Ajouter un autre nom d’objet à un certificat LDAP sécurisé
Cet article explique comment ajouter un autre nom d’objet (SAN) à un certificat LDAP (Lightweight Directory Access Protocol) sécurisé.
Numéro de base de connaissances d’origine : 931351
Résumé
Le certificat LDAP est envoyé à une autorité de certification configurée sur un ordinateur Windows Server 2003. Le san vous permet de vous connecter à un contrôleur de domaine à l’aide d’un nom DNS (Domain Name System) autre que le nom de l’ordinateur. Cet article inclut des informations sur l’ajout d’attributs SAN à une demande de certification envoyée à une autorité de certification d’entreprise, une autorité de certification autonome ou une autorité de certification tierce.
Cet article explique également comment effectuer les actions suivantes :
- Configurez une autorité de certification pour accepter un attribut SAN à partir d’une demande de certificat.
- Créez et envoyez une demande de certificat à une autorité de certification d’entreprise.
- Créez et envoyez une demande de certificat à une autorité de certification autonome.
- Créez une demande de certificat à l’aide de l’outil Certreq.exe.
- Créez et envoyez une demande de certificat à une autorité de certification tierce.
Créer et envoyer une demande de certificat
Lorsque vous envoyez une demande de certificat à une autorité de certification d’entreprise, le modèle de certificat doit être configuré pour utiliser le san dans la demande au lieu d’utiliser des informations du service d’annuaire Active Directory. Le modèle de serveur web version 1 peut être utilisé pour demander un certificat qui prendra en charge LDAP via le protocole SSL (Secure Sockets Layer). Les modèles de version 2 peuvent être configurés pour récupérer le san à partir de la demande de certificat ou d’Active Directory. Pour émettre des certificats basés sur des modèles version 2, l’autorité de certification d’entreprise doit s’exécuter sur un ordinateur exécutant Windows Server 2003 Êdition Entreprise.
Lorsque vous envoyez une demande à une autorité de certification autonome, les modèles de certificat ne sont pas utilisés. Par conséquent, le san doit toujours être inclus dans la demande de certificat. Les attributs SAN peuvent être ajoutés à une requête créée à l’aide du programme Certreq.exe. Ou bien, les attributs SAN peuvent être inclus dans les demandes soumises à l’aide des pages d’inscription web.
Utiliser des pages d’inscription web pour envoyer une demande de certificat à une autorité de certification d’entreprise
Pour envoyer une demande de certificat qui contient un SAN à une autorité de certification d’entreprise, procédez comme suit :
Ouvrir Internet Explorer.
Dans Internet Explorer, connectez-vous à
http://<servername>/certsrv
.Note
Le nom du serveur> d’espace réservé <représente le nom du serveur web qui exécute Windows Server 2003 et qui a l’autorité de certification à laquelle vous souhaitez accéder.
Cliquez sur Demander un certificat.
Cliquez sur Demande de certificat avancée.
Cliquez sur Créer et envoyer une demande à cette autorité de certification.
Dans la liste des modèles de certificat, cliquez sur Serveur web.
Note
L’autorité de certification doit être configurée pour émettre des certificats de serveur web. Vous devrez peut-être ajouter le modèle de serveur web au dossier Modèles de certificats dans le composant logiciel enfichable Autorité de certification si l’autorité de certification n’est pas déjà configurée pour émettre des certificats de serveur web.
Fournissez des informations d’identification en fonction des besoins.
Dans la zone Nom , tapez le nom de domaine complet du contrôleur de domaine.
Sous Options clés, définissez les options suivantes :
- Créer un jeu de clés
- CSP : Fournisseur de chiffrement Microsoft RSA SChannel
- Utilisation de la clé : Exchange
- Taille de clé : 1024 - 16384
- Nom du conteneur de clé automatique
- Stocker le certificat dans le magasin de certificats de l’ordinateur local
Sous Options avancées, définissez le format de requête sur CMC.
Dans la zone Attributs, tapez les attributs SAN souhaités. Les attributs SAN prennent la forme suivante :
san:dns=dns.name[&dns=dns.name]
Plusieurs noms DNS sont séparés par un ampersand (&). Par exemple, si le nom du contrôleur de domaine est
corpdc1.fabrikam.com
et que l’alias estldap.fabrikam.com
, les deux noms doivent être inclus dans les attributs SAN. La chaîne d’attribut résultante s’affiche comme suit :san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
Cliquez sur Envoyer.
Si vous voyez la page web Émise par le certificat, cliquez sur Installer ce certificat.
Utiliser des pages d’inscription web pour envoyer une demande de certificat à une autorité de certification autonome
Pour envoyer une demande de certificat qui inclut un SAN à une autorité de certification autonome, procédez comme suit :
Ouvrir Internet Explorer.
Dans Internet Explorer, connectez-vous à
http://<servername>/certsrv
.Note
Le nom du serveur> d’espace réservé <représente le nom du serveur web qui exécute Windows Server 2012 R2 et qui a l’autorité de certification à laquelle vous souhaitez accéder.
Cliquez sur Demander un certificat.
Cliquez sur Demande de certificat avancée.
Cliquez sur Créer et envoyer une demande à cette autorité de certification.
Fournissez des informations d’identification en fonction des besoins.
Dans la zone Nom , tapez le nom de domaine complet du contrôleur de domaine.
Dans la liste Type de serveur nécessaire au certificat, cliquez sur Certificat d’authentification du serveur.
