共用方式為

將主體別名新增至安全 LDAP 憑證

  • 發行項

本文說明如何將主體別名 (SAN) 新增至安全的輕量型目錄存取通訊協定 (LDAP) 憑證。

原始 KB 編號: 931351

摘要

LDAP 憑證會提交至 Windows Server 2003 計算機上設定的證書頒發機構單位 (CA)。 SAN 可讓您使用電腦名稱以外的功能變數名稱系統 (DNS) 名稱來連線到域控制器。 本文包含如何將 SAN 屬性新增至提交至企業 CA、獨立 CA 或第三方 CA 的認證要求的相關信息。

本文也會討論如何執行下列動作:

  • 設定 CA 以接受來自憑證要求的 SAN 屬性。
  • 建立憑證要求並將其提交至企業 CA。
  • 建立憑證要求並將其提交至獨立 CA。
  • 使用 Certreq.exe 工具建立憑證要求。
  • 建立憑證要求並將其提交至第三方 CA。

建立並提交憑證要求

當您將憑證要求提交至企業 CA 時,必須將證書範本設定為在要求中使用 SAN,而不是使用 Active Directory 目錄服務的資訊。 第 1 版網頁伺服器範本可用來要求將透過安全套接字層 (SSL) 支援 LDAP 的憑證。 第 2 版範本可以設定為從憑證要求或 Active Directory 擷取 SAN。 若要發行以第 2 版範本為基礎的憑證,企業 CA 必須在執行 Windows Server 2003 企業版的電腦上執行。

當您將要求提交至獨立 CA 時,不會使用證書範本。 因此,SAN 必須一律包含在憑證要求中。 SAN 屬性可以新增至使用 Certreq.exe 程式建立的要求。 或者,SAN 屬性可以包含在使用 Web 註冊頁面提交的要求中。

使用網頁註冊頁面將憑證要求提交至企業 CA

若要將包含 SAN 的憑證要求提交至企業 CA,請遵循下列步驟:

  1. 開啟 Internet Explorer。

  2. 在 Internet Explorer 中,連接到 http://<servername>/certsrv

    注意

    佔位元 <servername> 代表執行 Windows Server 2003 且具有您要存取之 CA 的網頁伺服器名稱。

  3. 按兩下 [ 要求憑證]。

  4. 按一下 [進階憑證要求]

  5. 按兩下 [ 建立] 並將要求提交至此 CA

  6. 在 [ 證書範本] 清單中,按兩下 [網頁伺服器]。

    注意

    CA 必須設定為發行 Web 伺服器證書。 如果 CA 尚未設定為發行網頁伺服器證書,您可能必須將網頁伺服器範本新增至證書頒發機構單位嵌入式管理單元中的 [證書範本] 資料夾。

  7. 視需要提供識別資訊。

  8. 在 [ 名稱] 方塊中,輸入域控制器的完整功能變數名稱。

  9. 在 [金鑰選項]下,設定下列選項:

    • 建立新的金鑰集
    • CSP:Microsoft RSA SChannel 密碼編譯提供者
    • 密鑰使用方式:Exchange
    • 金鑰大小:1024 - 16384
    • 自動金鑰容器名稱
    • 將憑證儲存在本機計算機證書存儲中

  10. 在 [進階選項],將要求格式設定為 CMC

  11. 在 [ 屬性] 方塊中,輸入所需的 SAN 屬性。 SAN 屬性的格式如下:

    san:dns=dns.name[&dns=dns.name]

    多個 DNS 名稱會以連字元分隔(&)。 例如,如果域控制器的名稱是 corpdc1.fabrikam.com ,且別名為 ldap.fabrikam.com,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串會顯示如下:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 按一下 [提交] 。

  13. 如果您看到 [憑證發行] 網頁,請按兩下 [安裝此憑證]。

使用 Web 註冊頁面將憑證要求提交至獨立 CA

若要將包含 SAN 的憑證要求提交至獨立 CA,請遵循下列步驟:

  1. 開啟 Internet Explorer。

  2. 在 Internet Explorer 中,連接到 http://<servername>/certsrv

    注意

    佔位元 <servername> 代表執行 Windows Server 2012 R2 且具有您要存取之 CA 的網頁伺服器名稱。

  3. 按兩下 [ 要求憑證]。

  4. 按一下 [進階憑證要求]

  5. 按兩下 [ 建立] 並將要求提交至此 CA

  6. 視需要提供識別資訊。

  7. 在 [ 名稱] 方塊中,輸入域控制器的完整功能變數名稱。

  8. 在 [ 需要 憑證的伺服器類型] 清單中,按兩下 [ 伺服器驗證憑證]。

  9. 在 [金鑰選項]下,設定下列選項:

    • 建立新的金鑰集
    • CSP:Microsoft RSA SChannel 密碼編譯提供者
    • 密鑰使用方式:Exchange
    • 金鑰大小:1024 - 16384
    • 自動金鑰容器名稱
    • 將憑證儲存在本機計算機證書存儲中

