DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 931351 - Última revisão: quinta-feira, 13 de março de 2014 - Revisão: 2.0

 

Nesta página

Sumário

Este artigo descreve como adicionar um nome alternativo de assunto (SAN) para um certificado de Lightweight Directory Access Protocol (LDAP) segura. O certificado LDAP é enviado a uma autoridade de certificação (CA) que é configurada em um computador baseado no Windows Server 2003. A SAN permite que você se conectar a um controlador de domínio usando um nome de Domain Name System (DNS) diferente do nome do computador. Este artigo inclui informações sobre como adicionar atributos de SAN para uma solicitação de certificação é enviada para uma CA corporativa, uma autoridade de certificação autônoma ou uma autoridade de certificação de terceiros.

INTRODUÇÃO

Este artigo descreve como adicionar um atributo de SAN para um certificado LDAP seguro. Este artigo também descreve como fazer o seguinte:
  • Configure uma autoridade de certificação para aceitar um atributo de SAN de um certificaterequest.
  • Criar e enviar uma solicitação de certificado a uma autoridade de certificação corporativa.
  • Criar e enviar uma solicitação de certificado para um aloneCA de espera.
  • Crie uma solicitação de certificado usando o Certreq.exetool.
  • Criar e enviar uma solicitação de certificado para um terceiro-partyCA.

Mais Informações

Como criar e enviar uma solicitação de certificado

Quando você envia uma solicitação de certificado para uma CA corporativa, o modelo de certificado deve ser configurado para usar a SAN na solicitação em vez de usar as informações do serviço de diretório do Active Directory. O modelo de servidor de Web versão 1 pode ser usado para solicitar um certificado que darão suporte a LDAP na Secure Sockets Layer (SSL). Os modelos da versão 2 podem ser configurados para recuperar a SAN da solicitação de certificado ou do Active Directory. Para emitir certificados baseados em modelos da versão 2, a empresa que CA deve estar sendo executado em um computador que está executando o Windows Server 2003 Enterprise Edition.

Quando você envia uma solicitação para uma autoridade de certificação autônoma, modelos de certificado não são usados. Portanto, a SAN deve sempre ser incluída na solicitação de certificado. Atributos de SAN podem ser adicionados a uma solicitação que é criada usando o programa Certreq.exe. Ou atributos de SAN podem ser incluídos em solicitações enviadas usando as páginas de registro da web.

Como usar páginas de registro na web para enviar uma solicitação de certificado a uma autoridade de certificação corporativa

Para enviar uma solicitação de certificado que contém uma SAN para uma CA corporativa, siga estas etapas:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, conecte-se tohttp: / /nome_do_servidor/certsrv.

    Observação O espaço reservado nome_do_servidorrepresenta o nome do servidor web que está executando o Windows Server 2003 e que possui a autoridade de certificação que você deseja acessar.
  3. Clique em solicitar um certificado.
  4. Clique em avançadas certificaterequest.
  5. Clique em criar e enviar uma solicitação para thisCA.
  6. Na lista de Modelos de certificado , clique emServidor Web.

    ObservaçãoA autoridade de certificação deve ser configurada para emitir certificados para servidores web. Você terá que adicionar o modelo de servidor Web para a pasta de modelos de certificado no snap-in Autoridade de certificação se a autoridade de certificação não estiver configurada para emitir certificados para servidores web.
  7. Fornece informações de identificação conforme necessário.
  8. Na caixa nome , digite o nome de qualifieddomain totalmente do controlador de domínio.
  9. Em Opções de chave, defina o followingoptions:
    • Criar um novo conjunto de chaves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de chave: Exchange
    • Tamanho da chave: 1024-16384
    • Nome de recipiente de chave automático
    • Armazenar certificado no armazenamento de certificados do computador local
  10. Em Opções avançadas, defina o requestformat como CMC.
  11. Na caixa de atributos , digite os atributos desiredSAN. Atributos de SAN assumem o formato a seguir:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio é corpdc1.fabrikam.com e o alias é ldap.fabrikam.com, ambos os nomes devem ser incluídos nos atributos de SAN. A cadeia de caracteres resultante do atributo é exibida da seguinte maneira:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Clique em Enviar.
  13. Se você vir o certificado emitido página da Web, clique eminstalar este certificado.

