Condividi tramite

Aggiungere un nome alternativo soggetto a un certificato LDAP sicuro

  • Articolo

Questo articolo descrive come aggiungere un nome alternativo soggetto (SAN) a un certificato LDAP (Lightweight Directory Access Protocol) sicuro.

Numero KB originale: 931351

Riepilogo

Il certificato LDAP viene inviato a un'autorità di certificazione (CA) configurata in un computer basato su Windows Server 2003. La san consente di connettersi a un controller di dominio usando un nome DNS (Domain Name System) diverso dal nome del computer. Questo articolo include informazioni su come aggiungere attributi SAN a una richiesta di certificazione inviata a una CA aziendale, a una CA autonoma o a una CA di terze parti.

Questo articolo illustra anche come eseguire le azioni seguenti:

  • Configurare una CA per accettare un attributo SAN da una richiesta di certificato.
  • Creare e inviare una richiesta di certificato a una CA aziendale.
  • Creare e inviare una richiesta di certificato a una CA autonoma.
  • Creare una richiesta di certificato usando lo strumento Certreq.exe.
  • Creare e inviare una richiesta di certificato a una CA di terze parti.

Creare e inviare una richiesta di certificato

Quando si invia una richiesta di certificato a una CA dell'organizzazione, il modello di certificato deve essere configurato per l'uso della san nella richiesta invece di usare le informazioni del servizio directory di Active Directory. Il modello Server Web versione 1 può essere usato per richiedere un certificato che supporterà LDAP tramite Secure Sockets Layer (SSL). I modelli versione 2 possono essere configurati per recuperare la rete SAN dalla richiesta di certificato o da Active Directory. Per rilasciare certificati basati sui modelli versione 2, la CA aziendale deve essere in esecuzione in un computer che esegue Windows Server 2003 edizione Enterprise.

Quando si invia una richiesta a una CA autonoma, i modelli di certificato non vengono usati. Pertanto, la san deve essere sempre inclusa nella richiesta di certificato. Gli attributi SAN possono essere aggiunti a una richiesta creata usando il programma Certreq.exe. In alternativa, gli attributi SAN possono essere inclusi nelle richieste inviate usando le pagine di registrazione Web.

Usare le pagine di registrazione Web per inviare una richiesta di certificato a una CA aziendale

Per inviare una richiesta di certificato contenente una SAN a una CA aziendale, seguire questa procedura:

  1. Aprire Internet Explorer.

  2. In Internet Explorer connettersi a http://<servername>/certsrv.

    Note

    Il nome> server segnaposto <rappresenta il nome del server Web che esegue Windows Server 2003 e che dispone della CA a cui si vuole accedere.

  3. Fare clic su Richiedi un certificato.

  4. Fare clic su Richiesta avanzata di certificati.

  5. Fare clic su Crea e inviare una richiesta a questa CA.

  6. Nell'elenco Modello di certificato fare clic su Server Web.

    Note

    La CA deve essere configurata per rilasciare certificati server Web. Potrebbe essere necessario aggiungere il modello server Web alla cartella Modelli di certificato nello snap-in Autorità di certificazione se la CA non è già configurata per rilasciare certificati server Web.

  7. Specificare le informazioni di identificazione in base alle esigenze.

  8. Nella casella Nome digitare il nome di dominio completo del controller di dominio.

  9. In Opzioni chiave impostare le opzioni seguenti:

    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiavi: Exchange
    • Dimensioni chiave: 1024 - 16384
    • Nome del contenitore di chiavi automatico
    • Archiviare il certificato nell'archivio certificati del computer locale

  10. In Opzioni avanzate impostare il formato della richiesta su CMC.

  11. Nella casella Attributi digitare gli attributi SAN desiderati. Gli attributi SAN hanno il formato seguente:

    san:dns=dns.name[&dns=dns.name]

    Più nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere inclusi negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Cliccare Invia.

  13. Se viene visualizzata la pagina Web Certificato rilasciato , fare clic su Installa questo certificato.

Usare le pagine di registrazione Web per inviare una richiesta di certificato a una CA autonoma

Per inviare una richiesta di certificato che include una SAN a una CA autonoma, seguire questa procedura:

  1. Aprire Internet Explorer.

  2. In Internet Explorer connettersi a http://<servername>/certsrv.

    Note

    Il nome> server segnaposto <rappresenta il nome del server Web che esegue Windows Server 2012 R2 e che dispone della CA a cui si vuole accedere.

  3. Fare clic su Richiedi un certificato.

  4. Fare clic su Richiesta avanzata di certificati.

  5. Fare clic su Crea e inviare una richiesta a questa CA.

  6. Specificare le informazioni di identificazione in base alle esigenze.

  7. Nella casella Nome digitare il nome di dominio completo del controller di dominio.

  8. Nell'elenco Tipo di server necessario per il certificato fare clic su Certificato di autenticazione server.

  9. In Opzioni chiave impostare le opzioni seguenti:

    • Creare un nuovo set di chiavi
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Utilizzo chiavi: Exchange
    • Dimensioni chiave: 1024 - 16384
    • Nome del contenitore di chiavi automatico
    • Archiviare il certificato nell'archivio certificati del computer locale

  10. In Opzioni avanzate impostare il formato della richiesta come CMC.

  11. Nella casella Attributi digitare gli attributi SAN desiderati. Gli attributi SAN hanno il formato seguente:

    san:dns=dns.name[&dns=dns.name]

    Più nomi DNS sono separati da una e commerciale (&). Ad esempio, se il nome del controller di dominio è corpdc1.fabrikam.com e l'alias è ldap.fabrikam.com, entrambi i nomi devono essere inclusi negli attributi SAN. La stringa dell'attributo risultante viene visualizzata come segue:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Cliccare Invia.