  10. 在 [進階選項],將要求格式設定為 CMC

  11. 在 [ 屬性] 方塊中,輸入所需的 SAN 屬性。 SAN 屬性的格式如下:

    san:dns=dns.name[&dns=dns.name]

    多個 DNS 名稱會以連字元分隔(&)。 例如,如果域控制器的名稱 corpdc1.fabrikam.com 且別名 ldap.fabrikam.com,則這兩個名稱都必須包含在 SAN 屬性中。 產生的屬性字串會顯示如下:

    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

  12. 按一下 [提交] 。

  13. 如果未將 CA 設定為自動發行憑證, 則會顯示 [憑證擱 置] 網頁,並要求您等候系統管理員發出要求的憑證。

    若要擷取系統管理員已發出的憑證,請聯機至 http://<servername>/certsrv,然後按兩下 [ 檢查擱置的憑證]。 按下要求的憑證,然後按 [ 下一步]。

    如果憑證已發行, 則會顯示 [憑證發行 ] 網頁。 按兩下 [ 安裝此憑證 ] 以安裝憑證。

使用Certreq.exe建立並提交包含 SAN 的憑證要求

若要使用 Certreq.exe 公用程式來建立及提交憑證要求,請遵循下列步驟:

  1. 建立 .inf 檔案,指定憑證要求的設定。 若要建立 .inf 檔案,您可以使用 How to Request a Certificate with a Custom Subject Alternative Name 中的 <建立 RequestPolicy.inf 檔案 >一節中的 範例程式代碼。

    SAN 可以包含在 [Extensions] 區段中。 如需範例,請參閱範例 .inf 檔案。

  2. 將檔案儲存為 Request.inf。

  3. 開啟命令提示字元。

  4. 在命令提示字元中輸入下列命令,然後按 ENTER:

    certreq -new request.inf certnew.req

    此命令會使用 Request.inf 檔案中的資訊,以 .inf 檔案中 RequestType 值所指定的格式建立要求。 建立要求時,系統會自動產生公開和私鑰組,然後將要求物件放入本機計算機上的註冊要求存放區中。

  5. 在命令提示字元中輸入下列命令,然後按 ENTER:

    certreq -submit certnew.req certnew.cer

    此命令會將憑證要求提交至CA。 如果環境中有多個 CA, -config 可以在命令行中使用 參數,將要求導向至特定 CA。 如果您未使用 -config 參數,系統會提示您選取應提交要求的 CA。

    參數 -config 會使用下列格式來參考特定的 CA:

    computername\Certification Authority Name

    例如,假設 CA 名稱為公司原則 CA1,且域名為 corpca1.fabrikam.com。 若要搭配 參數使用 -config certreq 命令來指定此 CA,請輸入下列命令:

    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer

    如果此 CA 是企業 CA,而且提交憑證要求的使用者具有範本的讀取和註冊許可權,則會提交要求。 發行的憑證會儲存在Certnew.cer檔案中。 如果 CA 是獨立的 CA,憑證要求將會處於擱置狀態,直到 CA 系統管理員核准為止。 certreq -submit 命令的輸出包含所提交要求的要求標識碼編號。 一旦核准憑證,就可以使用要求標識符來擷取憑證。

  6. 執行下列命令,使用要求標識符來擷取憑證:

    certreq -retrieve RequestID certnew.cer

    您也可以使用 -config 這裡的 參數,從特定 CA 擷取憑證要求。 -config如果未使用參數,系統會提示您選取要從中擷取憑證的 CA。

  7. 在命令提示字元中輸入下列命令,然後按 ENTER:

    certreq -accept certnew.cer

    擷取憑證之後,您必須安裝憑證。 此命令會將憑證匯入適當的存放區,然後將憑證連結至步驟 4 中建立的私鑰。

將憑證要求提交至第三方 CA

如果您想要將憑證要求提交至第三方 CA,請先使用 Certreq.exe 工具來建立憑證要求檔案。 然後,您可以使用任何適合該廠商的方法,將要求提交至第三方 CA。 第三方 CA 必須能夠以 CMC 格式處理憑證要求。

注意

大部分廠商將憑證要求稱為憑證簽署要求(CSR)。

參考資料

如需如何搭配第三方證書頒發機構單位啟用LDAP over SSL的詳細資訊,請參閱 如何使用第三方證書頒發機構單位啟用LDAP over SSL。

如需如何要求具有自定義主體別名之憑證的詳細資訊,請參閱 如何使用自定義主體別名要求憑證。

如需如何使用 certutil 工作來管理證書頒發機構單位 (CA) 的詳細資訊,請移至下列Microsoft開發人員網路 (MSDN) 網站: 管理證書頒發機構單位的 Certutil 工作 (CA)