Добавление альтернативного имени субъекта в безопасный сертификат LDAP

В этой статье описывается добавление альтернативного имени субъекта (SAN) в безопасный сертификат LDAP.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 931351

Аннотация

Сертификат LDAP отправлен в ЦС, настроенный на компьютере под управлением Windows Server 2003. San позволяет подключаться к контроллеру домена с помощью DNS-имени, кроме имени компьютера. В этой статье содержатся сведения о добавлении атрибутов SAN в запрос на сертификацию, отправленный в корпоративный ЦС, автономный ЦС или сторонний ЦС.

В этой статье также обсуждаются следующие действия:

• Настройте ЦС так, чтобы он принял атрибут SAN из запроса на сертификат.
• Создание и отправка запроса на сертификат в корпоративный ЦС.
• Создайте и отправьте запрос на сертификат в автономный ЦС.
• Создайте запрос сертификата с помощью Certreq.exe средства.
• Создайте и отправьте запрос на сертификат в сторонний ЦС.

Создание и отправка запроса на сертификат

При отправке запроса на сертификат в корпоративный ЦС шаблон сертификата должен быть настроен на использование san в запросе вместо использования сведений из службы каталогов Active Directory. Шаблон веб-сервера версии 1 можно использовать для запроса сертификата, который будет поддерживать LDAP через SSL. Шаблоны версии 2 можно настроить на извлечение SAN из запроса на сертификат или из Active Directory. Для выдачи сертификатов, основанных на шаблонах версии 2, корпоративный ЦС должен работать на компьютере под управлением Windows Server 2003 Enterprise Edition.

При отправке запроса в автономный ЦС шаблоны сертификатов не используются. Таким образом, san всегда должно быть включено в запрос сертификата. Атрибуты SAN можно добавить в запрос, созданный с помощью Certreq.exe. Кроме того, атрибуты SAN могут быть включены в запросы, отправленные с помощью страниц регистрации в Интернете.

Отправка запроса на сертификат в корпоративный ЦС с помощью страниц веб-регистрации

Чтобы отправить запрос на сертификат, содержащий SAN, в корпоративный ЦС, выполните следующие действия.

Откройте Internet Explorer.

В Internet Explorer подключите http:// /certsrv его.

Этот замессатель представляет имя веб-сервера под управлением Windows Server 2003 с ЦС, к нему необходимо получить доступ.

Нажмите кнопку «Запросить сертификат».

Щелкните «Расширенный запрос сертификата».

Нажмите кнопку «Создать» и отправьте запрос в этот ЦС.

В списке шаблонов сертификатов выберите «Веб-сервер».

ЦС должен быть настроен для выдачи сертификатов веб-сервера. Может потребоваться добавить шаблон веб-сервера в папку «Шаблоны сертификатов» в оснастке «ЦС», если ЦС еще не настроен на выдачу сертификатов веб-сервера.

Предоставление идентифицирующих сведений по мере необходимости.

В поле «Имя» введите полное доменное имя контроллера домена.

В меню «Основные параметры» установите следующие параметры:

• Создание нового набора ключей
• CSP: поставщик шифрования Microsoft RSA SChannel
• Использование ключей: Exchange
• Размер ключа: 1024–16384
• Имя контейнера автоматического ключа
• Хранение сертификата в хранилище сертификатов локального компьютера

В области «Дополнительные параметры» установите для формата запроса формат CMC.

В поле «Атрибуты» введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

Несколько DNS-имен разделяются амперандом (&). Например, если имя контроллера домена и псевдоним — это, оба имени должны быть включены corpdc1.fabrikam.com ldap.fabrikam.com в атрибуты SAN. Итоговая строка атрибута отображается следующим образом:

Нажмите кнопку Отправить.

Если вы видите веб-страницу выданного сертификата, нажмите кнопку «Установить этот сертификат».

Отправка запроса на сертификат в автономный ЦС с помощью страниц веб-регистрации

Чтобы отправить запрос на сертификат, который включает SAN, в автономный ЦС, выполните следующие действия:

Откройте Internet Explorer.

В Internet Explorer подключите http:// /certsrv его.

Этот замессатель представляет имя веб-сервера под управлением Windows Server 2012 R2 с ЦС, к нему необходимо получить доступ.

