Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Yêu cầu đối với giấy chứng nhận điều khiển tên miền từ một bên thứ ba CA

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 291010
Tóm tắt
Bài viết này mô tả các yêu cầu mà bạn cần để hoàn thành cấp giấy chứng nhận điều khiển tên miền từ một bên thứ ba thẩm quyền xác thực (CA).

Để biết thêm chi tiết về các yêu cầu cho một giấy chứng nhận điều khiển tên miền Windows Server 2008 R2 từ một bên thứ ba CA, ghé thăm website sau của Microsoft:
Thông tin thêm

Hỗ trợ

  • Hiện nay, Microsoft hỗ trợ việc sử dụng giấy chứng nhận điều khiển bên thứ ba miền với thẻ kí nhập chỉ.
  • Hiện nay, Microsoft không hỗ trợ việc sử dụng giấy chứng nhận từ bên thứ ba CAs để hỗ trợ SMTP sao chép giữa bộ kiểm soát miền.
  • Bên thứ ba CAs không hỗ trợ tự động kiểm nhập và gia hạn giấy chứng nhận điều khiển hoặc máy tính tên miền.

Yêu cầu

  • Bạn theo cách thủ công có thể cấp một giấy chứng nhận cho một bộ điều khiển tên miền. Giấy chứng nhận cho bộ điều khiển tên miền phải đáp ứng các yêu cầu cụ thể định dạng sau:
    • Giấy chứng nhận phải có một điểm phân phối CRL phần mở rộng điểm đến một danh sách thu hồi chứng chỉ hợp lệ (CRL).
    • Tùy chọn, giấy chứng nhận chủ đề phần nên bao gồm đường dẫn mục tin thư thoại của các đối tượng máy chủ (tên phân biệt), ví dụ:
      CN=SERVER1.northwindtraders.com OU = tên miền điều khiển DC = northwwindtraders DC = com
    • Giấy chứng nhận sử dụng chìa khóa phần phải bao gồm:
      Chữ được kí theo số thức, chính Encipherment
    • Tùy chọn, giấy chứng nhận những hạn chế cơ bản phần nên chứa:
      [Chủ đề loại = thực thể kết thúc, con đường dài hạn chế = không có gì]
    • Chứng chỉ nâng cao sử dụng chìa khóa phần phải chứa:
      • Chứng thực sử dụng (1.3.6.1.5.5.7.3.2)
      • Xác thực máy chủ (1.3.6.1.5.5.7.3.1)
    • Chứng chỉ chủ đề thay thế tên mục phải chứa tên Hệ thống Tên Miền (DNS). Nếu đồng gửi SMTP được sử dụng, giấy chứng nhận tên chủ đề thay thế phần phải cũng chứa các danh định duy nhất phổ quát toàn cầu (GUID) của đối tượng điều khiển tên miền trong mục tin thư thoại. Ví dụ:
      Tên khác: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5ngày 4f a9 9c 4c TCN b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • Mẫu giấy chứng nhận phải có một phần mở rộng có giá trị dữ liệu BMP "DomainController."

      Lưu ý Các dsstore.exe - dcmon lệnh không công nhận chứng chỉ mà không có một trong những phần mở rộng.
    • Bạn phải sử dụng các nhà nhà cung cấp bản ghi dịch vụ mật mã Schannel (CSP) sẽ tạo ra key.
  • Giấy chứng nhận điều khiển tên miền phải được cài đặt chuyên biệt trong máy tính cục bộ chứng chỉ cửa hàng.

Mẫu giấy chứng nhận

X509 Certificate:Version: 3Serial Number: 61497f5e000000000006Signature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..Issuer:    CN=TestCA    DC=northwindtraders    DC=comNotBefore: 2/12/2001 3:57 PMNotAfter: 7/10/2001 10:24 AMSubject:    CN=TEST-DC1    OU=Domain Controllers    DC=northwindtraders    DC=comPublic Key Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA    Algorithm Parameters:    05 00                                              ..Public Key Length: 1024 bitsPublic Key: UnusedBits = 0    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb    0080  89 16 5a 4d a4 34 27 02  03 01 00 01Certificate Extensions: 9    1.2.840.113549.1.9.15: Flags = 0, Length = 37    SMIME Capabilities        [1]SMIME Capability             Object ID=1.2.840.113549.3.2             Parameters=02 02 00 80        [2]SMIME Capability             Object ID=1.2.840.113549.3.4             Parameters=02 02 00 80        [3]SMIME Capability             Object ID=1.3.14.3.2.7        [4]SMIME Capability             Object ID=1.2.840.113549.3.7    2.5.29.15: Flags = 0, Length = 4    Key Usage        Digital Signature, Key Encipherment (a0)    2.5.29.37: Flags = 0, Length = 16    Enhanced Key Usage        Client Authentication (1.3.6.1.5.5.7.3.2)        Server Authentication (1.3.6.1.5.5.7.3.1)    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22    Certificate Template Name        DomainController    2.5.29.14: Flags = 0, Length = 16    Subject Key Identifier        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84    2.5.29.35: Flags = 0, Length = 18    Authority Key Identifier        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7    2.5.29.31: Flags = 0, Length = f8    CRL Distribution Points        [1]CRL Distribution Point             Distribution Point Name:                  Full Name:                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a    Authority Information Access        [1]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt        [2]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority    2.5.29.17: Flags = 0, Length = 3d    Subject Alternative Name        Other Name:             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a        DNS Name=test-dc1.northwindtraders.comSignature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..

Làm thế nào để xác định bộ kiểm soát miền GUID

Bắt đầu Ldp.exe và xác định vị trí bối cảnh đặt tên miền. Bấm đúp vào tên của bộ điều khiển tên miền mà bạn muốn xem. Danh sách các thuộc tính cho đối tượng có chứa "GUID đối tượng" theo sau là một số dài. Số là GUID cho đối tượng đó.

Để biết thêm thông tin về định danh đối tượng, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
287547Đối tượng ID kết hợp với Microsoft mật mã
Để biết thêm chi tiết về làm thế nào để sử dụng Ldp.exe, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
224543Sử dụng Ldp.exe để tìm dữ liệu trong Thư mục Họat động

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 291010 - Xem lại Lần cuối: 04/10/2013 03:32:00 - Bản sửa đổi: 3.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kb3rdparty kbcertservices kbinfo w2000certsrv kbmt KB291010 KbMtvi
Phản hồi