Adicionar um nome alternativo de assunto a um certificado LDAP seguro

Este artigo descreve como adicionar um nome alternativo de assunto (SAN) a um certificado LDAP (Lightweight Directory Access Protocol) seguro.

Número original do KB: 931351

Resumo

O certificado LDAP é enviado a uma autoridade de certificação configurada em um computador baseado no Windows Server 2003. A SAN permite que você se conecte a um controlador de domínio usando um nome DNS (Sistema de Nomes de Domínio) diferente do nome do computador. Este artigo inclui informações sobre como adicionar atributos de SAN a uma solicitação de certificação enviada a uma autoridade de certificação corporativa, autônoma ou de terceiros.

Este artigo também discute como executar as seguintes ações:

• Configure uma autoridade de certificação para aceitar um atributo SAN de uma solicitação de certificado.
• Crie e envie uma solicitação de certificado para uma autoridade de certificação corporativa.
• Crie e envie uma solicitação de certificado para uma autoridade de certificação autônoma.
• Crie uma solicitação de certificado usando a ferramenta Certreq.exe.
• Crie e envie uma solicitação de certificado para uma autoridade de certificação de terceiros.

Criar e enviar uma solicitação de certificado

Quando você envia uma solicitação de certificado para uma autoridade de certificação corporativa, o modelo de certificado deve ser configurado para usar a SAN na solicitação em vez de usar informações do serviço de diretório do Active Directory. O modelo de servidor Web versão 1 pode ser usado para solicitar um certificado que oferecerá suporte a LDAP sobre o Secure Sockets Layer (SSL). Os modelos da versão 2 podem ser configurados para recuperar a SAN da solicitação de certificado ou do Active Directory. Para emitir certificados baseados em modelos da Versão 2, a autoridade de certificação corporativa deve estar em execução em um computador que esteja executando o Windows Server 2003 Enterprise Edition.

Quando você envia uma solicitação para uma autoridade de certificação autônoma, os modelos de certificado não são usados. Portanto, a SAN deve sempre ser incluída na solicitação de certificado. Os atributos de SAN podem ser adicionados a uma solicitação criada usando o programa Certreq.exe. Ou os atributos de SAN podem ser incluídos em solicitações enviadas usando as páginas de registro na Web.

Usar páginas de registro na Web para enviar uma solicitação de certificado a uma autoridade de certificação corporativa

Para enviar uma solicitação de certificado que contenha uma SAN para uma autoridade de certificação corporativa, siga estas etapas:

1. Abra o Internet Explorer.

2. No Internet Explorer, conecte-se ao http://<servername>/certsrv.

   Observação

   O nome do servidor> de espaço reservado <representa o nome do servidor Web que está executando o Windows Server 2003 e que tem a autoridade de certificação que você deseja acessar.

3. Clique em Solicitar um certificado.

4. Clique em Solicitação avançada de certificado.

5. Clique em Criar e envie uma solicitação para esta CA.

6. Na lista Modelo de Certificado , clique em Servidor Web.

   Observação

   A CA deve ser configurada para emitir certificados de servidor Web. Talvez seja necessário adicionar o modelo de Servidor Web à pasta Modelos de Certificado no snap-in Autoridade de Certificação se a autoridade de certificação ainda não estiver configurada para emitir certificados de servidor Web.

7. Forneça informações de identificação conforme necessário.

8. Na caixa Nome, digite o nome de domínio totalmente qualificado do controlador de domínio.

9. Em Opções de chave, defina as seguintes opções:

   • Criar um novo conjunto de chaves
   • CSP: Provedor de criptografia Microsoft RSA SChannel
   • Uso da chave: Exchange
   • Tamanho da chave: 1024 - 16384
   • Nome do contêiner de chave automática
   • Armazenar certificado no repositório de certificados do computador local

10. Em Opções avançadas, defina o formato da solicitação como CMC.

11. Na caixa Atributos, digite os atributos SAN desejados. Os atributos de SAN assumem o seguinte formato:

    san:dns=dns.name[&dns=dns.name]

    Vários nomes DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o alias for ldap.fabrikam.com, ambos os nomes deverão ser incluídos nos atributos SAN. A cadeia de caracteres de atributo resultante é exibida da seguinte maneira:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

12. Clique em Enviar.

13. Se você vir a página da Web Certificado emitido , clique em Instalar este certificado.

Usar páginas de registro na Web para enviar uma solicitação de certificado a uma autoridade de certificação autônoma

Para enviar uma solicitação de certificado que inclua uma SAN para uma autoridade de certificação autônoma, siga estas etapas:

1. Abra o Internet Explorer.

2. No Internet Explorer, conecte-se ao http://<servername>/certsrv.

   Observação

   O nome do servidor> de espaço reservado <representa o nome do servidor Web que está executando o Windows Server 2012 R2 e que tem a autoridade de certificação que você deseja acessar.