Нажмите кнопку «Запросить сертификат».

Щелкните «Расширенный запрос сертификата».

Нажмите кнопку «Создать» и отправьте запрос в этот ЦС.

Предоставление идентифицирующих сведений по мере необходимости.

В поле «Имя» введите полное доменное имя контроллера домена.

В списке «Тип сервера, необходимый для сертификата» выберите «Сертификат проверки подлинности сервера».

В меню «Основные параметры» установите следующие параметры:

• Создание нового набора ключей
• CSP: поставщик шифрования Microsoft RSA SChannel
• Использование ключей: Exchange
• Размер ключа: 1024–16384
• Имя контейнера автоматического ключа
• Хранение сертификата в хранилище сертификатов локального компьютера

В области «Дополнительные параметры» установите формат запроса в формате CMC.

В поле «Атрибуты» введите нужные атрибуты SAN. Атрибуты SAN принимают следующую форму:

Несколько DNS-имен разделяются амперандом (&). Например, если имя контроллера домена corpdc1.fabrikam.com псевдоним ldap.fabrikam.com, оба имени должны быть включены в атрибуты SAN. Итоговая строка атрибута отображается следующим образом:

Нажмите кнопку Отправить.

Если ЦС не настроен на автоматическое выдачу сертификатов, отображается веб-страницу «Ожидание сертификата» с запросом администратора на выдачу запрашиваемой сертификата.

Чтобы получить сертификат, выданный администратором, подключите его и нажмите кнопку http:// /certsrv «Проверить ожидающих сертификатов». Щелкните запрашиваемую сертификат и нажмите кнопку «Далее».

Если сертификат был выдан, отображается веб-страницу выданного сертификата. Нажмите кнопку «Установить этот сертификат», чтобы установить сертификат.

Используйте Certreq.exe для создания и отправки запроса на сертификат, который включает san

Чтобы использовать с Certreq.exe для создания и отправки запроса на сертификат, выполните следующие действия.

Создайте INF-файл, который определяет параметры запроса на сертификат. Чтобы создать INF-файл, можно использовать пример кода в разделе «Создание файла RequestPolicy.inf» статьи «Запрос сертификата с настраиваемой альтернативной именем субъекта».

В раздел [Расширения] можно включить SANs. Примеры см. в примере INF-файла.

Сохраните файл как Request.inf.

Откройте окно командной строки.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Эта команда использует сведения в файле Request.inf для создания запроса в формате, указанном значением RequestType в INF-файле. После создания запроса пара открытого и закрытого ключей создается автоматически, а затем помещается в объект запроса в хранилище запросов на регистрацию на локальном компьютере.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

Эта команда передает запрос на сертификат в ЦС. Если в среде несколько ЦС, переключатель можно использовать в командной строке для перенаправки запроса в -config определенный ЦС. Если вы не используете переключатель, вам будет предложено выбрать ЦС, в который будет отправлен -config запрос.

Переключатель -config использует следующий формат для ссылки на определенный ЦС:

computername\Certification Authority Name

Например, предположим, что имя ЦС — «Корпоративная политика CA1», а доменное имя — corpca1.fabrikam.com «. Чтобы использовать команду certreq вместе с переключателем для указания этого -config ЦС, введите следующую команду:

Если этот ЦС является корпоративным ЦС и пользователь, который передает запрос на сертификат, имеет разрешения на чтение и регистрацию для шаблона, запрос будет отправлен. Выданный сертификат сохранен в файле Certnew.cer. Если ЦС является автономным ЦС, запрос сертификата будет находится в состоянии ожидания, пока не будет утвержден администратором ЦС. Выходные данные команды certreq -submit содержат номер ИД запроса отправленного запроса. После утверждения сертификата его можно получить с помощью номера запроса.

Чтобы получить сертификат, используйте номер ИД запроса, выдав следующую команду:

Этот переключатель также можно использовать для получения запроса сертификата -config из определенного ЦС. Если переключатель не используется, вам будет предложено выбрать ЦС, из которого -config необходимо получить сертификат.

В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

После получения сертификата его необходимо установить. Эта команда импортирует сертификат в соответствующее хранилище, а затем связывает сертификат с закрытым ключом, созданным на шаге 4.

