В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Как добавить дополнительное имя субъекта сертификата безопасного LDAP

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 931351
Аннотация
В данной статье описывается добавление дополнительное имя субъекта (SAN) для сертификата безопасного Lightweight Directory Access Protocol (LDAP). LDAP сертификата отправляется центру сертификации (ЦС), настроенный на компьютере под управлением Windows Server 2003. SAN позволяет подключаться к контроллеру домена, используя имя системы доменных имен (DNS) отличается от имени компьютера. Данная статья содержит сведения о том, как добавлять атрибуты SAN сертификации запрос отправляется в ЦС предприятия, изолированный ЦС или ЦС сторонних производителей.
ВВЕДЕНИЕ
В данной статье описывается добавление атрибута SAN сертификат безопасного LDAP. В этой статье также рассматриваются способы сделать следующее:
  • Настройте центр сертификации для принятия атрибуте SAN с certificaterequest.
  • Создание и отправка запроса на сертификат в центр сертификации предприятия.
  • Создание и отправка запроса на сертификат stand-aloneCA.
  • Создайте запрос сертификата с помощью Certreq.exetool.
  • Создание и отправка запроса на сертификат, для третьего partyCA.
Дополнительная информация

Создание и отправка запроса сертификата

При отправке запроса на сертификат в центр сертификации предприятия, шаблон сертификата должен быть настроен для использования в запросе, а не с помощью сведений из службы каталогов Active Directory в сети SAN. Шаблон версии 1 веб-сервер может использоваться для запроса сертификата, который поддерживает LDAP через Secure Sockets Layer (SSL). Шаблоны версии 2 могут настраиваться для извлечения SAN из запроса сертификата или из Active Directory. Для выдачи сертификатов, основанных на шаблонах версии 2, корпоративного центра сертификации должна быть запущена на компьютере под управлением Windows Server 2003 Enterprise Edition.

При отправке запроса на автономный центр сертификации не используются шаблоны сертификатов. Таким образом SAN всегда должен быть включен в запрос сертификата. SAN атрибуты могут быть добавлены в запрос, созданный с помощью программы Certreq.exe. Или с атрибутами SAN может включаться в запросы, отправленные с помощью веб-страниц подачи заявок.

Использование веб-страниц подачи заявок для отправки запроса на сертификат в центр сертификации предприятия

Чтобы отправить запрос сертификата, который содержит SAN для центра сертификации предприятия, выполните следующие действия.
  1. Откройте Internet Explorer.
  2. В обозревателе Internet Explorer подключитесь tohttp: / /имя_сервера/ certsrv.

    Примечание Заполнитель имя_серверапредставляет имя веб-сервера под управлением Windows Server 2003 и имеющий ЦС, необходимо получить доступ.
  3. Выберите запрос сертификата.
  4. Нажмите кнопку Дополнительно certificaterequest.
  5. Нажмите кнопку Создать и выдать запрос к thisCA.
  6. В списке Шаблон сертификата выберитеВеб-сервер.

    ПримечаниеДолжен быть настроен центр сертификации для выдачи сертификатов веб-сервера. Необходимо добавить шаблон веб-сервера в папку шаблонов сертификатов в оснастке «Центр сертификации», если центр сертификации не уже настроен на выдачу сертификатов веб-сервера.
  7. Предоставляющие идентификационные данные при необходимости.
  8. В поле имя введите имя qualifieddomain полностью контроллера домена.
  9. В разделе Параметры ключаустановите followingoptions:
    • Создать новый набор ключей
    • CSP: Microsoft RSA SChannel криптопровайдера
    • Использование ключа: Exchange
    • Размер ключа: 1024-16384
    • Автоматическое имя контейнера ключа
    • Сохранить сертификат в хранилище сертификатов локального компьютера
  10. В группе Дополнительные параметрыприсвоено requestformat CMC.
  11. Введите в поле атрибуты , атрибуты desiredSAN. С атрибутами SAN принимают следующую форму:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Несколько DNS-имен разделяются амперсандом (&). Например если контроллер домена называется corpdc1.fabrikam.com и ldap.fabrikam.com — псевдоним, оба названия должны включены в с атрибутами SAN. Результирующая строка атрибута отображается следующим образом:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Нажмите кнопку Отправить.
  13. Если вы видите сертификат выдан веб-страницы, нажмите кнопкуустановить этот сертификат.

Использование веб-страниц подачи заявок для отправки запроса на сертификат изолированному ЦС

Чтобы отправить запрос сертификата, который включает SAN для изолированного центра сертификации, выполните следующие действия.
  1. Откройте Internet Explorer.
  2. В обозревателе Internet Explorer подключитесь tohttp: / /имя_сервера/ certsrv.

