Поделиться через

Добавление альтернативного имени субъекта в защищенный сертификат LDAP

  • Статья

В этой статье описывается, как добавить альтернативное имя субъекта (SAN) в безопасный сертификат протокола LDAP.

Исходный номер базы знаний: 931351

Итоги

Сертификат LDAP отправляется в центр сертификации (ЦС), настроенный на компьютере под управлением Windows Server 2003. San позволяет подключаться к контроллеру домена с помощью dns-имени, отличного от имени компьютера. В этой статье содержатся сведения о добавлении атрибутов SAN в запрос на сертификацию, отправленный в корпоративный ЦС, автономный ЦС или сторонний ЦС.

В этой статье также описывается, как выполнять следующие действия:

  • Настройте ЦС для принятия атрибута SAN из запроса сертификата.
  • Создайте и отправьте запрос на сертификат в корпоративный ЦС.
  • Создайте и отправьте запрос сертификата в автономный ЦС.
  • Создайте запрос сертификата с помощью средства Certreq.exe.
  • Создайте и отправьте запрос сертификата в сторонний ЦС.

Создание и отправка запроса на сертификат

При отправке запроса сертификата в корпоративный ЦС шаблон сертификата необходимо настроить для использования SAN в запросе вместо использования сведений из службы каталогов Active Directory. Шаблон веб-сервера версии 1 можно использовать для запроса сертификата, который будет поддерживать LDAP через протокол SSL. Шаблоны версии 2 можно настроить для получения SAN из запроса сертификата или из Active Directory. Чтобы выдавать сертификаты, основанные на шаблонах версии 2, корпоративный ЦС должен работать на компьютере под управлением Windows Server 2003 выпуск Enterprise.

При отправке запроса в автономный ЦС шаблоны сертификатов не используются. Таким образом, san всегда должен быть включен в запрос сертификата. Атрибуты SAN можно добавить в запрос, созданный с помощью программы Certreq.exe. Кроме того, атрибуты SAN можно включить в запросы, отправленные с помощью страниц веб-регистрации.

Использование страниц веб-регистрации для отправки запроса сертификата в корпоративный ЦС

Чтобы отправить запрос на сертификат, содержащий SAN в корпоративный ЦС, выполните следующие действия.

  1. Откройте Internet Explorer.

  2. В Internet Explorer подключитесь к http://<servername>/certsrv.

    Примечание.

    Имя сервера-заполнителя <> представляет имя веб-сервера под управлением Windows Server 2003 и цС, к которому требуется получить доступ.

  3. Нажмите кнопку " Запросить сертификат".

  4. Щелкните Расширенный запрос сертификата.

  5. Нажмите кнопку "Создать" и отправьте запрос в этот ЦС.

  6. В списке шаблонов сертификатов щелкните веб-сервер.

    Примечание.

    ЦС необходимо настроить для выдачи сертификатов веб-сервера. Возможно, потребуется добавить шаблон веб-сервера в папку "Шаблоны сертификатов" в оснастке центра сертификации, если ЦС еще не настроено на выдачу сертификатов веб-сервера.

  7. Укажите сведения об идентификации по мере необходимости.

  8. В поле "Имя" введите полное доменное имя контроллера домена.

  9. В разделе "Параметры ключа" задайте следующие параметры:

    • Создание нового набора ключей
    • CSP: поставщик шифрования Microsoft RSA SChannel
    • Использование ключей: Exchange
    • Размер ключа: 1024 - 16384
    • Автоматическое имя контейнера ключей
    • Хранение сертификата в хранилище сертификатов локального компьютера

  10. В разделе "Дополнительные параметры" задайте для параметра CMC формат запроса.

  11. В поле "Атрибуты" введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

    san:dns=dns.name[&dns=dns.name]

    Несколько DNS-имен разделены амперсандом (>). Например, если имя контроллера домена и corpdc1.fabrikam.com псевдоним является ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. Результирующая строка атрибута отображается следующим образом:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Щелкните Отправить.

  13. Если вы видите веб-страницу "Выданный сертификат", нажмите кнопку "Установить этот сертификат".

Использование страниц веб-регистрации для отправки запроса сертификата в автономный ЦС

Чтобы отправить запрос на сертификат, включающий SAN в автономный ЦС, выполните следующие действия.

  1. Откройте Internet Explorer.

  2. В Internet Explorer подключитесь к http://<servername>/certsrv.

    Примечание.

    Имя сервера-заполнителя <> представляет имя веб-сервера под управлением Windows Server 2012 R2 и цС, к которому требуется получить доступ.

  3. Нажмите кнопку " Запросить сертификат".

  4. Щелкните Расширенный запрос сертификата.

  5. Нажмите кнопку "Создать" и отправьте запрос в этот ЦС.

  6. Укажите сведения об идентификации по мере необходимости.

  7. В поле "Имя" введите полное доменное имя контроллера домена.

  8. В списке "Тип необходимого сервера сертификата" щелкните "Сертификат проверки подлинности сервера".