Como usar páginas de registro na web para enviar uma solicitação de certificado a uma autoridade de certificação autônoma

Para enviar uma solicitação de certificado que inclua uma SAN para uma autoridade de certificação autônoma, siga estas etapas:
  1. Abra o Internet Explorer.
  2. No Internet Explorer, conecte-se tohttp: / /nome_do_servidor/certsrv.

    Observação O espaço reservado nome_do_servidorrepresenta o nome do servidor web que está executando o Windows Server 2003 e que possui a autoridade de certificação que você deseja acessar.
  3. Clique em solicitar um certificado.
  4. Clique em avançadas certificaterequest.
  5. Clique em criar e enviar uma solicitação para thisCA.
  6. Fornece informações de identificação conforme necessário.
  7. Na caixa nome , digite o nome de qualifieddomain totalmente do controlador de domínio.
  8. Na lista Tipo de certificado necessário servidor, clique em Certificado de autenticação de servidor.
  9. Em Opções de chave, defina o followingoptions:
    • Criar um novo conjunto de chaves
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • Uso de chave: Exchange
    • Tamanho da chave: 1024-16384
    • Nome de recipiente de chave automático
    • Armazenar certificado no armazenamento de certificados do computador local
  10. Em Opções avançadas, defina o requestformat como CMC.
  11. Na caixa de atributos , digite os atributos desiredSAN. Atributos de SAN assumem o formato a seguir:
    SAN: dns =DNS.Name[& dns =DNS.Name]
    Vários nomes DNS são separados por um e comercial (&). Por exemplo, se o nome do controlador de domínio é corpdc1.fabrikam.com e o alias é ldap.fabrikam.com, ambos os nomes devem ser incluídos nos atributos de SAN. A cadeia de caracteres resultante do atributo é exibida da seguinte maneira:
    SAN:DNS=CORPDC1.Fabrikam.com&DNS=LDAP.Fabrikam.com
  12. Clique em enviar.
  13. Se a autoridade de certificação não está configurada para emitir certificatesautomatically, uma página da Web Certificado pendenteé exibida e solicita que você espere por um administrador emita o certificado solicitado.

    Para recuperar um certificado que hasissued um administrador, conectar-se a http://nome_do_servidor/ certsrv, e clique em Verificar um certificado pendente. Clique o requestedcertificate e, em seguida, clique em Avançar.

    Se certificatewas emitidos, a página da WebCertificado emitidoserá exibido. Clique eminstalar este certificado para instalar o certificado.

Como usar o utilitário Certreq.exe para criar e enviar uma solicitação de certificado que inclua uma SAN

Para usar o utilitário Certreq.exe para criar e enviar uma solicitação de certificado, execute as seguintes etapas:
  1. Crie um arquivo. inf que especifica as configurações para a solicitação de certificado. Para criar um arquivo. inf, você pode usar o código de exemplo na seção "Criando um arquivo de RequestPolicy.inf" do seguinte artigo da Microsoft TechNet:
    Como solicitar um certificado com um nome alternativo de assunto personalizado (http://technet.microsoft.com/en-us/library/ff625722(v=WS.10).aspx)
    SANs podem ser incluídos na seção [Extensions]. Para obter exemplos, consulte o arquivo. inf de exemplo.
  2. Salve o arquivo como Request.
  3. Abra um prompt de comando.
  4. No prompt de comando, digite o seguinte comando e thenpress ENTER:
    certreq-new request certnew.req
    Esse comando usa as informações de Request arquivo para criar uma solicitação no formato especificado pelo valor de RequestType no arquivo. inf. Quando a solicitação for criada, isautomatically o par de chaves pública e privada gerado e, em seguida, coloca em um objeto de solicitação na loja enrollmentrequests no computador local.
  5. No prompt de comando, digite o seguinte comando e thenpress ENTER:
    CertReq-enviar Certnew. cer certnew.req
    Este comando envia a solicitação de certificado à autoridade de certificação. Se thereis mais de uma autoridade de certificação no ambiente, a opção - config pode ser usado na linha de comando para direcionar a solicitação para a autoridade de certificação específico. Se você não usar a opção - config, você precisará selecionar a autoridade de certificação para o qual a solicitação deve ser enviada.