Отправка запроса на сертификат в сторонний ЦС

Если вы хотите отправить запрос на сертификат в сторонний ЦС, сначала используйте средство Certreq.exe для создания файла запроса сертификата. Затем вы можете отправить запрос в сторонний ЦС, используя любой метод, подходящий для этого поставщика. Сторонний ЦС должен иметь возможность обрабатывать запросы сертификатов в формате CMC.

Большинство поставщиков ссылаются на запрос сертификата как на запрос подписи сертификата (CSR).

Ссылки

Дополнительные сведения о в том, как включить LDAP через SSL вместе со сторонним органом сертификации, см. в этой теме.

Дополнительные сведения о запросе сертификата с настраиваемой альтернативной именем субъекта см. в справке по запросу сертификата с настраиваемой альтернативной именем субъекта.

Дополнительные сведения об использовании задач сертификации для управления цС см. на следующем веб-сайте Microsoft Developer Network (MSDN): certutil tasks for managing a Certification Authority (CA)

Add a subject alternative name to a secure LDAP certificate

This article describes how to add a subject alternative name (SAN) to a secure Lightweight Directory Access Protocol (LDAP) certificate.

Original product version: В Windows Server 2012 R2
Original KB number: В 931351

Summary

The LDAP certificate is submitted to a certification authority (CA) that is configured on a Windows Server 2003-based computer. The SAN lets you connect to a domain controller by using a Domain Name System (DNS) name other than the computer name. This article includes information about how to add SAN attributes to a certification request that’s submitted to an enterprise CA, a stand-alone CA, or a third-party CA.

This article also discusses how to do the following actions:

• Configure a CA to accept a SAN attribute from a certificate request.
• Create and submit a certificate request to an enterprise CA.
• Create and submit a certificate request to a stand-alone CA.
• Create a certificate request by using the Certreq.exe tool.
• Create and submit a certificate request to a third-party CA.

Create and submit a certificate request

When you submit a certificate request to an enterprise CA, the certificate template must be configured to use the SAN in the request instead of using information from the Active Directory directory service. The Version 1 Web Server template can be used to request a certificate that will support LDAP over the Secure Sockets Layer (SSL). Version 2 templates can be configured to retrieve the SAN either from the certificate request or from Active Directory. To issue certificates that are based on Version 2 templates, the enterprise CA must be running on a computer that is running Windows Server 2003 Enterprise Edition.

When you submit a request to a stand-alone CA, certificate templates aren’t used. Therefore, the SAN must always be included in the certificate request. SAN attributes can be added to a request that is created by using the Certreq.exe program. Or, SAN attributes can be included in requests that are submitted by using the web enrollment pages.

Use web enrollment pages to submit a certificate request to an enterprise CA

To submit a certificate request that contains a SAN to an enterprise CA, follow these steps:

Open Internet Explorer.

In Internet Explorer, connect to http:// /certsrv .

The placeholder represents the name of the web server that is running Windows Server 2003 and that has the CA that you want to access.

Click Request a Certificate.

Click Advanced certificate request.

Click Create and submit a request to this CA.

In the Certificate Template list, click Web Server.

The CA must be configured to issue web server certificates. You may have to add the Web Server template to the Certificate Templates folder in the Certification Authority snap-in if the CA is not already configured to issue web server certificates.

Provide identifying information as required.

In the Name box, type the fully qualified domain name of the domain controller.

Under Key Options, set the following options:

• Create a new key set
• CSP: Microsoft RSA SChannel Cryptographic Provider
• Key Usage: Exchange
• Key Size: 1024 — 16384
• Automatic key container name
• Store certificate in the local computer certificate store

Under Advanced Options, set the request format to CMC.

In the Attributes box, type the desired SAN attributes. SAN attributes take the following form:

Multiple DNS names are separated by an ampersand (&). For example, if the name of the domain controller is corpdc1.fabrikam.com and the alias is ldap.fabrikam.com , both names must be included in the SAN attributes. The resulting attribute string is displayed as follows:

Click Submit.

If you see the Certificate Issued webpage, click Install this Certificate.

Use web enrollment pages to submit a certificate request to a stand-alone CA

To submit a certificate request that includes a SAN to a stand-alone CA, follow these steps:

Open Internet Explorer.

In Internet Explorer, connect to http:// /certsrv .

