Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để thêm một tên chủ đề thay thế cho một giấy chứng nhận an toàn LDAP

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 931351
Tóm tắt
Bài viết này mô tả làm thế nào để thêm một tên thay thế tiêu đề (SAN) vào một chứng chỉ nhẹ Directory Access Protocol (LDAP) an toàn. Chứng chỉ LDAP được gửi đến một tổ chức chứng chỉ (CA) được đặt cấu hình trên một máy tính dựa trên Windows Server 2003. SAN cho phép bạn kết nối với một bộ điều khiển tên miền bằng cách sử dụng một Hệ thống Tên Miền (DNS) tên khác với tên máy tính. Bài viết này bao gồm các thông tin về làm thế nào để thêm SAN thuộc tính vào một yêu cầu cấp giấy chứng nhận được gửi đến một doanh nghiệp CA, một CA độc lập, hoặc một CA bên thứ ba.
GIỚI THIỆU
Bài viết này mô tả làm thế nào để thêm một thuộc tính SAN vào một giấy chứng nhận LDAP an toàn. Bài viết này cũng thảo luận về làm thế nào để thực hiện như sau:
  • Đặt cấu hình một CA để chấp nhận một thuộc tính SAN từ một certificaterequest.
  • Tạo và gửi một yêu cầu chứng chỉ để một doanh nghiệp CA.
  • Tạo và gửi một yêu cầu chứng chỉ đứng aloneCA.
  • Tạo ra một yêu cầu giấy chứng nhận bằng cách sử dụng Certreq.exetool.
  • Tạo và gửi một yêu cầu giấy chứng nhận thứ ba partyCA.
Thông tin thêm

Làm thế nào để tạo và gửi một yêu cầu chứng chỉ

Khi bạn gửi yêu cầu chứng chỉ để một doanh nghiệp CA, biểu mẫu chứng chỉ phải được cấu hình để sử dụng các SAN trong yêu cầu thay vì sử dụng thông tin từ bản ghi dịch vụ mục tin thư thoại Thư mục Họat động. Phiên bản 1 Web Server mẫu có thể được sử dụng để yêu cầu một chứng chỉ sẽ hỗ trợ LDAP qua các Tầng Khe Bảo mật (SSL). Phiên bản 2 mẫu có thể được cấu hình để lấy các SAN từ yêu cầu chứng chỉ hoặc từ Thư mục Họat động. Cấp giấy chứng nhận được dựa trên phiên bản 2 mẫu, doanh nghiệp CA phải chạy trên một máy tính đang chạy Windows Server 2003 Enterprise Edition.

Khi bạn gửi một yêu cầu một CA độc lập, giấy chứng nhận mẫu không được sử dụng. Vì vậy, các SAN luôn luôn phải được bao gồm trong yêu cầu giấy chứng nhận. SAN thuộc tính có thể được thêm vào một yêu cầu được tạo ra bằng cách sử dụng chương trình Certreq.exe. Hoặc, SAN thuộc tính có thể được bao gồm trong yêu cầu được gửi bằng cách sử dụng các web site kiểm nhập.

Làm thế nào để sử dụng web site kiểm nhập để gửi một yêu cầu chứng chỉ để một doanh nghiệp CA

Để gửi một yêu cầu chứng chỉ chứa một SAN để một doanh nghiệp CA, hãy làm theo các bước sau:
  1. Mở Internet Explorer.
  2. Trong Internet Explorer, kết nối tohttp: / /tên_máy_phục_vụ/certsrv.

    Lưu ý: Giữ chỗ tên_máy_phục_vụđại diện cho tên của Máy chủ Web đó chạy Windows Server 2003 và có CA mà bạn muốn truy cập.
  3. Nhấp vào yêu cầu một chứng chỉ.
  4. Nhấp vào nâng cao certificaterequest.
  5. Nhấp vào tạo và gửi một yêu cầu thisCA.
  6. Trong danh sách Biểu mẫu chứng chỉ , bấm vàoMáy chủ Web.

    Lưu ý:CA phải được cấu hình để phát hành chứng chỉ Máy chủ Web. Bạn có thể có thêm các mẫu Web Server để mục tin thư thoại giấy chứng nhận mẫu trong các cơ quan chứng nhận snap-in nếu CA không đã được cấu hình để phát hành chứng chỉ Máy chủ Web.
  7. Cung cấp các thông tin nhận dạng theo yêu cầu.
  8. Trong hộp tên , nhập tên đầy đủ qualifieddomain của bộ điều khiển tên miền.
  9. Dưới Phím tùy chọn, đặt các followingoptions:
    • Tạo một tập hợp chính mới
    • CSP: Microsoft RSA SChannel mật mã nhà cung cấp
    • Phím cách sử dụng: trao đổi
    • Phím kích thước: 1024-16384
    • Tự động khóa container tên
    • Lưu trữ chứng chỉ trong kho chứng chỉ máy tính cục bộ
  10. Dưới Tùy chọn nâng cao, hãy đặt requestformat CMC.
  11. Trong các thuộc tính hộp, gõ các thuộc tính desiredSAN. SAN thuộc tính có dạng sau:
    San: dns =DNS.name[& dns =DNS.name]
    Nhiều tên DNS được tách ra bởi một ký (&). Ví dụ, nếu tên của bộ điều khiển tên miền là corpdc1.fabrikam.com và bí danh là ldap.fabrikam.com, cả hai cái tên này phải được bao gồm trong các thuộc tính SAN. Chuỗi thuộc tính kết quả sẽ được hiển thị như sau:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Nhấp vào gửi.
  13. Nếu bạn thấy các giấy chứng nhận đã ban hành web site, nhấp vàocài đặt chuyên biệt chứng chỉ này.

