Momentan sunteți offline, așteptați să vă reconectați la internet

Cum să adăugaţi un subiect Nume alternative pentru un certificat de LDAP securizate

Asistența pentru Windows Server 2003 s-a încheiat la 14 iulie 2015

Microsoft a încheiat asistența pentru Windows Server 2003 14 iulie 2015. Această schimbare a afectat actualizările de software și opțiunile de securitate. Aflați ce înseamnă aceasta pentru dvs. și cum puteți rămâne protejat.

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 931351
Rezumat
Acest articol descrie cum se adaugă un nume alternative de subiect (SAN) la o sigure certificat usoare Director Access Protocol (LDAP). Certificatul de LDAP este prezentată la o autoritate de certificare (CA), care este configurat pe un computer bazat pe Windows Server 2003. SAN vă permite să vă conectaţi la un controler de domeniu utilizând un nume de Domain Name System (DNS) decât nume de sign-in computerului. Acest articol include informaţii despre cum să adăugaţi atribute de SAN la o cerere de certificare, care este trimis la o întreprindere CA, CA un stand-alone, sau CA un al treilea-petrecere.
INTRODUCERE
Acest articol descrie cum se adaugă un atribut de SAN la o sigure LDAP certificat. Acest articol discută, de asemenea, cum să faceţi următoarele:
  • Configuraţi un CA pentru a accepta un atribut de SAN la o certificaterequest.
  • Creaţi şi să prezinte o cerere de certificat de la o întreprindere CA.
  • Creaţi şi să prezinte o cerere de certificat de la un stand-aloneCA.
  • Creaţi o solicitare de certificat utilizând Certreq.exetool.
  • Creaţi şi să prezinte o cerere de certificat pentru un al treilea-partyCA.
Informaţii suplimentare

Cum de a crea şi remite o solicitare de certificat

Când trimiteţi o cerere de certificat de la o întreprindere CA, şablonul de certificat trebuie să fie configurat pentru a utiliza SAN în solicitarea în loc folosind informaţii de la serviciul director Active Directory. Versiunea 1 Server Web şablon poate fi folosit pentru a solicita un certificat care va sprijini LDAP peste Secure Sockets Layer (SSL). Versiunea 2 template-uri pot fi configurate pentru a prelua SAN din cererea de certificat sau de la Active Directory. Pentru a elibera certificate care se bazează pe versiunea 2 template-uri, întreprinderea CA trebuie să fie difuzate pe un computer pe care se execută Windows Server 2003 Enterprise Edition.

Când trimiteţi o cerere CA un stand-alone, certificat de template-uri nu sunt utilizate. Prin urmare, SAN întotdeauna trebuie incluse în cererea de certificat. SAN atribute pot fi adăugate la o cerere care este creat cu ajutorul programului Certreq.exe. Sau, SAN atribute pot fi incluse în cereri care sunt transmise prin utilizarea de pagini web de înscriere.

Cum să utilizaţi pagini de înscriere web să depună o cerere de certificat de la o întreprindere CA

Pentru a remite o solicitare de certificat care conţine un SAN la o întreprindere CA, urmaţi aceşti paşi:
  1. Deschideţi Internet Explorer.
  2. În Internet Explorer, conecta tohttp: / /servername/Certsrv.

    Notă Substituent servernamereprezintă nume de sign-in de serverul de web, care se execută Windows Server 2003 şi care are CA care doriţi să aveţi acces.
  3. Faceţi clic pe solicita un certificat.
  4. Faceţi clic pe Advanced certificaterequest.
  5. Faceţi clic pe creaţi şi să prezinte o cerere de a thisCA.
  6. În Listă tabel de Certificat şablon , faceţi clic peServerul Web.

