从第三方 CA 的域控制器证书的要求

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 291010
概要
这篇文章介绍您需要满足来自第三方证书颁发机构 (CA) 的域控制器证书颁发的要求。

有关 Windows Server 2008 R2 域控制器证书从第三方 CA 要求的详细信息,请访问下面的 Microsoft 网站:
更多信息

支持

  • 目前,Microsoft 支持的第三方域控制器只允许智能卡登录证书。
  • 目前,Microsoft 不支持使用从第三方 Ca 以支持 SMTP 域控制器之间的复制的证书。
  • 自动注册和续订的域控制器或计算机证书不支持第三方 Ca。

要求

  • 为域控制器,可以手动颁发证书。域控制器证书必须符合以下特定格式要求:
    • 证书必须具有指向一个有效的证书吊销列表 (CRL) 的 CRL 分发点扩展。
    • (可选) 证书主题部分应包含目录路径的服务器对象 (可分辨的名称),例如:
      CN=server1.northwindtraders.com OU = 域控制器 DC = northwwindtraders DC = com
    • 证书密钥用法部分必须包含:
      密钥加密的数字签名
    • (可选) 证书基本约束部分应包含:
      [主题类型 = 最终实体,路径长度限制 = 无]
    • 增强型密钥用法部分的证书必须包含:
      • 客户端身份验证 (1.3.6.1.5.5.7.3.2)
      • 服务器身份验证 (1.3.6.1.5.5.7.3.1)
    • 证书主题备用名称部分必须包含域名系统 (DNS) 名称。如果使用 SMTP 复制,则证书主题备用名称部分必须还包含在目录中的域控制器对象的全局唯一标识符 (GUID)。例如:
      其他名称: 1.3.6.1.4.1.311.25.1 = 交流 4b 29 06 aa d6 5d 4f a9 9c 4 c bc b0 6a 65 d9 DNS Name=server1.northwindtraders.com
    • 证书模板必须具有扩展名具有 BMP 数据值"域控制器"。

      注意:Dsstore.exe dcmon命令无法识别不使用这些扩展的证书。
    • 您必须使用 Schannel 加密服务提供程序 (CSP) 生成密钥。
  • 域控制器证书必须安装在本地计算机的证书存储区中。

示例证书

X509 Certificate:Version: 3Serial Number: 61497f5e000000000006Signature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..Issuer:    CN=TestCA    DC=northwindtraders    DC=comNotBefore: 2/12/2001 3:57 PMNotAfter: 7/10/2001 10:24 AMSubject:    CN=TEST-DC1    OU=Domain Controllers    DC=northwindtraders    DC=comPublic Key Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.1  RSA    Algorithm Parameters:    05 00                                              ..Public Key Length: 1024 bitsPublic Key: UnusedBits = 0    0000  30 81 89 02 81 81 00 b1  c8 84 ce ea 5c da 96 23    0010  4b d5 07 d7 27 f3 76 1f  d3 0f 23 3f 8b fa 8b 68    0020  34 09 47 4a f5 33 41 77  86 d2 d3 a7 34 19 5c 49    0030  43 bf 5a 3c 25 a3 77 69  54 ad 84 af 20 b2 c2 f6    0040  40 f7 82 7f b9 b0 db cb  db 76 7c 13 54 8e 3b 5e    0050  9e 92 a2 42 8d 97 db 07  06 cc 5d 7a 95 9f 7f 8b    0060  c1 69 7b 0a 6a e7 8f fa  6b c4 60 23 d4 03 88 45    0070  83 61 2e b2 af a2 f9 69  e2 84 d9 95 01 c4 88 eb    0080  89 16 5a 4d a4 34 27 02  03 01 00 01Certificate Extensions: 9    1.2.840.113549.1.9.15: Flags = 0, Length = 37    SMIME Capabilities        [1]SMIME Capability             Object ID=1.2.840.113549.3.2             Parameters=02 02 00 80        [2]SMIME Capability             Object ID=1.2.840.113549.3.4             Parameters=02 02 00 80        [3]SMIME Capability             Object ID=1.3.14.3.2.7        [4]SMIME Capability             Object ID=1.2.840.113549.3.7    2.5.29.15: Flags = 0, Length = 4    Key Usage        Digital Signature, Key Encipherment (a0)    2.5.29.37: Flags = 0, Length = 16    Enhanced Key Usage        Client Authentication (1.3.6.1.5.5.7.3.2)        Server Authentication (1.3.6.1.5.5.7.3.1)    1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22    Certificate Template Name        DomainController    2.5.29.14: Flags = 0, Length = 16    Subject Key Identifier        a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84    2.5.29.35: Flags = 0, Length = 18    Authority Key Identifier        KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7    2.5.29.31: Flags = 0, Length = f8    CRL Distribution Points        [1]CRL Distribution Point             Distribution Point Name:                  Full Name:                       URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl                       URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint    1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a    Authority Information Access        [1]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt        [2]Authority Info Access             Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)             Alternative Name:                  URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority    2.5.29.17: Flags = 0, Length = 3d    Subject Alternative Name        Other Name:             1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a        DNS Name=test-dc1.northwindtraders.comSignature Algorithm:    Algorithm ObjectId: 1.2.840.113549.1.1.5  sha1RSA    Algorithm Parameters:    05 00                                              ..

如何确定域控制器的 GUID

开始 Ldp.exe 并找到域命名上下文。双击您要查看域控制器的名称。该对象的属性列表中包含"对象 GUID"跟一个长数字。数是该对象的 GUID。

对象标识符的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
287547 使用 Microsoft 加密相关的对象标识
有关如何使用 Ldp.exe 的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
224543 使用 Ldp.exe 查找 活动目录(AD) 中的数据

警告:本文已自动翻译

属性

文章 ID:291010 - 上次审阅时间:09/05/2015 11:39:00 - 修订版本: 2.0

Windows Server 2008 Standard, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kb3rdparty kbcertservices kbinfo W2000CERTSRV kbmt KB291010 KbMtzh
反馈