Sous Options clés, définissez les options suivantes :
- Créer un jeu de clés
- CSP : Fournisseur de chiffrement Microsoft RSA SChannel
- Utilisation de la clé : Exchange
- Taille de clé : 1024 - 16384
- Nom du conteneur de clé automatique
- Stocker le certificat dans le magasin de certificats de l’ordinateur local
Sous Options avancées, définissez le format de requête en tant que CMC.
Dans la zone Attributs, tapez les attributs SAN souhaités. Les attributs SAN prennent la forme suivante :
san:dns=dns.name[&dns=dns.name]
Plusieurs noms DNS sont séparés par un ampersand (&). Par exemple, si le nom du contrôleur de domaine est corpdc1.fabrikam.com et que l’alias est ldap.fabrikam.com, les deux noms doivent être inclus dans les attributs SAN. La chaîne d’attribut résultante s’affiche comme suit :
san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
Cliquez sur Envoyer.
Si l’autorité de certification n’est pas configurée pour émettre automatiquement des certificats, une page web en attente de certificat s’affiche et demande à un administrateur d’émettre le certificat demandé.
Pour récupérer un certificat émis par un administrateur, connectez-vous
http://<servername>/certsrv
, puis cliquez sur Vérifier sur un certificat en attente. Cliquez sur le certificat demandé, puis sur Suivant.Si le certificat a été émis, la page web Émise par certificat s’affiche. Cliquez sur Installer ce certificat pour installer le certificat.
Utilisez Certreq.exe pour créer et envoyer une demande de certificat incluant un san
Pour utiliser l’utilitaire de Certreq.exe pour créer et envoyer une demande de certificat, procédez comme suit :
Créez un fichier .inf qui spécifie les paramètres de la demande de certificat. Pour créer un fichier .inf, vous pouvez utiliser l’exemple de code dans la section Création d’un fichier RequestPolicy.inf dans Comment demander un certificat avec un autre nom d’objet personnalisé.
Les codes SAN peuvent être inclus dans la section [Extensions]. Pour obtenir des exemples, consultez l’exemple de fichier .inf.
Enregistrez le fichier en tant que Request.inf.
Ouvrez une invite de commandes.
À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :
certreq -new request.inf certnew.req
Cette commande utilise les informations du fichier Request.inf pour créer une requête au format spécifié par la valeur RequestType dans le fichier .inf. Lorsque la demande est créée, la paire de clés publique et privée est générée automatiquement, puis placée dans un objet de requête dans le magasin des demandes d’inscription sur l’ordinateur local.
À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :
certreq -submit certnew.req certnew.cer
Cette commande envoie la demande de certificat à l’autorité de certification. S’il existe plusieurs autorité de certification dans l’environnement, le
-config
commutateur peut être utilisé dans la ligne de commande pour diriger la requête vers une autorité de certification spécifique. Si vous n’utilisez pas le-config
commutateur, vous êtes invité à sélectionner l’autorité de certification à laquelle la demande doit être envoyée.Le
-config
commutateur utilise le format suivant pour faire référence à une autorité de certification spécifique :computername\Certification Authority Name
Par exemple, supposons que le nom de l’autorité de certification est l’autorité de certification d’entreprise CA1 et que le nom de domaine est
corpca1.fabrikam.com
. Pour utiliser la commande certreq avec le-config
commutateur pour spécifier cette autorité de certification, tapez la commande suivante :certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
Si cette autorité de certification est une autorité de certification d’entreprise et si l’utilisateur qui envoie la demande de certificat dispose d’autorisations Lecture et Inscription pour le modèle, la demande est envoyée. Le certificat émis est enregistré dans le fichier Certnew.cer. Si l’autorité de certification est une autorité de certification autonome, la demande de certificat est en attente jusqu’à ce qu’elle soit approuvée par l’administrateur de l’autorité de certification. La sortie de la commande certreq -submit contient le numéro d’ID de demande de la demande envoyée. Dès que le certificat est approuvé, il peut être récupéré à l’aide du numéro d’ID de demande.
Utilisez le numéro d’ID de demande pour récupérer le certificat en exécutant la commande suivante :
certreq -retrieve RequestID certnew.cer
Vous pouvez également utiliser le
-config
commutateur ici pour récupérer la demande de certificat à partir d’une autorité de certification spécifique. Si le-config
commutateur n’est pas utilisé, vous êtes invité à sélectionner l’autorité de certification à partir de laquelle récupérer le certificat.À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :
certreq -accept certnew.cer
Après avoir récupéré le certificat, vous devez l’installer. Cette commande importe le certificat dans le magasin approprié, puis lie le certificat à la clé privée créée à l’étape 4.
Envoyer une demande de certificat à une autorité de certification tierce
Si vous souhaitez envoyer une demande de certificat à une autorité de certification tierce, utilisez d’abord l’outil Certreq.exe pour créer le fichier de demande de certificat. Vous pouvez ensuite soumettre la demande à l’autorité de certification tierce à l’aide de la méthode appropriée pour ce fournisseur. L’autorité de certification tierce doit pouvoir traiter les demandes de certificat au format CMC.
Note
La plupart des fournisseurs font référence à la demande de certificat en tant que demande de signature de certificat (CSR).
References
Pour plus d’informations sur l’activation du protocole LDAP via SSL avec une autorité de certification tierce, consultez Comment activer LDAP via SSL avec une autorité de certification tierce.
Pour plus d’informations sur la demande d’un certificat ayant un autre nom d’objet personnalisé, consultez Comment demander un certificat avec un autre nom d’objet personnalisé.
Pour plus d’informations sur l’utilisation des tâches certutil pour gérer une autorité de certification, accédez au site web Microsoft Developer Network (MSDN) suivant : tâches Certutil pour la gestion d’une autorité de certification (CA)