    NotăCA trebuie să fie configurat pentru a elibera certificate de server web. Va trebui să adăugaţi server web şablon în folderul şabloane de certificat în completare snap-in de certificare dacă CA nu este configurat deja să elibereze certificate de server web.
  7. Furnizează informaţii de identificare necesare.
  8. În caseta nume , tastați nume de sign-in complet qualifieddomain de controlerul de domeniu.
  9. Sub Cheie de opţiuni, setaţi followingoptions:
    • Creaţi un nou set de cheie
    • CSP: Microsoft RSA SChannel Furnizorul criptografic
    • Cheie de utilizare: schimb
    • Dimensiune cheie: 1024-16384
    • Containerul cheie automat nume de sign-in
    • Magazin certificatul în computer local magazin de certificat
  10. Sub Opțiuni complexe, setaţi requestformat la CMC.
  11. În caseta de atribute , tip desiredSAN atributele. SAN atributele ia următoarea formă:
    San: dns =DNS.name[& dns =DNS.name]
    Nume DNS multiple sunt separate de un ampersand (&). De exemplu, dacă nume de sign-in controlerului de domeniu este corpdc1.fabrikam.com şi aliasul este ldap.fabrikam.com, ambele nume trebuie incluse în atributele SAN. Şirul de atribut rezultate este afişat după cum urmează:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Faceţi clic pe trimiteţi.
  13. Dacă vedeţi certificat eliberat pagină web, faceţi clic peinstala acest certificat.

Cum să utilizaţi pagini de înscriere web să depună o cerere de certificat pentru un stand-alone CA

Pentru a remite o solicitare de certificat include un SAN la CA un stand-alone, urmaţi aceşti paşi:
  1. Deschideţi Internet Explorer.
  2. În Internet Explorer, conecta tohttp: / /servername/Certsrv.

    Notă Substituent servernamereprezintă nume de sign-in de serverul de web, care se execută Windows Server 2003 şi care are CA care doriţi să aveţi acces.
  3. Faceţi clic pe solicita un certificat.
  4. Faceţi clic pe Advanced certificaterequest.
  5. Faceţi clic pe creaţi şi să prezinte o cerere de a thisCA.
  6. Furnizează informaţii de identificare necesare.
  7. În caseta nume , tastați nume de sign-in complet qualifieddomain de controlerul de domeniu.
  8. În Listă tabel Tip de certificat este necesar Server, faceţi clic pe Certificat de autentificare Server.
  9. Sub Cheie de opţiuni, setaţi followingoptions:
    • Creaţi un nou set de cheie
    • CSP: Microsoft RSA SChannel Furnizorul criptografic
    • Cheie de utilizare: schimb
    • Dimensiune cheie: 1024-16384
    • Containerul cheie automat nume de sign-in
    • Magazin certificatul în computer local magazin de certificat
  10. Sub Opțiuni complexe, setaţi requestformat CMC.
  11. În caseta de atribute , tip desiredSAN atributele. SAN atributele ia următoarea formă:
    San: dns =DNS.name[& dns =DNS.name]
    Nume DNS multiple sunt separate de un ampersand (&). De exemplu, dacă nume de sign-in controlerului de domeniu este corpdc1.fabrikam.com şi aliasul este ldap.fabrikam.com, ambele nume trebuie incluse în atributele SAN. Şirul de atribut rezultate este afişat după cum urmează:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Faceţi clic pe Trimiteţi.
  13. Dacă CA nu este configurat pentru a emite certificatesautomatically, o pagină de Web Certificat în aşteptareeste afişat şi cereri să aşteptaţi pentru un administrator a certificatului care a fost solicitat.

    Pentru a prelua un certificat care o hasissued de administrator, conectaţi la http://servername/ certsrv, andthen faceţi clic a verifica un certificat, în aşteptare. Faceţi clic pe requestedcertificate, şi apoi faceţi clic pe Următorul.

    Daca certificatewas a emis,Certificat eliberatpagina de web este afişat. Faceţi clic peinstala acest certificat pentru a instala thecertificate.

Cum să utilizaţi utilitarul Certreq.exe pentru a crea şi remite o solicitare de certificat care include un SAN