    Примечание Заполнитель имя_серверапредставляет имя веб-сервера под управлением Windows Server 2003 и имеющий ЦС, необходимо получить доступ.
  3. Выберите запрос сертификата.
  4. Нажмите кнопку Дополнительно certificaterequest.
  5. Нажмите кнопку Создать и выдать запрос к thisCA.
  6. Предоставляющие идентификационные данные при необходимости.
  7. В поле имя введите имя qualifieddomain полностью контроллера домена.
  8. В списке Тип сертификата требуется серверащелкните Сертификат проверки подлинности сервера.
  9. В разделе Параметры ключаустановите followingoptions:
    • Создать новый набор ключей
    • CSP: Microsoft RSA SChannel криптопровайдера
    • Использование ключа: Exchange
    • Размер ключа: 1024-16384
    • Автоматическое имя контейнера ключа
    • Сохранить сертификат в хранилище сертификатов локального компьютера
  10. В группе Дополнительные параметрыустановите requestformat как CMC.
  11. Введите в поле атрибуты , атрибуты desiredSAN. С атрибутами SAN принимают следующую форму:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Несколько DNS-имен разделяются амперсандом (&). Например если контроллер домена называется corpdc1.fabrikam.com и ldap.fabrikam.com — псевдоним, оба названия должны включены в с атрибутами SAN. Результирующая строка атрибута отображается следующим образом:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Нажмите кнопку Отправить.
  13. Если центр сертификации не настроен на выдачу certificatesautomatically, Ожидаемый сертификатвеб-страница отображается и запрашивает дождитесь когда администратор выдаст сертификат, который был запрошен.

    Чтобы получить сертификат, hasissued администратора подключиться к http://имя_сервера/ certsrv, andthen щелкните Проверить Ожидаемый сертификат. Выберите requestedcertificate и нажмите кнопку Далее.

    Если отображается certificatewas выданСертификат выданвеб-страницы. Щелкнитеустановить этот сертификат для установки сертификата.

Использование программы Certreq.exe для создания и отправки запроса на сертификат, включающий SAN

Чтобы использовать служебную программу Certreq.exe для создания и отправки запроса на сертификат, выполните следующие действия.
  1. Создайте INF-файл, задающий параметры для запроса сертификата. Чтобы создать файл с расширением INF, можно использовать пример кода в разделе «Создание файла RequestPolicy.inf» к следующей статье Microsoft TechNet:SAN могут быть включены в раздел [расширения]. Примеры пример INF-файла см.
  2. Сохраните файл с именем Request.inf.
  3. Откройте командную строку.
  4. В командной строке введите следующие команды и thenpress введите:
    certreq -new request.inf certnew.req
    Эта команда использует данные для создания файла Request.inf запрос в формате, который указан по значению RequestType в INF-файле. При создании запроса isautomatically пару открытого и закрытого ключей создается и затем помещается в объект запроса в хранилище enrollmentrequests на локальном компьютере.
  5. В командной строке введите следующие команды и thenpress введите:
    certreq -submit certnew.req certnew.cer
    Эта команда отправляет запрос на сертификат в центр сертификации. Если thereis более одного центра сертификации в среде, параметром - config можно использовать в командной строке, чтобы направить запрос на конкретную ЦС. Если параметр - configне используется, вам будет предложено выбрать центр сертификации, которому будет отправлен запрос.

    Параметр - config для ссылки на определенный ЦС используется следующий формат:
    имя_компьютера\Имя центра сертификации
    Например предположим, что имя ЦС — корпоративной политики CA1 andthat имя домена — corpca1.fabrikam.com. Для использования команды certreq вместе с tospecify ключ — настройки ЦС, введите следующую команду:
    certreq-отправить certnew.cer certnew.req политики CA1 - config «corpca1.fabrikam.com\Corporate»
    Если этот ЦС является ЦС предприятия, а пользователь, отправивший запрос сертификата имеет разрешения чтение и заявка для шаблона, отправляется therequest. Выданный сертификат сохраняется в файл Certnew.cer.Если изолированный ЦС, ЦС запрос на сертификат будет pendingstate до ее утверждения администратором ЦС. В результате certreq-отправитькоманда содержит идентификатор запроса отправленного запроса. Сразу после утверждения сертификата его можно извлечь, используя идентификатор запроса.
  6. Используйте идентификатор запроса для получения сертификата. TODO, введите следующую команду и нажмите клавишу ВВОД:
    certreq-извлечь RequestID certnew.cer
    Можно также использовать параметр - config здесь для получения запроса на сертификат из specificCA. Если не используется параметр - config , вам будет предложено выбрать из whichto получить сертификат ЦС.
  7. В командной строке введите следующие команды и thenpress введите:
    certreq-принять certnew.cer
    После извлечения сертификат необходимо установить его. Импорт сертификата в хранилище соответствующие Thiscommand, а затем связывает сертификата с закрытым ключом, созданный на шаге 4.

Как отправить запрос сертификата независимого центра сертификации

Если вы хотите отправить запрос сертификата независимого центра сертификации, сначала используйте средство Certreq.exe для создания файла запроса сертификата. Затем можно отправить запрос для независимого центра сертификации, используя любой доступный метод, подходящий для данного поставщика. Третьей стороны должны иметь возможность обработки запросов на сертификат в формате CMC.

Примечание Большинство поставщиков можно найти запрос на сертификат как сертификат подписи запроса (CSR).
Ссылки
Дополнительные сведения о том, как включить LDAP через SSL с центром сертификации независимых поставщиков щелкните следующий номер статьи базы знаний Майкрософт:
321051 Активация LDAP через SSL с центром сертификации независимых производителей

Дополнительные сведения о том, как запросить сертификат с именем альтернативных настраиваемую тему перейдите на следующий веб-узел Microsoft TechNet:Дополнительные сведения о том, как использовать задачи certutil для управления центром сертификации (ЦС) перейдите на следующий веб-узел MicrosoftDeveloper Network (MSDN):

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 931351 — последний просмотр: 03/15/2015 08:42:00 — редакция: 6.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbexpertiseadvanced kbhowto kbmt KB931351 KbMtru
Отзывы и предложения