The placeholder represents the name of the web server that is running Windows Server 2012 R2 and that has the CA that you want to access.

Click Request a Certificate.

Click Advanced certificate request.

Click Create and submit a request to this CA.

Provide identifying information as required.

In the Name box, type the fully qualified domain name of the domain controller.

In the Type of Certificate Needed Server list, click Server Authentication Certificate.

Under Key Options, set the following options:

• Create a new key set
• CSP: Microsoft RSA SChannel Cryptographic Provider
• Key Usage: Exchange
• Key Size: 1024 — 16384
• Automatic key container name
• Store certificate in the local computer certificate store

Under Advanced Options, set the request format as CMC.

In the Attributes box, type the desired SAN attributes. SAN attributes take the following form:

Multiple DNS names are separated by an ampersand (&). For example, if the name of the domain controller is corpdc1.fabrikam.com and the alias is ldap.fabrikam.com, both names must be included in the SAN attributes. The resulting attribute string is displayed as follows:

Click Submit.

If the CA isn’t configured to issue certificates automatically, a Certificate Pending webpage is displayed and requests that you wait for an administrator to issue the certificate that was requested.

To retrieve a certificate that an administrator has issued, connect to http:// /certsrv , and then click Check on a Pending Certificate. Click the requested certificate, and then click Next.

If the certificate was issued, the Certificate Issued webpage is displayed. Click Install this Certificate to install the certificate.

Use Certreq.exe to create and submit a certificate request that includes a SAN

To use the Certreq.exe utility to create and submit a certificate request, follow these steps:

Create an .inf file that specifies the settings for the certificate request. To create an .inf file, you can use the sample code in the Creating a RequestPolicy.inf file section in How to Request a Certificate With a Custom Subject Alternative Name.

SANs can be included in the [Extensions] section. For examples, see the sample .inf file.

Save the file as Request.inf.

Open a command prompt.

At the command prompt, type the following command, and then press ENTER:

This command uses the information in the Request.inf file to create a request in the format that is specified by the RequestType value in the .inf file. When the request is created, the public and private key pair is automatically generated and then put in a request object in the enrollment requests store on the local computer.

At the command prompt, type the following command, and then press ENTER:

This command submits the certificate request to the CA. If there’s more than one CA in the environment, the -config switch can be used in the command line to direct the request to a specific CA. If you don’t use the -config switch, you’re prompted to select the CA to which the request should be submitted.

The -config switch uses the following format to refer to a specific CA:

computername\Certification Authority Name

For example, assume that the CA name is Corporate Policy CA1 and that the domain name is corpca1.fabrikam.com . To use the certreq command together with the -config switch to specify this CA, type the following command:

If this CA is an enterprise CA and if the user who submits the certificate request has Read and Enroll permissions for the template, the request is submitted. The issued certificate is saved in the Certnew.cer file. If the CA is a stand-alone CA, the certificate request will be in a pending state until it’s approved by the CA administrator. The output from the certreq -submit command contains the Request ID number of the submitted request. As soon as the certificate is approved, it can be retrieved by using the Request ID number.

Use the Request ID number to retrieve the certificate by running the following command:

You can also use the -config switch here to retrieve the certificate request from a specific CA. If the -config switch isn’t used, you’re prompted to select the CA from which to retrieve the certificate.

At the command prompt, type the following command, and then press ENTER:

After you retrieve the certificate, you must install it. This command imports the certificate into the appropriate store and then links the certificate to the private key that is created in step 4.

Submit a certificate request to a third-party CA

If you want to submit a certificate request to a third-party CA, first use the Certreq.exe tool to create the certificate request file. You can then submit the request to the third-party CA by using whatever method is appropriate for that vendor. The third-party CA must be able to process certificate requests in the CMC format.

Most vendors refer to the certificate request as a Certificate Signing Request (CSR).

References

For more information about how to enable LDAP over SSL together with a third-party certification authority, see How to enable LDAP over SSL with a third-party certification authority.

For more information about how to request a certificate that has a custom subject alternative name, see How to Request a Certificate With a Custom Subject Alternative Name.

For more information about how to use certutil tasks to manage a certification authority (CA), go to the following Microsoft Developer Network (MSDN) website: Certutil tasks for managing a Certification Authority (CA)