Làm thế nào để sử dụng web site kiểm nhập để gửi một yêu cầu chứng chỉ một CA độc lập

Để gửi một yêu cầu chứng chỉ bao gồm một SAN để một CA độc lập, hãy làm theo các bước sau:
  1. Mở Internet Explorer.
  2. Trong Internet Explorer, kết nối tohttp: / /tên_máy_phục_vụ/certsrv.

    Lưu ý: Giữ chỗ tên_máy_phục_vụđại diện cho tên của Máy chủ Web đó chạy Windows Server 2003 và có CA mà bạn muốn truy cập.
  3. Nhấp vào yêu cầu một chứng chỉ.
  4. Nhấp vào nâng cao certificaterequest.
  5. Nhấp vào tạo và gửi một yêu cầu thisCA.
  6. Cung cấp các thông tin nhận dạng theo yêu cầu.
  7. Trong hộp tên , nhập tên đầy đủ qualifieddomain của bộ điều khiển tên miền.
  8. Trong danh sách Loại của chứng chỉ cần Server, bấm vào Máy chủ xác thực chứng chỉ.
  9. Dưới Phím tùy chọn, đặt các followingoptions:
    • Tạo một tập hợp chính mới
    • CSP: Microsoft RSA SChannel mật mã nhà cung cấp
    • Phím cách sử dụng: trao đổi
    • Phím kích thước: 1024-16384
    • Tự động khóa container tên
    • Lưu trữ chứng chỉ trong kho chứng chỉ máy tính cục bộ
  10. Dưới Tùy chọn nâng cao, đặt requestformat làm CMC.
  11. Trong các thuộc tính hộp, gõ các thuộc tính desiredSAN. SAN thuộc tính có dạng sau:
    San: dns =DNS.name[& dns =DNS.name]
    Nhiều tên DNS được tách ra bởi một ký (&). Ví dụ, nếu tên của bộ điều khiển tên miền là corpdc1.fabrikam.com và bí danh là ldap.fabrikam.com, cả hai cái tên này phải được bao gồm trong các thuộc tính SAN. Chuỗi thuộc tính kết quả sẽ được hiển thị như sau:
    San:DNS=corpdc1.fabrikam.com&DNS=LDAP.fabrikam.com
  12. Nhấp vào gửi.
  13. Nếu CA là không được cấu hình để phát hành certificatesautomatically, một web site Chứng chỉ đang chờ xử lýsẽ được hiển thị và yêu cầu bạn chờ cho người quản trị để phát hành chứng chỉ được yêu cầu.

    Để lấy một giấy chứng nhận rằng một người quản trị hasissued, kết nối với http://tên_máy_phục_vụ/ certsrv, andthen nhấp vào kiểm tra trên một chứng chỉ đang chờ xử lý. Nhấp vào requestedcertificate, và sau đó nhấp vào tiếp theo.

    Nếu các certificatewas phát hành,Chứng chỉ đưa racác web site được hiển thị. Nhấp vàocài đặt chuyên biệt chứng chỉ này để cài đặt chuyên biệt thecertificate.

Làm thế nào để sử dụng tiện ích Certreq.exe để tạo ra và gửi một yêu cầu chứng chỉ bao gồm một SAN