3. Clique em Solicitar um certificado.

4. Clique em Solicitação avançada de certificado.

5. Clique em Criar e envie uma solicitação para esta CA.

6. Forneça informações de identificação conforme necessário.

7. Na caixa Nome, digite o nome de domínio totalmente qualificado do controlador de domínio.

8. Na lista Tipo de Certificado Necessário Servidor, clique em Certificado de Autenticação do Servidor.

9. Em Opções de chave, defina as seguintes opções:

   • Criar um novo conjunto de chaves
   • CSP: Provedor de criptografia Microsoft RSA SChannel
   • Uso da chave: Exchange
   • Tamanho da chave: 1024 - 16384
   • Nome do contêiner de chave automática
   • Armazenar certificado no repositório de certificados do computador local

10. Em Opções avançadas, defina o formato da solicitação como CMC.

11. Na caixa Atributos, digite os atributos SAN desejados. Os atributos de SAN assumem o seguinte formato:

    san:dns=dns.name[&dns=dns.name]

    Vários nomes DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio for corpdc1.fabrikam.com e o alias for ldap.fabrikam.com, ambos os nomes deverão ser incluídos nos atributos SAN. A cadeia de caracteres de atributo resultante é exibida da seguinte maneira:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

12. Clique em Enviar.

13. Se a autoridade de certificação não estiver configurada para emitir certificados automaticamente, uma página da Web Certificado pendente será exibida e solicitará que você aguarde até que um administrador emita o certificado solicitado.

    Para recuperar um certificado emitido por um administrador, conecte-se a http://<servername>/certsrve clique em Verificar um Certificado Pendente. Clique no certificado solicitado e, em seguida, clique em Avançar.

    Se o certificado tiver sido emitido, a página da Web Certificado Emitido será exibida. Clique em Instalar este certificado para instalar o certificado.

Use Certreq.exe para criar e enviar uma solicitação de certificado que inclua uma SAN

Para usar o utilitário Certreq.exe para criar e enviar uma solicitação de certificado, siga estas etapas:

1. Crie um arquivo .inf que especifique as configurações para a solicitação de certificado. Para criar um arquivo .inf, você pode usar o código de exemplo na seção Criando um arquivo RequestPolicy.inf em Como solicitar um certificado com um nome alternativo de entidade personalizado.

   As SANs podem ser incluídas na seção [Extensões]. Para obter exemplos, consulte o arquivo .inf de exemplo.

2. Salve o arquivo como Request.inf.

3. Abra um prompt de comando.

4. No prompt de comando, digite o seguinte comando e pressione ENTER:

   certreq -new request.inf certnew.req
   

   Esse comando usa as informações no arquivo Request.inf para criar uma solicitação no formato especificado pelo valor RequestType no arquivo .inf. Quando a solicitação é criada, o par de chaves pública e privada é gerado automaticamente e, em seguida, colocado em um objeto de solicitação no repositório de solicitações de registro no computador local.

5. No prompt de comando, digite o seguinte comando e pressione ENTER:

   certreq -submit certnew.req certnew.cer
   

   Esse comando envia a solicitação de certificado para a autoridade de certificação. Se houver mais de uma CA no ambiente, a -config opção poderá ser usada na linha de comando para direcionar a solicitação para uma CA específica. Se você não usar a -config opção, será solicitado a selecionar a CA para a qual a solicitação deve ser enviada.

   O -config switch usa o seguinte formato para se referir a uma CA específica:

   computername\Certification Authority Name

   Por exemplo, suponha que o nome da CA seja Política Corporativa CA1 e que o nome de domínio seja corpca1.fabrikam.com. Para usar o comando certreq junto com o -config switch para especificar essa CA, digite o seguinte comando:

   certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
   

   Se essa autoridade de certificação for uma autoridade de certificação corporativa e se o usuário que envia a solicitação de certificado tiver permissões de leitura e registro para o modelo, a solicitação será enviada. O certificado emitido é salvo no arquivo Certnew.cer. Se a autoridade de certificação for uma autoridade de certificação autônoma, a solicitação de certificado ficará em um estado pendente até que seja aprovada pelo administrador da autoridade de certificação. A saída do comando certreq -submit contém o número de ID da solicitação da solicitação enviada. Assim que o certificado for aprovado, ele poderá ser recuperado usando o número de ID da solicitação.

6. Use o número de ID da solicitação para recuperar o certificado executando o seguinte comando:

   certreq -retrieve RequestID certnew.cer
   

   Você também pode usar a -config opção aqui para recuperar a solicitação de certificado de uma autoridade de certificação específica. Se a -config opção não for usada, você será solicitado a selecionar a autoridade de certificação da qual deseja recuperar o certificado.

7. No prompt de comando, digite o seguinte comando e pressione ENTER:

   certreq -accept certnew.cer
   

   Depois de recuperar o certificado, você deve instalá-lo. Esse comando importa o certificado para o repositório apropriado e, em seguida, vincula o certificado à chave privada criada na etapa 4.

Enviar uma solicitação de certificado para uma autoridade de certificação de terceiros

Se você quiser enviar uma solicitação de certificado para uma autoridade de certificação de terceiros, primeiro use a ferramenta Certreq.exe para criar o arquivo de solicitação de certificado. Em seguida, você pode enviar a solicitação para a autoridade de certificação de terceiros usando qualquer método apropriado para esse fornecedor. A CA de terceiros deve ser capaz de processar solicitações de certificado no formato CMC.

Observação

A maioria dos fornecedores se refere à solicitação de certificado como uma Solicitação de Assinatura de Certificado (CSR).

Referências

Para obter mais informações sobre como habilitar o LDAP sobre SSL junto com uma autoridade de certificação de terceiros, consulte Como habilitar o LDAP sobre SSL com uma autoridade de certificação de terceiros.

Para obter mais informações sobre como solicitar um certificado que tenha um nome alternativo de entidade personalizado, consulte Como solicitar um certificado com um nome alternativo de entidade personalizado.

Para obter mais informações sobre como usar tarefas certutil para gerenciar uma autoridade de certificação (CA), acesse o seguinte site do Microsoft Developer Network (MSDN): Tarefas certutil para gerenciar uma autoridade de certificação (CA)