формата запроса значение CMC.

  11. В поле Атрибуты введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

    san:dns=dns.name[&dns=dns.name]

    Несколько DNS-имен разделяются амперсандом (&). Например, если имя контроллера домена — corpdc1.fabrikam.com , а псевдоним — ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. Результирующая строка атрибута отображается следующим образом:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Нажмите кнопку Отправить.

  13. Если отображается веб-страница Выдан сертификат , нажмите кнопку Установить этот сертификат.

Использование веб-страниц регистрации для отправки запроса на сертификат в автономный ЦС

Чтобы отправить запрос на сертификат, включающий san, в автономный ЦС, выполните следующие действия.

  1. Откройте Internet Explorer.

  2. В интернет-Обозреватель подключитесь к http://<servername>/certsrv.

    Примечание.

    Заполнитель <servername> представляет имя веб-сервера, работающего Windows Server 2012 R2 и имеющего ЦС, к которому требуется получить доступ.

  3. Щелкните Запросить сертификат.

  4. Щелкните Дополнительный запрос сертификата.

  5. Щелкните Создать и отправьте запрос в этот ЦС.

  6. При необходимости предоставьте идентифицирующие сведения.

  7. В поле Имя введите полное доменное имя контроллера домена.

  8. В списке Тип сертификата Необходимый сервер щелкните Сертификат проверки подлинности сервера.

  9. В разделе Ключевые параметры задайте следующие параметры:

    • Создание нового набора ключей
    • CSP: поставщик шифрования SChannel Microsoft RSA
    • Использование ключа: Exchange
    • Размер ключа: 1024 – 16384
    • Автоматическое имя контейнера ключей
    • Хранение сертификата в хранилище сертификатов локального компьютера

  10. В разделе Дополнительные параметры задайте формат запроса как CMC.

  11. В поле Атрибуты введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

    san:dns=dns.name[&dns=dns.name]

    Несколько DNS-имен разделяются амперсандом (&). Например, если имя контроллера домена — corpdc1.fabrikam.com, а псевдоним — ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. Результирующая строка атрибута отображается следующим образом:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Нажмите кнопку Отправить.

  13. Если ЦС не настроен для автоматической выдачи сертификатов, отобразится веб-страница Ожидание сертификата , и вы запросите ожидание, пока администратор выдаст запрошенный сертификат.

    Чтобы получить сертификат, выданный администратором, подключитесь к http://<servername>/certsrvи нажмите кнопку Проверить ожидающий сертификат. Щелкните запрошенный сертификат и нажмите кнопку Далее.

    Если сертификат был выдан, отображается веб-страница Выдан сертификат . Щелкните Установить этот сертификат , чтобы установить сертификат.

Использование Certreq.exe для создания и отправки запроса на сертификат, включающего san

Чтобы использовать служебную программу Certreq.exe для создания и отправки запроса на сертификат, выполните следующие действия.

  1. Создайте INF-файл, указывающий параметры для запроса сертификата. Чтобы создать INF-файл, можно использовать пример кода из раздела Создание файла RequestPolicy.infстатьи Как запросить сертификат с альтернативным именем настраиваемого субъекта.

    SaN можно включить в раздел [Расширения] . Примеры см. в примере INF-файла.

  2. Сохраните файл как Request.inf.

  3. Откройте окно командной строки.

  4. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    certreq -new request.inf certnew.req

    Эта команда использует сведения из файла Request.inf для создания запроса в формате, заданном значением RequestType в INF-файле . При создании запроса пара открытого и закрытого ключей автоматически создается, а затем помещается в объект запроса в хранилище запросов на регистрацию на локальном компьютере.

  5. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    certreq -submit certnew.req certnew.cer

    Эта команда отправляет запрос сертификата в ЦС. Если в среде несколько ЦС, -config параметр можно использовать в командной строке для направления запроса в определенный ЦС. Если параметр не используется -config , вам будет предложено выбрать ЦС, в который должен быть отправлен запрос.

    Параметр -config использует следующий формат для ссылки на определенный ЦС:

    computername\Certification Authority Name

    Например, предположим, что имя ЦС — это корпоративная политика CA1, а доменное имя — corpca1.fabrikam.com. Чтобы использовать команду certreq вместе с параметром -config для указания этого ЦС, введите следующую команду:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Если этот ЦС является корпоративным ЦС и пользователь, отправивший запрос на сертификат, имеет разрешения на чтение и регистрацию для шаблона, запрос отправляется. Выданный сертификат сохраняется в файле Certnew.cer. Если ЦС является автономным ЦС, запрос сертификата будет находиться в состоянии ожидания, пока он не будет утвержден администратором ЦС. Выходные данные команды certreq -submit содержат идентификатор запроса отправленного запроса. Как только сертификат будет утвержден, его можно получить с помощью идентификатора запроса.

  6. Используйте идентификатор запроса, чтобы получить сертификат, выполнив следующую команду:

    certreq -retrieve RequestID certnew.cer

    Здесь также можно использовать -config параметр для получения запроса на сертификат из определенного ЦС. -config Если параметр не используется, вам будет предложено выбрать ЦС, из которого будет получен сертификат.

  7. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    certreq -accept certnew.cer

    После получения сертификата его необходимо установить. Эта команда импортирует сертификат в соответствующее хранилище, а затем связывает сертификат с закрытым ключом, созданным на шаге 4.

Отправка запроса на сертификат в стороннем ЦС

Если вы хотите отправить запрос на сертификат в стороннем ЦС, сначала используйте средство Certreq.exe, чтобы создать файл запроса сертификата. Затем вы можете отправить запрос в сторонний ЦС, используя любой метод, подходящий для этого поставщика. Сторонний ЦС должен иметь возможность обрабатывать запросы сертификатов в формате CMC.

Примечание.

Большинство поставщиков называют запрос сертификата запросом подписи сертификата (CSR).

Ссылки

Дополнительные сведения о том, как включить ПРОТОКОЛ LDAP через SSL вместе со сторонним центром сертификации, см. в статье Включение ПРОТОКОЛА LDAP через SSL с помощью стороннего центра сертификации.

Дополнительные сведения о том, как запросить сертификат с альтернативным именем настраиваемого субъекта, см. в статье Как запросить сертификат с альтернативным именем настраиваемого субъекта.

Дополнительные сведения об использовании задач certutil для управления центром сертификации (ЦС) см. на следующем веб-сайте Microsoft Developer Network (MSDN): Задачи Certutil для управления центром сертификации (ЦС).