Dela via

Lägga till ett alternativt ämnesnamn till ett säkert LDAP-certifikat

  • Artikel

Den här artikeln beskriver hur du lägger till ett alternativt ämnesnamn (SAN) till ett säkert LDAP-certifikat (Lightweight Directory Access Protocol).

Ursprungligt KB-nummer: 931351

Sammanfattning

LDAP-certifikatet skickas till en certifikatutfärdare (CA) som har konfigurerats på en Windows Server 2003-baserad dator. Med SAN kan du ansluta till en domänkontrollant med ett annat DNS-namn (Domain Name System) än datornamnet. Den här artikeln innehåller information om hur du lägger till SAN-attribut i en certifieringsbegäran som skickas till en företagscertifikatutfärdare, en fristående CA eller en certifikatutfärdare från tredje part.

I den här artikeln beskrivs även hur du utför följande åtgärder:

  • Konfigurera en certifikatutfärdare för att acceptera ett SAN-attribut från en certifikatbegäran.
  • Skapa och skicka en certifikatbegäran till en företagscertifikatutfärdare.
  • Skapa och skicka en certifikatbegäran till en fristående certifikatutfärdare.
  • Skapa en certifikatbegäran med hjälp av verktyget Certreq.exe.
  • Skapa och skicka en certifikatbegäran till en certifikatutfärdare från tredje part.

Skapa och skicka en certifikatbegäran

När du skickar en certifikatbegäran till en företagscertifikatutfärdare måste certifikatmallen konfigureras för att använda SAN i begäran i stället för att använda information från Active Directory-katalogtjänsten. Webbservermallen version 1 kan användas för att begära ett certifikat som stöder LDAP över SSL (Secure Sockets Layer). Version 2-mallar kan konfigureras för att hämta SAN antingen från certifikatbegäran eller från Active Directory. Om du vill utfärda certifikat som baseras på version 2-mallar måste företagscertifikatutfärdare köras på en dator som kör Windows Server 2003 Enterprise Edition.

När du skickar en begäran till en fristående certifikatutfärdare används inte certifikatmallar. Därför måste SAN alltid ingå i certifikatbegäran. SAN-attribut kan läggas till i en begäran som skapas med hjälp av Certreq.exe programmet. Eller så kan SAN-attribut inkluderas i begäranden som skickas med hjälp av webbregistreringssidorna.

Använda webbsidor för registrering för att skicka en certifikatbegäran till en företagscertifikatutfärdare

Följ dessa steg för att skicka en certifikatbegäran som innehåller ett SAN till en företagscertifikatutfärdare:

  1. Öppna Internet Explorer.

  2. I Internet Explorer ansluter du till http://<servername>/certsrv.

    Kommentar

    Platshållarservernamnet <> representerar namnet på den webbserver som kör Windows Server 2003 och som har den certifikatmottagare som du vill komma åt.

  3. Klicka på Begär ett certifikat.

  4. Klicka på Avancerad certifikatbegäran.

  5. Klicka på Skapa och skicka en begäran till den här certifikatutfärdare.

  6. I listan Certifikatmall klickar du på Webbserver.

    Kommentar

    Certifikatutfärdare måste konfigureras för att utfärda webbservercertifikat. Du kan behöva lägga till webbservermallen i mappen Certifikatmallar i snapin-modulen Certifikatutfärdare om certifikatutfärdare inte redan har konfigurerats för att utfärda webbservercertifikat.

  7. Ange identifierande information efter behov.

  8. I rutan Namn skriver du domänkontrollantens fullständigt kvalificerade domännamn.

  9. Under Nyckelalternativ anger du följande alternativ:

    • Skapa en ny nyckeluppsättning
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Nyckelanvändning: Exchange
    • Nyckelstorlek: 1024 – 16384
    • Namn på automatisk nyckelcontainer
    • Lagra certifikat i certifikatarkivet för den lokala datorn

  10. Under Avancerade alternativ anger du formatet för begäran till CMC.

  11. I rutan Attribut skriver du önskade SAN-attribut. SAN-attribut har följande formulär:

    san:dns=dns.name[&dns=dns.name]

    Flera DNS-namn avgränsas med ett et-tecken (&). Om domännamnet för domänkontrollanten till exempel är corpdc1.fabrikam.com och aliaset är ldap.fabrikam.commåste båda namnen inkluderas i SAN-attributen. Den resulterande attributsträngen visas på följande sätt:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klicka på Skicka.

  13. Om du ser webbsidan Certifikat utfärdat klickar du på Installera det här certifikatet.

Använda webbregistreringssidor för att skicka en certifikatbegäran till en fristående certifikatutfärdare

Följ dessa steg för att skicka en certifikatbegäran som innehåller ett SAN till en fristående certifikatutfärdare:

  1. Öppna Internet Explorer.

  2. I Internet Explorer ansluter du till http://<servername>/certsrv.

    Kommentar

    Platshållarservernamnet <> representerar namnet på den webbserver som kör Windows Server 2012 R2 och som har den certifikatmottagare som du vill komma åt.

  3. Klicka på Begär ett certifikat.

  4. Klicka på Avancerad certifikatbegäran.

  5. Klicka på Skapa och skicka en begäran till den här certifikatutfärdare.

  6. Ange identifierande information efter behov.

  7. I rutan Namn skriver du domänkontrollantens fullständigt kvalificerade domännamn.

  8. I listan Typ av certifikat krävs server klickar du på Certifikat för serverautentisering.

  9. Under Nyckelalternativ anger du följande alternativ:

    • Skapa en ny nyckeluppsättning
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Nyckelanvändning: Exchange
    • Nyckelstorlek: 1024 – 16384
    • Namn på automatisk nyckelcontainer
    • Lagra certifikat i certifikatarkivet för den lokala datorn

  10. Under Avancerade alternativ anger du formatet för begäran som CMC.

  11. I rutan Attribut skriver du önskade SAN-attribut. SAN-attribut har följande formulär:

    san:dns=dns.name[&dns=dns.name]

    Flera DNS-namn avgränsas med ett et-tecken (&). Om namnet på domänkontrollanten till exempel är corpdc1.fabrikam.com och aliaset är ldap.fabrikam.com måste båda namnen inkluderas i SAN-attributen. Den resulterande attributsträngen visas på följande sätt:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. Klicka på Skicka.

