Delen via

Een alternatieve naam voor een onderwerp toevoegen aan een secure LDAP-certificaat

  • Artikel

In dit artikel wordt beschreven hoe u een alternatieve naam (SAN) voor een onderwerp toevoegt aan een LDAP-certificaat (Secure Lightweight Directory Access Protocol).

Oorspronkelijk KB-nummer: 931351

Samenvatting

Het LDAP-certificaat wordt verzonden naar een certificeringsinstantie (CA) die is geconfigureerd op een Windows Server 2003-computer. Met het SAN kunt u verbinding maken met een domeincontroller met behulp van een andere DNS-naam (Domain Name System) dan de computernaam. Dit artikel bevat informatie over het toevoegen van SAN-kenmerken aan een certificeringsaanvraag die wordt verzonden naar een ondernemings-CA, een zelfstandige CA of een externe CERTIFICERINGsinstantie.

In dit artikel wordt ook besproken hoe u de volgende acties kunt uitvoeren:

  • Configureer een CA om een SAN-kenmerk van een certificaataanvraag te accepteren.
  • Een certificaataanvraag maken en indienen bij een ca voor ondernemingen.
  • Een certificaataanvraag maken en verzenden naar een zelfstandige CA.
  • Maak een certificaataanvraag met behulp van het hulpprogramma Certreq.exe.
  • Een certificaataanvraag maken en verzenden naar een externe CERTIFICERINGsinstantie.

Een certificaataanvraag maken en indienen

Wanneer u een certificaataanvraag indient bij een certificeringsinstantie voor ondernemingen, moet de certificaatsjabloon worden geconfigureerd om het SAN in de aanvraag te gebruiken in plaats van gegevens van de Active Directory-adreslijstservice te gebruiken. De webserversjabloon versie 1 kan worden gebruikt om een certificaat aan te vragen dat LDAP via secure sockets layer (SSL) ondersteunt. Versie 2-sjablonen kunnen worden geconfigureerd om het SAN op te halen uit de certificaataanvraag of uit Active Directory. Als u certificaten wilt uitgeven die zijn gebaseerd op versie 2-sjablonen, moet de ca voor ondernemingen worden uitgevoerd op een computer met Windows Server 2003 Enterprise Edition.

Wanneer u een aanvraag indient bij een zelfstandige CA, worden certificaatsjablonen niet gebruikt. Daarom moet de SAN altijd worden opgenomen in de certificaataanvraag. SAN-kenmerken kunnen worden toegevoegd aan een aanvraag die wordt gemaakt met behulp van het Certreq.exe programma. Of SAN-kenmerken kunnen worden opgenomen in aanvragen die worden ingediend met behulp van de webpagina's.

Webpagina's gebruiken om een certificaataanvraag in te dienen bij een certificeringsinstantie voor ondernemingen

Als u een certificaataanvraag wilt indienen die een SAN bevat naar een ondernemings-CA, voert u de volgende stappen uit:

  1. Open Internet Explorer.

  2. Maak in Internet Explorer verbinding met http://<servername>/certsrv.

    Notitie

    De tijdelijke aanduiding <servernaam> vertegenwoordigt de naam van de webserver waarop Windows Server 2003 wordt uitgevoerd en met de CA die u wilt openen.

  3. Klik op Een certificaat aanvragen.

  4. Klik op Geavanceerde certificaataanvraag.

  5. Klik op Maken en dien een aanvraag in bij deze CA.

  6. Klik in de lijst certificaatsjablonen op Webserver.

    Notitie

    De CA moet zijn geconfigureerd om webservercertificaten uit te geven. Mogelijk moet u de webserversjabloon toevoegen aan de map Certificaatsjablonen in de module Certificeringsinstantie als de CA nog niet is geconfigureerd voor het uitgeven van webservercertificaten.