  9. В разделе "Параметры ключа" задайте следующие параметры:

    • Создание нового набора ключей
    • CSP: поставщик шифрования Microsoft RSA SChannel
    • Использование ключей: Exchange
    • Размер ключа: 1024 - 16384
    • Автоматическое имя контейнера ключей
    • Хранение сертификата в хранилище сертификатов локального компьютера

  10. В разделе "Дополнительные параметры" задайте формат запроса в качестве CMC.

  11. В поле "Атрибуты" введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

    san:dns=dns.name[&dns=dns.name]

    Несколько DNS-имен разделены амперсандом (>). Например, если имя контроллера домена corpdc1.fabrikam.com, а псевдоним ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. Результирующая строка атрибута отображается следующим образом:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Щелкните Отправить.

  13. Если ЦС не настроен автоматически для выдачи сертификатов, отображается веб-страница "Ожидание сертификата" и запрашивается, пока администратор будет выдавать запрошенный сертификат.

    Чтобы получить сертификат, выданный администратором, подключитесь http://<servername>/certsrvк нему и нажмите кнопку "Проверить ожидающий сертификат". Щелкните запрошенный сертификат и нажмите кнопку "Далее".

    Если сертификат был выдан, отображается веб-страница "Выданный сертификат". Нажмите кнопку "Установить этот сертификат", чтобы установить сертификат.

Использование Certreq.exe для создания и отправки запроса сертификата, включающего SAN

Чтобы использовать служебную программу Certreq.exe для создания и отправки запроса на сертификат, выполните следующие действия.

  1. Создайте INF-файл, указывающий параметры запроса сертификата. Чтобы создать INF-файл, можно использовать пример кода в разделе "Создание файла RequestPolicy.inf" статьи "Запрос сертификата с помощью альтернативного имени субъекта".

    SaN можно включить в раздел [Расширения] . Примеры см. в примере INF-файла.

  2. Сохраните файл как Request.inf.

  3. Откройте командную строку.

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    certreq -new request.inf certnew.req

    Эта команда использует сведения в файле Request.inf для создания запроса в формате, указанном значением RequestType в INF-файле. При создании запроса пара открытого и закрытого ключей автоматически создается, а затем помещается в объект запроса в хранилище запросов регистрации на локальном компьютере.

  5. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    certreq -submit certnew.req certnew.cer

    Эта команда отправляет запрос сертификата в ЦС. Если в среде несколько ЦС, -config параметр можно использовать в командной строке для направления запроса в конкретный ЦС. Если вы не используете переключатель -config , вам будет предложено выбрать ЦС, в который должен быть отправлен запрос.

    Параметр -config использует следующий формат для ссылки на конкретный ЦС:

    computername\Certification Authority Name

    Например, предположим, что имя ЦС является ЦС корпоративной политикой CA1, а доменное имя — corpca1.fabrikam.comэто . Чтобы использовать команду certreq вместе с параметром -config , чтобы указать этот ЦС, введите следующую команду:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Если этот ЦС является корпоративным ЦС, и если пользователь, отправивший запрос сертификата, имеет разрешения на чтение и регистрацию для шаблона, отправляется запрос. Выданный сертификат сохраняется в файле Certnew.cer. Если ЦС является автономным ЦС, запрос сертификата будет находиться в состоянии ожидания, пока он не будет утвержден администратором ЦС. Выходные данные команды certreq -submit содержат номер идентификатора запроса отправленного запроса. После утверждения сертификата его можно получить с помощью номера идентификатора запроса.

  6. Используйте идентификатор запроса для получения сертификата, выполнив следующую команду:

    certreq -retrieve RequestID certnew.cer

    Вы также можете использовать -config этот параметр для получения запроса сертификата из определенного ЦС. -config Если параметр не используется, вам будет предложено выбрать ЦС, из которого необходимо получить сертификат.

  7. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    certreq -accept certnew.cer

    После получения сертификата его необходимо установить. Эта команда импортирует сертификат в соответствующее хранилище, а затем связывает сертификат с закрытым ключом, созданным на шаге 4.

Отправка запроса сертификата в сторонний ЦС

Если вы хотите отправить запрос сертификата стороннему ЦС, сначала используйте средство Certreq.exe для создания файла запроса сертификата. Затем вы можете отправить запрос в сторонний ЦС с помощью любого метода, подходящего для этого поставщика. Сторонний ЦС должен иметь возможность обрабатывать запросы сертификатов в формате CMC.

Примечание.

Большинство поставщиков относятся к запросу на сертификат как запрос на подпись сертификата (CSR).

Ссылки

Дополнительные сведения о том, как включить LDAP через SSL вместе со сторонним центром сертификации, см. в статье "Как включить ПРОТОКОЛ LDAP через SSL с помощью стороннего центра сертификации".

Дополнительные сведения о том, как запросить сертификат с настраиваемым альтернативным именем субъекта, см. в разделе "Запрос сертификата с альтернативным именем субъекта".

Дополнительные сведения об использовании задач certutil для управления центром сертификации (ЦС) см. на следующем веб-сайте Microsoft Developer Network (MSDN): задачи Certutil для управления центром сертификации (ЦС)