  13. Om certifikatutfärdare inte har konfigurerats för att utfärda certifikat automatiskt visas en webbsida som väntar på certifikat och begär att du väntar på att en administratör ska utfärda certifikatet som begärdes.

    Om du vill hämta ett certifikat som en administratör har utfärdat ansluter du till http://<servername>/certsrvoch klickar sedan på Kontrollera på ett väntande certifikat. Klicka på det begärda certifikatet och klicka sedan på Nästa.

    Om certifikatet har utfärdats visas webbsidan Certifikat utfärdat . Klicka på Installera det här certifikatet för att installera certifikatet.

Använd Certreq.exe för att skapa och skicka en certifikatbegäran som innehåller ett SAN

Följ dessa steg om du vill använda verktyget Certreq.exe för att skapa och skicka en certifikatbegäran:

  1. Skapa en .inf-fil som anger inställningarna för certifikatbegäran. Om du vill skapa en .inf-fil kan du använda exempelkoden i avsnittet Skapa en RequestPolicy.inf-fil i Så här begär du ett certifikat med ett anpassat alternativt ämnesnamn.

    SAN kan ingå i avsnittet [Tillägg]. Exempel finns i .inf-exempelfilen.

  2. Spara filen som Request.inf.

  3. Öppna kommandotolken.

  4. I kommandotolken skriver du följande kommando och trycker sedan på RETUR:

    certreq -new request.inf certnew.req

    Det här kommandot använder informationen i filen Request.inf för att skapa en begäran i det format som anges av RequestType-värdet i inf-filen. När begäran skapas genereras det offentliga och privata nyckelparet automatiskt och placeras sedan i ett begärandeobjekt i arkivet för registreringsbegäranden på den lokala datorn.

  5. I kommandotolken skriver du följande kommando och trycker sedan på RETUR:

    certreq -submit certnew.req certnew.cer

    Det här kommandot skickar certifikatbegäran till certifikatutfärdare. Om det finns fler än en certifikatutfärdare i miljön kan växeln -config användas på kommandoraden för att dirigera begäran till en specifik certifikatutfärdare. Om du inte använder växeln -config uppmanas du att välja den certifikatutfärdaradress som begäran ska skickas till.

    Växeln -config använder följande format för att referera till en specifik certifikatmottagare:

    computername\Certification Authority Name

    Anta till exempel att CA-namnet är corporate policy CA1 och att domännamnet är corpca1.fabrikam.com. Om du vill använda certreq-kommandot tillsammans med växeln -config för att ange den här certifikatutfärdarcertifikatutfärdarna skriver du följande kommando:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    Om den här certifikatutfärdaren är en företagscertifikatutfärdare och om användaren som skickar certifikatbegäran har läs- och registreringsbehörighet för mallen skickas begäran. Det utfärdade certifikatet sparas i filen Certnew.cer. Om certifikatutfärdare är en fristående certifikatutfärdare är certifikatbegäran i ett väntande tillstånd tills den har godkänts av CA-administratören. Utdata från kommandot certreq -submit innehåller begärande-ID-numret för den skickade begäran. Så snart certifikatet har godkänts kan det hämtas med hjälp av numret för begärande-ID.

  6. Använd ID-numret för begäran för att hämta certifikatet genom att köra följande kommando:

    certreq -retrieve RequestID certnew.cer

    Du kan också använda växeln -config här för att hämta certifikatbegäran från en specifik certifikatutfärdare. Om växeln -config inte används uppmanas du att välja den certifikatutfärdare som certifikatutfärdarcertifikatet ska hämtas från.

  7. I kommandotolken skriver du följande kommando och trycker sedan på RETUR:

    certreq -accept certnew.cer

    När du har hämtat certifikatet måste du installera det. Det här kommandot importerar certifikatet till lämpligt arkiv och länkar sedan certifikatet till den privata nyckel som skapas i steg 4.

Skicka en certifikatbegäran till en certifikatutfärdare från tredje part

Om du vill skicka en certifikatbegäran till en certifikatutfärdare från tredje part använder du först verktyget Certreq.exe för att skapa filen för certifikatbegäran. Du kan sedan skicka begäran till tredjeparts-CA:en med hjälp av den metod som är lämplig för leverantören. Certifikatutfärdarcertifikatutfärdare från tredje part måste kunna bearbeta certifikatbegäranden i CMC-format.

Kommentar

De flesta leverantörer refererar till certifikatbegäran som en certifikatsigneringsbegäran (CSR).

Referenser

Mer information om hur du aktiverar LDAP över SSL tillsammans med en tredjepartscertifikatutfärdare finns i Så här aktiverar du LDAP över SSL med en tredjepartscertifikatutfärdare.

Mer information om hur du begär ett certifikat som har ett anpassat alternativt ämnesnamn finns i Så här begär du ett certifikat med ett anpassat alternativt ämnesnamn.

Mer information om hur du använder certutil-uppgifter för att hantera en certifikatutfärdare finns på följande webbplats för Microsoft Developer Network (MSDN): Certutil-uppgifter för att hantera en certifikatutfärdare (CA)