  7. Geef de identificatiegegevens op zoals vereist.

  8. Typ in het vak Naam de volledig gekwalificeerde domeinnaam van de domeincontroller.

  9. Stel onder Sleutelopties de volgende opties in:

    • Een nieuwe sleutelset maken
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Sleutelgebruik: Exchange
    • Sleutelgrootte: 1024 - 16384
    • Naam van automatische sleutelcontainer
    • Certificaat opslaan in het certificaatarchief van de lokale computer

  10. Stel onder Geavanceerde opties de aanvraagindeling in op CMC.

  11. Typ in het vak Kenmerken de gewenste SAN-kenmerken. SAN-kenmerken hebben de volgende vorm:

    san:dns=dns.name[&dns=dns.name]

    Meerdere DNS-namen worden gescheiden door een en-teken (&). Als de naam van de domeincontroller bijvoorbeeld is corpdc1.fabrikam.com en de alias is ldap.fabrikam.com, moeten beide namen worden opgenomen in de SAN-kenmerken. De resulterende kenmerktekenreeks wordt als volgt weergegeven:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klik op Aanbieden.

  13. Als u de webpagina Certificaat uitgegeven ziet, klikt u op Dit certificaat installeren.

Webpagina's gebruiken om een certificaataanvraag in te dienen bij een zelfstandige CA

Als u een certificaataanvraag wilt indienen die een SAN bevat naar een zelfstandige CA, voert u de volgende stappen uit:

  1. Open Internet Explorer.

  2. Maak in Internet Explorer verbinding met http://<servername>/certsrv.

    Notitie

    De tijdelijke aanduiding <servernaam> vertegenwoordigt de naam van de webserver waarop Windows Server 2012 R2 wordt uitgevoerd en met de CA die u wilt openen.

  3. Klik op Een certificaat aanvragen.

  4. Klik op Geavanceerde certificaataanvraag.

  5. Klik op Maken en dien een aanvraag in bij deze CA.

  6. Geef de identificatiegegevens op zoals vereist.

  7. Typ in het vak Naam de volledig gekwalificeerde domeinnaam van de domeincontroller.

  8. Klik in de lijst Type certificaat vereist server op Serververificatiecertificaat.

  9. Stel onder Sleutelopties de volgende opties in:

    • Een nieuwe sleutelset maken
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Sleutelgebruik: Exchange
    • Sleutelgrootte: 1024 - 16384
    • Naam van automatische sleutelcontainer
    • Certificaat opslaan in het certificaatarchief van de lokale computer

  10. Stel onder Geavanceerde opties de aanvraagindeling in als CMC.

  11. Typ in het vak Kenmerken de gewenste SAN-kenmerken. SAN-kenmerken hebben de volgende vorm:

    san:dns=dns.name[&dns=dns.name]

    Meerdere DNS-namen worden gescheiden door een en-teken (&). Als de naam van de domeincontroller bijvoorbeeld is corpdc1.fabrikam.com en de alias ldap.fabrikam.com is, moeten beide namen worden opgenomen in de SAN-kenmerken. De resulterende kenmerktekenreeks wordt als volgt weergegeven:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klik op Aanbieden.

  13. Als de CA niet automatisch is geconfigureerd voor het verlenen van certificaten, wordt een webpagina certificaat in behandeling weergegeven en wordt u gevraagd totdat een beheerder het aangevraagde certificaat heeft uitgegeven.

    Als u een certificaat wilt ophalen dat een beheerder heeft uitgegeven, maakt u verbinding met http://<servername>/certsrven klikt u vervolgens op Controleren op een certificaat in behandeling. Klik op het aangevraagde certificaat en klik vervolgens op Volgende.

    Als het certificaat is uitgegeven, wordt de webpagina Certificaat uitgegeven weergegeven. Klik op Dit certificaat installeren om het certificaat te installeren.

Gebruik Certreq.exe om een certificaataanvraag met een SAN te maken en in te dienen

Als u het hulpprogramma Certreq.exe wilt gebruiken om een certificaataanvraag te maken en in te dienen, voert u de volgende stappen uit:

  1. Maak een .inf-bestand waarmee de instellingen voor de certificaataanvraag worden opgegeven. Als u een INF-bestand wilt maken, kunt u de voorbeeldcode gebruiken in de sectie Create a RequestPolicy.inf file in How to Request a Certificate With a Custom Subject Alternative Name.

    SAN's kunnen worden opgenomen in de sectie [Extensies]. Zie het voorbeeldbestand .inf voor voorbeelden.

