將主體別名新增至安全的LDAP憑證
本文說明如何將主體別名 (SAN) 新增至安全的羽量型目錄存取通訊協定 (LDAP) 憑證。
適用:Windows Server 2012 R2
原始 KB 編號: 931351
摘要
LDAP 憑證會提交給證書頒發機構單位, (在 Windows Server 2003 計算機上設定的 CA) 。 SAN 可讓您使用功能變數名稱系統連線到域控制器, (DNS) 電腦名稱以外的名稱。 本文包含如何將 SAN 屬性新增至提交至企業 CA、獨立 CA 或第三方 CA 之認證要求的資訊。
本文也會討論如何執行下列動作:
- 設定 CA 以接受憑證要求中的 SAN 屬性。
- 建立憑證要求並提交至企業 CA。
- 建立憑證要求並提交至獨立CA。
- 使用 Certreq.exe 工具建立憑證要求。
- 建立憑證要求並提交至第三方 CA。
建立並提交憑證要求
當您提交憑證要求給企業 CA 時,證書範本必須設定為在要求中使用 SAN,而不是使用 Active Directory 目錄服務的資訊。 第 1 版 Web 伺服器範本可用來要求透過安全套接字層支援 LDAP 的憑證, (SSL) 。 第 2 版範本可以設定為從憑證要求或 Active Directory 擷取 SAN。 若要發行以第 2 版範本為基礎的憑證,企業 CA 必須在執行 Windows Server 2003 Enterprise Edition 的電腦上執行。
當您將要求提交至獨立 CA 時,不會使用證書範本。 因此,SAN 必須一律包含在憑證要求中。 SAN 屬性可以新增至使用 Certreq.exe 程式所建立的要求。 或者,SAN 屬性可以包含在使用 Web 註冊頁面提交的要求中。
使用 Web 註冊頁面將憑證要求提交至企業 CA
若要將包含 SAN 的憑證要求提交至企業 CA,請遵循下列步驟:
開啟 Internet Explorer。
在 Internet Explorer 中,連線到
http://<servername>/certsrv
。注意事項
佔位元 <伺服器名稱> 代表執行 Windows Server 2003 且具有您想要存取之 CA 的網頁伺服器名稱。
按一下 [要求憑證]。
按一下 [進階憑證要求]。
按一下 [建立並送出要求至此 CA]。
在 [ 證書範本] 清單中,按兩下 [ Web 伺服器]。
注意事項
CA 必須設定為發行 Web 伺服器證書。 如果 CA 尚未設定為發行 Web 伺服器證書,您可能必須將 Web 伺服器範本新增至證書頒發機構單位嵌入式管理單元中的 [證書範本] 資料夾。
視需要提供識別資訊。
在 [ 名稱] 方 塊中,輸入域控制器的完整功能變數名稱。
在 [ 金鑰選項] 底下,設定下列選項:
- 建立新的金鑰集
- CSP:Microsoft RSA SChannel 密碼編譯提供者
- 密鑰使用方式:Exchange
- 金鑰大小:1024 - 16384
- 自動金鑰容器名稱
- 將憑證儲存在本機計算機證書存儲中
在 [ 進階選項] 底下,將要求格式設定為 CMC。
在 [ 屬性] 方 塊中,輸入所需的 SAN 屬性。 SAN 屬性採用下列形式:
san:dns=dns.name[&dns=dns.name]
多個 DNS 名稱會以連字元分隔 (&) 。 例如,如果域控制器的名稱是
corpdc1.fabrikam.com
,而別名是ldap.fabrikam.com
,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串如下所示:san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
按一下 [提交]。
如果您看到 [已 發行的憑證 ] 網頁,請按兩下 [安裝此憑證]。
使用 Web 註冊頁面將憑證要求提交至獨立 CA
若要將包含 SAN 的憑證要求提交至獨立 CA,請遵循下列步驟:
開啟 Internet Explorer。
在 Internet Explorer 中,連線到
http://<servername>/certsrv
。注意事項
佔位元<伺服器名稱>代表執行 Windows Server 2012 R2 且具有您要存取之 CA 的網頁伺服器名稱。
按一下 [要求憑證]。
按一下 [進階憑證要求]。
按一下 [建立並送出要求至此 CA]。
視需要提供識別資訊。
在 [ 名稱] 方 塊中,輸入域控制器的完整功能變數名稱。
在 [ 需要憑證的伺服器類型 ] 清單中,按兩下 [ 伺服器驗證憑證]。
在 [ 金鑰選項] 底下,設定下列選項:
- 建立新的金鑰集
- CSP:Microsoft RSA SChannel 密碼編譯提供者
- 密鑰使用方式:Exchange
- 金鑰大小:1024 - 16384
- 自動金鑰容器名稱
- 將憑證儲存在本機計算機證書存儲中
在 [ 進階選項] 底下,將要求格式設定為 CMC。
在 [ 屬性] 方 塊中,輸入所需的 SAN 屬性。 SAN 屬性採用下列形式:
san:dns=dns.name[&dns=dns.name]
多個 DNS 名稱會以連字元分隔 (&) 。 例如,如果域控制器的名稱是 corpdc1.fabrikam.com 且別名是 ldap.fabrikam.com,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串如下所示:
san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
按一下 [提交]。
如果 CA 未設定為自動發行憑證,則會顯示 [ 憑證擱置 中] 網頁,並要求您等候系統管理員發出所要求的憑證。
若要擷取系統管理員發出的憑證,請聯機到
http://<servername>/certsrv
,然後按兩下 [檢查擱置中的憑證]。 按下要求的憑證,然後按 [ 下一步]。如果已發行憑證,則會顯示 [ 已發行的憑證 ] 網頁。 按兩下 [安裝此憑證 ] 以安裝憑證。
使用 Certreq.exe 建立並提交包含 SAN 的憑證要求
若要使用 Certreq.exe 公用程式來建立和提交憑證要求,請遵循下列步驟:
建立 .inf 檔案,指定憑證要求的設定。 若要建立 .inf 檔案,您可以使用 How to Request a Certificate with a Custom Subject Alternative Name 中的建立 RequestPolicy.inf 檔案一節中的範例程式代碼。
SAN 可以包含在 [Extensions] 區段中。 如需範例,請參閱範例 .inf 檔案。
將檔案儲存為 Request.inf。
開啟命令提示字元。
在命令提示字元處輸入下列命令,然後按 ENTER:
certreq -new request.inf certnew.req
此命令會使用 Request.inf 檔案中的資訊,以 .inf 檔案中的 RequestType 值所指定的格式建立要求。 建立要求時,系統會自動產生公開和私鑰組,然後將要求物件放在本機計算機上的註冊要求存放區中。
在命令提示字元處輸入下列命令,然後按 ENTER:
certreq -submit certnew.req certnew.cer
此命令會將憑證要求提交至CA。 如果環境中有多個 CA,
-config
則可以在命令行中使用 參數,將要求導向至特定 CA。 如果您未使用-config
參數,系統會提示您選取應提交要求的 CA。參數
-config
會使用下列格式來參考特定 CA:computername\Certification Authority Name
例如,假設 CA 名稱為公司原則 CA1,且域名為
corpca1.fabrikam.com
。 若要使用 certreq 命令搭配-config
參數來指定此 CA,請輸入下列命令:certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
如果此 CA 是企業 CA,而且提交憑證要求的使用者具有範本的讀取和註冊許可權,則會提交要求。 發行的憑證會儲存在Certnew.cer檔案中。 如果 CA 是獨立 CA,則憑證要求會處於擱置中狀態,直到 CA 系統管理員核准為止。 certreq -submit 命令的輸出包含已提交要求的要求標識符。 憑證核准后,即可使用要求標識符來擷取憑證。
執行下列命令,使用要求標識符來擷取憑證:
certreq -retrieve RequestID certnew.cer
您也可以在這裡使用
-config
參數,從特定 CA 擷取憑證要求。-config
如果未使用 參數,系統會提示您選取要從中擷取憑證的 CA。在命令提示字元處輸入下列命令,然後按 ENTER:
certreq -accept certnew.cer
擷取憑證之後,您必須安裝它。 此命令會將憑證匯入適當的存放區,然後將憑證連結至步驟 4 中建立的私鑰。
將憑證要求提交至第三方 CA
如果您想要將憑證要求提交至第三方 CA,請先使用 Certreq.exe 工具來建立憑證要求檔案。 然後,您可以使用適合該廠商的任何方法,將要求提交至第三方 CA。 第三方 CA 必須能夠以 CMC 格式處理憑證要求。
注意事項
大部分廠商會將憑證要求稱為憑證簽署要求 (CSR) 。
參考資料
如需如何與第三方證書頒發機構單位一起啟用LDAP over SSL的詳細資訊,請參閱 如何使用第三方證書頒發機構單位透過SSL啟用LDAP。
如需如何要求具有自定義主體別名之憑證的詳細資訊,請參閱 How to Request a Certificate with a Custom Subject Alternative Name。
如需如何使用 certutil 工作來管理證書頒發機構單位 (CA) 的詳細資訊,請移至下列 Microsoft Developer Network (MSDN) 網站: 管理證書頒發機構單位 (CA)
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應