將主體別名新增至安全的LDAP憑證

  • 發行項

本文說明如何將主體別名 (SAN) 新增至安全的羽量型目錄存取通訊協定 (LDAP) 憑證。

適用:Windows Server 2012 R2
原始 KB 編號: 931351

摘要

LDAP 憑證會提交給證書頒發機構單位, (在 Windows Server 2003 計算機上設定的 CA) 。 SAN 可讓您使用功能變數名稱系統連線到域控制器, (DNS) 電腦名稱以外的名稱。 本文包含如何將 SAN 屬性新增至提交至企業 CA、獨立 CA 或第三方 CA 之認證要求的資訊。

本文也會討論如何執行下列動作:

  • 設定 CA 以接受憑證要求中的 SAN 屬性。
  • 建立憑證要求並提交至企業 CA。
  • 建立憑證要求並提交至獨立CA。
  • 使用 Certreq.exe 工具建立憑證要求。
  • 建立憑證要求並提交至第三方 CA。

建立並提交憑證要求

當您提交憑證要求給企業 CA 時,證書範本必須設定為在要求中使用 SAN,而不是使用 Active Directory 目錄服務的資訊。 第 1 版 Web 伺服器範本可用來要求透過安全套接字層支援 LDAP 的憑證, (SSL) 。 第 2 版範本可以設定為從憑證要求或 Active Directory 擷取 SAN。 若要發行以第 2 版範本為基礎的憑證,企業 CA 必須在執行 Windows Server 2003 Enterprise Edition 的電腦上執行。

當您將要求提交至獨立 CA 時,不會使用證書範本。 因此,SAN 必須一律包含在憑證要求中。 SAN 屬性可以新增至使用 Certreq.exe 程式所建立的要求。 或者,SAN 屬性可以包含在使用 Web 註冊頁面提交的要求中。

使用 Web 註冊頁面將憑證要求提交至企業 CA

若要將包含 SAN 的憑證要求提交至企業 CA,請遵循下列步驟:

  1. 開啟 Internet Explorer。

  2. 在 Internet Explorer 中,連線到 http://<servername>/certsrv

    注意事項

    佔位元 <伺服器名稱> 代表執行 Windows Server 2003 且具有您想要存取之 CA 的網頁伺服器名稱。

  3. 按一下 [要求憑證]

  4. 按一下 [進階憑證要求]

  5. 按一下 [建立並送出要求至此 CA]

  6. 在 [ 證書範本] 清單中,按兩下 [ Web 伺服器]

    注意事項

    CA 必須設定為發行 Web 伺服器證書。 如果 CA 尚未設定為發行 Web 伺服器證書,您可能必須將 Web 伺服器範本新增至證書頒發機構單位嵌入式管理單元中的 [證書範本] 資料夾。

  7. 視需要提供識別資訊。

  8. 在 [ 名稱] 方 塊中,輸入域控制器的完整功能變數名稱。

  9. 在 [ 金鑰選項] 底下,設定下列選項:

    • 建立新的金鑰集
    • CSP:Microsoft RSA SChannel 密碼編譯提供者
    • 密鑰使用方式:Exchange
    • 金鑰大小:1024 - 16384
    • 自動金鑰容器名稱
    • 將憑證儲存在本機計算機證書存儲中

  10. 在 [ 進階選項] 底下,將要求格式設定為 CMC

  11. 在 [ 屬性] 方 塊中,輸入所需的 SAN 屬性。 SAN 屬性採用下列形式:

    san:dns=dns.name[&dns=dns.name]

    多個 DNS 名稱會以連字元分隔 (&) 。 例如,如果域控制器的名稱是 corpdc1.fabrikam.com ,而別名是 ldap.fabrikam.com,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串如下所示:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 按一下 [提交]

  13. 如果您看到 [已 發行的憑證 ] 網頁,請按兩下 [安裝此憑證]

使用 Web 註冊頁面將憑證要求提交至獨立 CA

若要將包含 SAN 的憑證要求提交至獨立 CA,請遵循下列步驟:

  1. 開啟 Internet Explorer。

  2. 在 Internet Explorer 中,連線到 http://<servername>/certsrv

    注意事項

    佔位元<伺服器名稱>代表執行 Windows Server 2012 R2 且具有您要存取之 CA 的網頁伺服器名稱。

  3. 按一下 [要求憑證]

  4. 按一下 [進階憑證要求]

  5. 按一下 [建立並送出要求至此 CA]

  6. 視需要提供識別資訊。

  7. 在 [ 名稱] 方 塊中,輸入域控制器的完整功能變數名稱。

  8. 在 [ 需要憑證的伺服器類型 ] 清單中,按兩下 [ 伺服器驗證憑證]

  9. 在 [ 金鑰選項] 底下,設定下列選項:

    • 建立新的金鑰集
    • CSP:Microsoft RSA SChannel 密碼編譯提供者
    • 密鑰使用方式:Exchange
    • 金鑰大小:1024 - 16384
    • 自動金鑰容器名稱
    • 將憑證儲存在本機計算機證書存儲中

  10. 在 [ 進階選項] 底下,將要求格式設定為 CMC

  11. 在 [ 屬性] 方 塊中,輸入所需的 SAN 屬性。 SAN 屬性採用下列形式:

    san:dns=dns.name[&dns=dns.name]

    多個 DNS 名稱會以連字元分隔 (&) 。 例如,如果域控制器的名稱是 corpdc1.fabrikam.com 且別名是 ldap.fabrikam.com,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串如下所示:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 按一下 [提交]

  13. 如果 CA 未設定為自動發行憑證,則會顯示 [ 憑證擱置 中] 網頁,並要求您等候系統管理員發出所要求的憑證。

    若要擷取系統管理員發出的憑證,請聯機到 http://<servername>/certsrv,然後按兩下 [檢查擱置中的憑證]。 按下要求的憑證,然後按 [ 下一步]

    如果已發行憑證,則會顯示 [ 已發行的憑證 ] 網頁。 按兩下 [安裝此憑證 ] 以安裝憑證。

使用 Certreq.exe 建立並提交包含 SAN 的憑證要求

若要使用 Certreq.exe 公用程式來建立和提交憑證要求,請遵循下列步驟:

  1. 建立 .inf 檔案,指定憑證要求的設定。 若要建立 .inf 檔案,您可以使用 How to Request a Certificate with a Custom Subject Alternative Name 中的建立 RequestPolicy.inf 檔案一節中的範例程式代碼。

    SAN 可以包含在 [Extensions] 區段中。 如需範例,請參閱範例 .inf 檔案。

  2. 將檔案儲存為 Request.inf。

  3. 開啟命令提示字元。

  4. 在命令提示字元處輸入下列命令,然後按 ENTER:

    certreq -new request.inf certnew.req

    此命令會使用 Request.inf 檔案中的資訊,以 .inf 檔案中的 RequestType 值所指定的格式建立要求。 建立要求時,系統會自動產生公開和私鑰組,然後將要求物件放在本機計算機上的註冊要求存放區中。

  5. 在命令提示字元處輸入下列命令,然後按 ENTER:

    certreq -submit certnew.req certnew.cer

    此命令會將憑證要求提交至CA。 如果環境中有多個 CA, -config 則可以在命令行中使用 參數,將要求導向至特定 CA。 如果您未使用 -config 參數,系統會提示您選取應提交要求的 CA。

    參數 -config 會使用下列格式來參考特定 CA:

    computername\Certification Authority Name

    例如,假設 CA 名稱為公司原則 CA1,且域名為 corpca1.fabrikam.com。 若要使用 certreq 命令搭配 -config 參數來指定此 CA,請輸入下列命令:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    如果此 CA 是企業 CA,而且提交憑證要求的使用者具有範本的讀取和註冊許可權,則會提交要求。 發行的憑證會儲存在Certnew.cer檔案中。 如果 CA 是獨立 CA,則憑證要求會處於擱置中狀態,直到 CA 系統管理員核准為止。 certreq -submit 命令的輸出包含已提交要求的要求標識符。 憑證核准后,即可使用要求標識符來擷取憑證。

  6. 執行下列命令,使用要求標識符來擷取憑證:

    certreq -retrieve RequestID certnew.cer

    您也可以在這裡使用 -config 參數,從特定 CA 擷取憑證要求。 -config如果未使用 參數,系統會提示您選取要從中擷取憑證的 CA。

  7. 在命令提示字元處輸入下列命令,然後按 ENTER:

    certreq -accept certnew.cer

    擷取憑證之後,您必須安裝它。 此命令會將憑證匯入適當的存放區,然後將憑證連結至步驟 4 中建立的私鑰。

將憑證要求提交至第三方 CA

如果您想要將憑證要求提交至第三方 CA,請先使用 Certreq.exe 工具來建立憑證要求檔案。 然後,您可以使用適合該廠商的任何方法,將要求提交至第三方 CA。 第三方 CA 必須能夠以 CMC 格式處理憑證要求。

注意事項

大部分廠商會將憑證要求稱為憑證簽署要求 (CSR) 。

參考資料

如需如何與第三方證書頒發機構單位一起啟用LDAP over SSL的詳細資訊,請參閱 如何使用第三方證書頒發機構單位透過SSL啟用LDAP

如需如何要求具有自定義主體別名之憑證的詳細資訊,請參閱 How to Request a Certificate with a Custom Subject Alternative Name

如需如何使用 certutil 工作來管理證書頒發機構單位 (CA) 的詳細資訊,請移至下列 Microsoft Developer Network (MSDN) 網站: 管理證書頒發機構單位 (CA)