    A opção - config usa o seguinte formato para se referir a uma autoridade de certificação específica:
    nome_do_computador\Nome da autoridade de certificação
    Por exemplo, suponha que o nome da autoridade de certificação for corporativa diretiva CA1 andthat o nome de domínio é corpca1.fabrikam.com. Para usar o comando certreq juntamente com o tospecify do switch –config esta autoridade de certificação, digite o seguinte comando:
    CertReq-enviar Certnew. cer de certnew.req de corpca1.fabrikam.com\Corporate"- config diretiva CA1"
    Se a autoridade de certificação for uma autoridade de certificação corporativa e se o usuário que envia a solicitação de certificado possui permissões de leitura e registro para o modelo, o therequest é enviada. O certificado emitido é salvo no arquivo Certnew. cer.Se a autoridade de certificação for uma autoridade de certificação autônoma, a solicitação de certificado será em um pendingstate, até que seja aprovada pelo administrador da autoridade de certificação. A saída a partir do certreq-enviarcomando contém o número de identificação da solicitação da solicitação enviada. Assim que o certificado for aprovado, ele pode ser recuperado usando o número de identificação de solicitação.
  6. Use o número de identificação de solicitação para recuperar o certificado. Fazer isso, digite o seguinte comando e pressione ENTER:
    CertReq-recuperar Identificação da solicitação Certnew. cer
    Você também pode usar a opção - config aqui para recuperar a solicitação de certificado de um specificCA. Se não for usada a opção - config , for solicitado para selecionar a autoridade de certificação em whichto recuperar o certificado.
  7. No prompt de comando, digite o seguinte comando e thenpress ENTER:
    CertReq-accept Certnew. cer
    Depois de recuperar o certificado, você deve instalá-lo. Thiscommand importa o certificado para o armazenamento apropriado e, em seguida, vincula o certificado para a chave particular que é criada na etapa 4.

Como enviar uma solicitação de certificado a uma autoridade de certificação de terceiros

Se você deseja enviar uma solicitação de certificado a uma autoridade de certificação de terceiros, primeiro use a ferramenta Certreq.exe para criar o arquivo de solicitação de certificado. Em seguida, você pode enviar a solicitação para a autoridade de certificação de terceiros usando qualquer método é apropriado para esse fornecedor. O terceiro deve ser capaz de processar solicitações de certificado no formato CMC.

Observação A maioria dos fornecedores consulte a solicitação de certificado como uma solicitação de assinatura de certificado (CSR).

Referências

Para obter mais informações sobre como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
321051  (http://support.microsoft.com/kb/321051/ ) Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

Para obter mais informações sobre como solicitar um certificado que tem um nome alternativo de assunto personalizado, consulte o seguinte site da Microsoft TechNet:
Como solicitar um certificado com um nome alternativo de assunto personalizado (http://technet.microsoft.com/en-us/library/ff625722(WS.10).aspx)
Para obter mais informações sobre como usar tarefas de certutil para gerenciar uma autoridade de certificação (CA), vá para o seguinte site da MicrosoftDeveloper Network (MSDN):
Tarefas de Certutil para gerenciar uma autoridade de certificação (CA) (http://msdn.microsoft.com/en-us/library/cc772751.aspx)

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbexpertiseadvanced kbhowto kbmt KB931351 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 931351  (http://support.microsoft.com/kb/931351/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store