  2. Sla het bestand op als Request.inf.

  3. Open een opdrachtprompt.

  4. Typ bij de opdrachtprompt de volgende opdracht en druk op Enter:

    certreq -new request.inf certnew.req

    Deze opdracht gebruikt de informatie in het bestand Request.inf om een aanvraag te maken in de indeling die is opgegeven door de RequestType-waarde in het .inf-bestand. Wanneer de aanvraag wordt gemaakt, wordt het openbare en persoonlijke sleutelpaar automatisch gegenereerd en vervolgens in een aanvraagobject geplaatst in het archief met inschrijvingsaanvragen op de lokale computer.

  5. Typ bij de opdrachtprompt de volgende opdracht en druk op Enter:

    certreq -submit certnew.req certnew.cer

    Met deze opdracht wordt de certificaataanvraag naar de CA verzonden. Als er meer dan één CA in de omgeving is, kan de -config switch worden gebruikt in de opdrachtregel om de aanvraag naar een specifieke CA te leiden. Als u de -config schakeloptie niet gebruikt, wordt u gevraagd om de CA te selecteren waarnaar de aanvraag moet worden verzonden.

    De -config switch gebruikt de volgende indeling om te verwijzen naar een specifieke CA:

    computername\Certification Authority Name

    Stel bijvoorbeeld dat de CA-naam Ca1 van het bedrijfsbeleid is en dat de domeinnaam is corpca1.fabrikam.com. Als u de certreq-opdracht samen met de -config switch wilt gebruiken om deze CA op te geven, typt u de volgende opdracht:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Als deze CA een ondernemings-CA is en als de gebruiker die de certificaataanvraag indient lees- en inschrijvingsmachtigingen voor de sjabloon heeft, wordt de aanvraag ingediend. Het uitgegeven certificaat wordt opgeslagen in het Certnew.cer-bestand. Als de CA een zelfstandige CA is, heeft de certificaataanvraag de status In behandeling totdat deze is goedgekeurd door de CA-beheerder. De uitvoer van de opdracht certreq -submit bevat het aanvraag-id-nummer van de ingediende aanvraag. Zodra het certificaat is goedgekeurd, kan het worden opgehaald met behulp van het aanvraag-id-nummer.

  6. Gebruik het aanvraag-id-nummer om het certificaat op te halen door de volgende opdracht uit te voeren:

    certreq -retrieve RequestID certnew.cer

    U kunt de switch hier ook gebruiken om de -config certificaataanvraag van een specifieke CA op te halen. Als de -config switch niet wordt gebruikt, wordt u gevraagd om de CA te selecteren waaruit het certificaat moet worden opgehaald.

  7. Typ bij de opdrachtprompt de volgende opdracht en druk op Enter:

    certreq -accept certnew.cer

    Nadat u het certificaat hebt opgehaald, moet u het installeren. Met deze opdracht wordt het certificaat geïmporteerd in het juiste archief en wordt het certificaat vervolgens gekoppeld aan de persoonlijke sleutel die in stap 4 is gemaakt.

Een certificaataanvraag indienen bij een certificeringsinstantie van derden

Als u een certificaataanvraag wilt indienen bij een certificeringsinstantie van derden, gebruikt u eerst het hulpprogramma Certreq.exe om het certificaataanvraagbestand te maken. Vervolgens kunt u de aanvraag indienen bij de certificeringsinstantie van derden met behulp van de methode die geschikt is voor die leverancier. De certificeringsinstantie van derden moet certificaataanvragen kunnen verwerken in de CMC-indeling.

Notitie

De meeste leveranciers verwijzen naar de certificaataanvraag als een CSR (Certificate Signing Request).

Verwijzingen

Zie LDAP inschakelen via SSL met een externe certificeringsinstantie voor meer informatie over het inschakelen van LDAP via SSL met een externe certificeringsinstantie.

Zie Een certificaat aanvragen met een alternatieve naam voor een aangepast onderwerp voor meer informatie over het aanvragen van een certificaat met een alternatieve naam voor een aangepast onderwerp.

Ga naar de volgende MSDN-website (Microsoft Developer Network): Certutil-taken voor het beheren van een certificeringsinstantie (CA) voor meer informatie over het gebruik van certutil-taken voor het beheren van een certificeringsinstantie (CA)