Pentru a utiliza utilitarul Certreq.exe pentru a crea şi remite o solicitare de certificat, urmaţi aceşti paşi:
  1. Creaţi un fişier .inf care specifică setările pentru solicitarea de certificat. Pentru a crea un fişier .inf, puteţi utiliza exemple de cod în secţiunea "Crearea unui fişier de RequestPolicy.inf" din următorul articol Microsoft TechNet:SANs pot fi incluse în secţiunea [extensii]. Pentru exemple, a se vedea fişierul .inf eşantion.
  2. Salvaţi fişierul ca Request.inf.
  3. Deschideţi un prompt de comandă.
  4. La linia Către de comandă, tastaţi următoarea comandă, şi thenpress ENTER:
    certreq-noul request.inf certnew.req
    Această comandă foloseşte informaţiile în Request.inf fişier tocreate o cerere în formatul specificat de valoarea RequestType în fişierul .inf. Atunci când cererea este creat, pereche de chei publice şi private isautomatically generate şi apoi pus într-un obiect de cerere în magazin enrollmentrequests pe computer local.
  5. La linia Către de comandă, tastaţi următoarea comandă, şi thenpress ENTER:
    certreq-prezintă certnew.req certnew.cer
    Această comandă depune cererea de certificat CA. Dacă acolo mai mult de un singur CA în mediul, switch - configurare poate fi folosit în linia Către de comandă direct cererea de a o CA. Dacă nu utilizaţi comutatorul - config, vi se solicită să selectaţi CA care ar trebui să fie înaintată cererea.

    Switch - config utilizează următorul format pentru a se referi la o specifice CA:
    numecomputer\nume de sign-in de autoritate de certificare
    De exemplu, presupuneţi că nume de sign-in CA este Corporate politica CA1 andthat nume de sign-in de domeniu este corpca1.fabrikam.com. Pentru a utiliza comanda certreq cu –config comutatorul tospecify CA aceasta, tastaţi următoarea comandă:
    certreq-prezintă certnew.cer de certnew.req politica CA1 - config "corpca1.fabrikam.com\Corporate"
    În cazul în care este CA este o întreprindere CA şi în cazul în care utilizatorul care depune cererea de thecertificate are permisiuni de citire şi înscriere pentru şablon, therequest este prezentat. Certificat eliberat este stocat în fişierul Certnew.cer.Dacă CA este CA un stand-alone, cererea de certificat va fi într-o pendingstate până când este aprobat de către administratorul de CA. De ieşire de la certreq-prezintăcomandă conţine numărul cerere ID cererii depuse. De îndată ce certificatul este aprobat, pot fi recuperate folosind numărul cere ID.
  6. Utilizarea număr cerere ID pentru a prelua certificat. Todo aceasta, tastaţi următoarea comandă, şi apoi apăsaţi ENTER:
    certreq-prelua RequestID certnew.cer
    Puteţi utiliza, de asemenea, switch - config aici pentru a prelua cererea de certificat de la o specificCA. În cazul în care switch - config nu este utilizat, vi se solicită să selectaţi CA din whichto prelua certificat.
  7. La linia Către de comandă, tastaţi următoarea comandă, şi thenpress ENTER:
    certreq-acceptă certnew.cer
    După ce veţi regăsi certificatul, trebuie să instalaţi-l. Thiscommand importurile certificatul în magazin caz şi apoi link-uri thecertificate la cheia privată, care este creat în Pasul 4.

Cum să prezinte o cerere de certificat de la o terţă parte CA

Dacă doriţi să prezinte o cerere de certificat de la o terţă parte CA, în primul rând utilizaţi instrumentul Certreq.exe pentru a crea fişierul de cerere certificat. Apoi puteţi trimite cererea pentru CA terţe părţi folosind orice metoda este adecvată pentru respectivul furnizor. Terţe trebuie să fie capabil să proceseze cererile de certificat în formatul CMC.

Notă Cei mai mulţi furnizori se referă la solicitarea de certificat ca un certificat semnare cereri (CSR).
Referinţe
Pentru mai multe informaţii despre cum la spre enable LDAP peste SSL cu o autoritate de certificare de terţi, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
321051 Cum la spre enable LDAP peste SSL cu o autoritate de certificare al treilea-petrecere

Pentru mai multe informaţii despre modul de a solicita un certificat care are o temă particularizată Nume alternative, du-te la următorul site Web Microsoft TechNet:Pentru mai multe informaţii despre cum să utilizaţi certutil sarcini pentru a gestiona o autoritate de certificare (CA), du-te la următorul site web MicrosoftDeveloper Network (MSDN):

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 931351 - Ultima examinare: 03/13/2014 22:22:00 - Revizie: 1.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbexpertiseadvanced kbhowto kbmt KB931351 KbMtro
Feedback
('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">