타사 CA에서 도메인 컨트롤러 인증서 요구 사항

요약

타사 인증 기관 (CA)에서 도메인 컨트롤러 인증서를 발급 하도록 수행 하는 데 필요한 요구 사항을 설명 합니다.


타사 CA에서 Windows Server 2008 R2 도메인 컨트롤러 인증서에 대 한 요구 사항에 대 한 자세한 내용은 다음 Microsoft 웹 사이트를 방문 하십시오.

자세한 내용

지원

  • 현재 Microsoft는 타사 도메인 컨트롤러 인증서와 스마트 카드 로그온의 사용을 지원합니다.
  • 현재, Microsoft는 도메인 컨트롤러 간에 SMTP 복제를 지원 하기 위해 타사 Ca에서 발급 한 인증서의 사용을 지원 하지 않습니다.
  • 타사 Ca는 자동 등록 및 갱신 도메인 컨트롤러 또는 컴퓨터 인증서를 지원 하지 않습니다.

요구 사항

  • 수동으로 도메인 컨트롤러 인증서를 발급할 수 있습니다. 도메인 컨트롤러에 대 한 인증서 다음 특정 형식 요구 사항을 충족 해야 합니다.
    • 인증서를 유효한 인증서 해지 목록 (CRL) 가리키는 CRL 배포 지점 확장에 있어야 합니다.
    • 선택적으로, 인증서 주체 섹션 (고유 이름)을 서버 개체의 디렉터리 경로 예를 들어 포함 되어야 합니다.
      CN=server1.northwindtraders.com OU 도메인 컨트롤러 DC = northwwindtraders, DC = com =.
    • 인증서 키 용도 섹션을 포함 해야 합니다.
      디지털 서명, 키 암호화
    • 선택적으로, 인증서 기본 제한 구역 포함 되어야 합니다.
      [주체 종류 = 최종 엔터티, 경로 길이 제한 = 없음]
    • 인증서 향상 된 키 용도 섹션을 포함 해야 합니다.
      • 클라이언트 인증 (1.3.6.1.5.5.7.3.2)
      • 서버 인증 (1.3.6.1.5.5.7.3.1)
    • 인증서 주체 대체 이름 섹션에 도메인 이름 시스템 (DNS) 이름이 있어야 합니다. SMTP 복제를 사용 하는 인증서 주체 대체 이름 섹션 디렉터리에 도메인 컨트롤러 개체의 전역 고유 식별자 (GUID)를도 포함 해야. 예를 들어:
      다른 이름: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c bc 4c b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 인증서 템플릿 확장 BMP 데이터 값 "어디." 있어야 합니다.

      참고: 다음이 확장명 중 하나가 없는 인증서 dsstore.exe dcmon 명령을 인식할 수 없습니다.
    • 키를 생성 하는 보안 채널 암호화 서비스 공급자 (CSP)를 사용 해야 합니다.
  • 도메인 컨트롤러 인증서를 로컬 컴퓨터의 인증서 저장소에 설치 되어야 합니다.

인증서 샘플

X509 Certificate:
Version: 3
Serial Number: 61497f5e000000000006
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
Algorithm Parameters:
05 00 ..
Issuer:
CN=TestCA
DC=northwindtraders
DC=com

NotBefore: 2/12/2001 3:57 PM
NotAfter: 7/10/2001 10:24 AM

Subject:
CN=TEST-DC1
OU=Domain Controllers
DC=northwindtraders
DC=com

Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
Algorithm Parameters:
05 00 ..
Public Key Length: 1024 bits
Public Key: UnusedBits = 0
0000 30 81 89 02 81 81 00 b1 c8 84 ce ea 5c da 96 23
0010 4b d5 07 d7 27 f3 76 1f d3 0f 23 3f 8b fa 8b 68
0020 34 09 47 4a f5 33 41 77 86 d2 d3 a7 34 19 5c 49
0030 43 bf 5a 3c 25 a3 77 69 54 ad 84 af 20 b2 c2 f6
0040 40 f7 82 7f b9 b0 db cb db 76 7c 13 54 8e 3b 5e
0050 9e 92 a2 42 8d 97 db 07 06 cc 5d 7a 95 9f 7f 8b
0060 c1 69 7b 0a 6a e7 8f fa 6b c4 60 23 d4 03 88 45
0070 83 61 2e b2 af a2 f9 69 e2 84 d9 95 01 c4 88 eb
0080 89 16 5a 4d a4 34 27 02 03 01 00 01
Certificate Extensions: 9
1.2.840.113549.1.9.15: Flags = 0, Length = 37
SMIME Capabilities
[1]SMIME Capability
Object ID=1.2.840.113549.3.2
Parameters=02 02 00 80
[2]SMIME Capability
Object ID=1.2.840.113549.3.4
Parameters=02 02 00 80
[3]SMIME Capability
Object ID=1.3.14.3.2.7
[4]SMIME Capability
Object ID=1.2.840.113549.3.7

2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)

2.5.29.37: Flags = 0, Length = 16
Enhanced Key Usage
Client Authentication (1.3.6.1.5.5.7.3.2)
Server Authentication (1.3.6.1.5.5.7.3.1)

1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22
Certificate Template Name
DomainController

2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84

2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7

2.5.29.31: Flags = 0, Length = f8
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl
URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint

1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a
Authority Information Access
[1]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority

2.5.29.17: Flags = 0, Length = 3d
Subject Alternative Name
Other Name:
1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a
DNS Name=test-dc1.northwindtraders.com

Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
Algorithm Parameters:
05 00 ..

도메인 컨트롤러가 GUID 확인 하는 방법

Ldp.exe를 시작 하 고 도메인 명명 컨텍스트 찾습니다. 보려는 도메인 컨트롤러의 이름을 두 번 클릭 합니다. 해당 개체에 대 한 특성 목록이 긴 숫자 뒤에 "개체 GUID" 포함 되어 있습니다. 번호가 해당 개체에 대 한 GUID입니다.

개체 식별자에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

287547 개체 Id에 연결 된 Microsoft 암호화

Ldp.exe를 사용 하는 방법에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

224543 Active Directory에서 데이터를 찾으려면 Ldp.exe를 사용 하 여

속성

문서 ID: 291010 - 마지막 검토: 2017. 2. 6. - 수정: 1

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

피드백