  13. Se la CA non è configurata per rilasciare automaticamente i certificati, viene visualizzata una pagina Web Certificato in sospeso e richiede che un amministratore rilasci il certificato richiesto.

    Per recuperare un certificato rilasciato da un amministratore, connettersi a http://<servername>/certsrve quindi fare clic su Controlla su un certificato in sospeso. Fare clic sul certificato richiesto e quindi su Avanti.

    Se il certificato è stato emesso, viene visualizzata la pagina Web Certificato rilasciato . Fare clic su Installa questo certificato per installare il certificato.

Usare Certreq.exe per creare e inviare una richiesta di certificato che includa una san

Per usare l'utilità Certreq.exe per creare e inviare una richiesta di certificato, seguire questa procedura:

  1. Creare un file inf che specifica le impostazioni per la richiesta di certificato. Per creare un file con estensione inf, è possibile usare il codice di esempio nella sezione Creazione di un file RequestPolicy.inf in How to Request a Certificate With a Custom Subject Alternative Name (Come richiedere un certificato con un nome alternativo soggetto personalizzato).

    Le reti SAN possono essere incluse nella sezione [Estensioni]. Per esempi, vedere il file inf di esempio.

  2. Salvare il file come Request.inf.

  3. Aprire un prompt dei comandi.

  4. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -new request.inf certnew.req

    Questo comando usa le informazioni nel file Request.inf per creare una richiesta nel formato specificato dal valore RequestType nel file inf. Quando viene creata la richiesta, la coppia di chiavi pubblica e privata viene generata automaticamente e quindi inserita in un oggetto richiesta nell'archivio richieste di registrazione nel computer locale.

  5. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -submit certnew.req certnew.cer

    Questo comando invia la richiesta di certificato alla CA. Se nell'ambiente sono presenti più ca, l'opzione -config può essere usata nella riga di comando per indirizzare la richiesta a una CA specifica. Se non si usa l'opzione -config , viene richiesto di selezionare la CA a cui inviare la richiesta.

    L'opzione -config usa il formato seguente per fare riferimento a una CA specifica:

    computername\Certification Authority Name

    Si supponga, ad esempio, che il nome della CA sia Corporate Policy CA1 e che il nome di dominio sia corpca1.fabrikam.com. Per usare il comando certreq insieme all'opzione -config per specificare questa CA, digitare il comando seguente:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Se questa CA è un'autorità di certificazione aziendale e se l'utente che invia la richiesta di certificato dispone delle autorizzazioni lettura e registrazione per il modello, la richiesta viene inviata. Il certificato emesso viene salvato nel file di Certnew.cer. Se la CA è una CA autonoma, la richiesta di certificato sarà in sospeso fino a quando non viene approvata dall'amministratore della CA. L'output del comando certreq -submit contiene il numero ID richiesta della richiesta inviata. Non appena il certificato viene approvato, può essere recuperato usando il numero ID richiesta.

  6. Usare il numero ID richiesta per recuperare il certificato eseguendo il comando seguente:

    certreq -retrieve RequestID certnew.cer

    È anche possibile usare l'opzione -config qui per recuperare la richiesta di certificato da una CA specifica. Se l'opzione -config non viene usata, viene richiesto di selezionare la CA da cui recuperare il certificato.

  7. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    certreq -accept certnew.cer

    Dopo aver recuperato il certificato, è necessario installarlo. Questo comando importa il certificato nell'archivio appropriato e quindi collega il certificato alla chiave privata creata nel passaggio 4.

Inviare una richiesta di certificato a una CA di terze parti

Se si vuole inviare una richiesta di certificato a una CA di terze parti, usare prima di tutto lo strumento Certreq.exe per creare il file di richiesta del certificato. È quindi possibile inviare la richiesta alla CA di terze parti usando qualsiasi metodo appropriato per tale fornitore. La CA di terze parti deve essere in grado di elaborare le richieste di certificato nel formato CMC.

Note

La maggior parte dei fornitori fa riferimento alla richiesta di certificato come richiesta di firma del certificato (CSR).

Riferimenti

Per altre informazioni su come abilitare LDAP tramite SSL insieme a un'autorità di certificazione di terze parti, vedere Come abilitare LDAP tramite SSL con un'autorità di certificazione di terze parti.

Per altre informazioni su come richiedere un certificato con un nome alternativo del soggetto personalizzato, vedere Come richiedere un certificato con un nome alternativo soggetto personalizzato.

Per altre informazioni su come usare le attività certutil per gestire un'autorità di certificazione (CA), visitare il seguente sito Web Microsoft Developer Network (MSDN): attività Certutil per la gestione di un'autorità di certificazione (CA)