Để sử dụng tiện ích Certreq.exe để tạo ra và gửi một yêu cầu giấy chứng nhận, hãy làm theo các bước sau:
  1. Tạo tệp inf xác định các cài đặt chuyên biệt cho yêu cầu chứng chỉ. Để tạo một tệp inf, bạn có thể sử dụng mẫu mã trong phần "Tạo ra một tập tin RequestPolicy.inf" của bài viết của Microsoft TechNet sau đây:SANs có thể được bao gồm trong phần [mở rộng]. Ví dụ, xem tệp inf mẫu.
  2. Lưu tệp dưới dạng Request.inf.
  3. Mở một dấu kiểm nhắc lệnh.
  4. Tại dấu kiểm nhắc lệnh, gõ các lệnh sau đây, và thenpress ENTER:
    certreq-mới request.inf certnew.req
    Lệnh này sử dụng các thông tin trong tập tin Request.inf tocreate một yêu cầu trong các định dạng được chỉ định bởi giá trị RequestType trong tệp inf. Khi yêu cầu được tạo ra, isautomatically công cộng và tư nhân chủ chốt cặp được tạo ra và sau đó đưa vào một đối tượng yêu cầu trong các cửa hàng enrollmentrequests trên máy tính cục bộ.
  5. Tại dấu kiểm nhắc lệnh, gõ các lệnh sau đây, và thenpress ENTER:
    certreq-gửi certnew.req certnew.cer
    Lệnh này gửi yêu cầu chứng chỉ để CA. Nếu bảng nhiều hơn một CA trong môi trường, việc chuyển đổi - cấu hình có thể sử dụng trong dòng lệnh để trực tiếp yêu cầu để aspecific CA. Nếu bạn không sử dụng chuyển đổi - cấu hình, bạn sẽ được nhắc chọn CA mà yêu cầu phải được nộp.

    -Cấu hình chuyển đổi sử dụng định dạng sau để chỉ một CA cụ thể:
    ComputerName\Chứng nhận cơ quan tên
    Ví dụ, giả sử là tên CA là công ty chính sách CA1 với tên miền là corpca1.fabrikam.com. Sử dụng lệnh certreq cùng với –config chuyển đổi tospecify CA này, gõ lệnh sau:
    certreq-gửi - config "corpca1.fabrikam.com\Corporate chính sách CA1" certnew.req certnew.cer
    Nếu này CA là một doanh nghiệp CA và nếu người dùng đã nộp yêu cầu thecertificate có quyền truy cập đọc và ghi danh cho mẫu, therequest đã nộp. Chứng chỉ phát hành được lưu trong tập tin Certnew.cer.Nếu CA là một CA độc lập, yêu cầu giấy chứng nhận sẽ trong một pendingstate cho đến khi nó được chấp thuận bởi các quản trị viên CA. Đầu ra từ các certreq-gửilệnh có chứa số yêu cầu ID yêu cầu gửi. Ngay sau khi chứng chỉ được chấp thuận, nó có thể được lấy bằng cách sử dụng số yêu cầu ID.
  6. Sử dụng số yêu cầu ID để lấy chứng chỉ. Cần làm điều này, gõ lệnh sau, và sau đó nhấn ENTER:
    certreq-Lấy RequestID certnew.CER
    Bạn cũng có thể sử dụng chuyển đổi - config ở đây để lấy chứng chỉ yêu cầu từ một specificCA. Nếu chuyển đổi - cấu hình không được sử dụng, bạn sẽ được nhắc chọn CA từ whichto lấy chứng chỉ.
  7. Tại dấu kiểm nhắc lệnh, gõ các lệnh sau đây, và thenpress ENTER:
    certreq-chấp nhận certnew.cer
    Sau khi bạn lấy chứng chỉ, bạn phải cài đặt chuyên biệt nó. Thiscommand chuyển nhập chứng chỉ vào các cửa hàng thích hợp và sau đó liên kết thecertificate để khóa riêng được tạo ra trong bước 4.

Làm thế nào để gửi yêu cầu chứng chỉ để một bên thứ ba CA

Nếu bạn muốn gửi một yêu cầu chứng chỉ một CA bên thứ ba, lần đầu tiên sử dụng công cụ Certreq.exe để tạo ra các tập tin yêu cầu giấy chứng nhận. Sau đó, bạn có thể gửi yêu cầu đến CA bên thứ ba bằng cách sử dụng bất cứ phương pháp là phù hợp với nhà cung cấp đó. Bên thứ ba phải có khả năng xử lý yêu cầu chứng chỉ trong các định dạng CMC.

Lưu ý: Hầu hết các nhà cung cấp tham khảo để yêu cầu giấy chứng nhận như là một chứng chỉ ký Request (CSR).
Tham khảo
Để biết thêm chi tiết về làm thế nào để cho phép LDAP qua SSL cùng với một cơ quan cấp giấy chứng nhận của bên thứ ba, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
321051 Làm thế nào để cho phép LDAP qua SSL với một cơ quan cấp giấy chứng nhận của bên thứ ba

Để biết thêm chi tiết về làm thế nào để yêu cầu một chứng chỉ có một tên thay thế tùy chỉnh chủ đề, hãy vào web site Microsoft TechNet sau đây:Để biết thêm chi tiết về làm thế nào để sử dụng certutil nhiệm vụ để quản lý một tổ chức chứng chỉ (CA), hãy vào web site MicrosoftDeveloper Network (MSDN) sau đây:

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 931351 - Xem lại Lần cuối: 03/14/2014 06:08:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbexpertiseadvanced kbhowto kbmt KB931351 KbMtvi
Phản hồi