來自協力廠商 CA 的網域控制站憑證需求
本文說明從協力廠商憑證授權單位單位 (CA) 中發出網域控制站憑證時,所需滿足的需求。
原始產品版本: Windows Server 2012 R2
原始 KB 編號: 291010
摘要
如需來自協力廠商 CA 的 Windows Server 2008 R2 網域控制站憑證需求的詳細資訊,請參閱 來自協力廠商 ca 的 Windows server 2008 r2 網域控制站憑證的更新需求。
支援
- 目前,Microsoft 只支援使用具有智慧卡登入的協力廠商網域控制站憑證。
- 目前,Microsoft 不支援從協力廠商 Ca 使用憑證,以支援 SMTP (簡易郵件傳送通訊協定) 網域控制站之間的複寫。
- 協力廠商的 CAs 不支援自動註冊和更新網域控制站或電腦憑證。
需求
- 您可以手動向網域控制站簽發憑證。 網域控制站的憑證必須符合下列特定格式需求:
憑證必須具有指向有效憑證吊銷清單 (CRL) 的 CRL 發佈點分機號碼。
(選用) [憑證主旨] 區段應包含伺服器物件的目錄路徑 (辨別名稱) ,例如:
CN = server1。 northwindtraders OU = 網域控制站 DC = northwwindtraders DC=com[憑證金鑰使用量] 區段必須包含:
數位簽章、金鑰解碼(選用) [憑證基本限制] 區段應包含:
[Subject Type = End Entity,Path Length Constraint = None][憑證增強型金鑰使用量] 區段必須包含:
- 1.3.6.1.5.5.7.3.2) 的用戶端驗證 (
- 伺服器驗證 (1.3.6.1.5.5.7.3.1)
[憑證主體替代名稱] 區段必須包含網域名稱系統 (DNS) 名稱。 如果使用 SMTP 複寫,憑證主體替代名稱區段必須也包含目錄中的網域控制站物件的全域唯一識別碼 (GUID) 。 例如:
其他名稱: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 5d 5d {4f a9 9c 4c bc b0 6a 65 d9 DNS 名稱 = server1. .com憑證範本的副檔名必須具有基本的 metabolic 面板 (BMP) 資料值 DomainController。
注意
dsstore.exe-dcmon 命令無法辨識沒有其中一個分機的憑證。
您必須使用 Schannel 加密服務提供者 (CSP) 以產生金鑰。
- 網域控制站憑證必須安裝在本機電腦的憑證存放區中。
範例憑證
X509 Certificate:
Version: 3
Serial Number: 61497f5e000000000006
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
Algorithm Parameters:
05 00 ..
Issuer:
CN=TestCA
DC=northwindtraders
DC=com
NotBefore: 2/12/2001 3:57 PM
NotAfter: 7/10/2001 10:24 AM
Subject:
CN=TEST-DC1
OU=Domain Controllers
DC=northwindtraders
DC=com
Public Key Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
Algorithm Parameters:
05 00 ..
Public Key Length: 1024 bits
Public Key: UnusedBits = 0
0000 30 81 89 02 81 81 00 b1 c8 84 ce ea 5c da 96 23
0010 4b d5 07 d7 27 f3 76 1f d3 0f 23 3f 8b fa 8b 68
0020 34 09 47 4a f5 33 41 77 86 d2 d3 a7 34 19 5c 49
0030 43 bf 5a 3c 25 a3 77 69 54 ad 84 af 20 b2 c2 f6
0040 40 f7 82 7f b9 b0 db cb db 76 7c 13 54 8e 3b 5e
0050 9e 92 a2 42 8d 97 db 07 06 cc 5d 7a 95 9f 7f 8b
0060 c1 69 7b 0a 6a e7 8f fa 6b c4 60 23 d4 03 88 45
0070 83 61 2e b2 af a2 f9 69 e2 84 d9 95 01 c4 88 eb
0080 89 16 5a 4d a4 34 27 02 03 01 00 01
Certificate Extensions: 9
1.2.840.113549.1.9.15: Flags = 0, Length = 37
SMIME Capabilities
[1]SMIME Capability
Object ID=1.2.840.113549.3.2
Parameters=02 02 00 80
[2]SMIME Capability
Object ID=1.2.840.113549.3.4
Parameters=02 02 00 80
[3]SMIME Capability
Object ID=1.3.14.3.2.7
[4]SMIME Capability
Object ID=1.2.840.113549.3.7
2.5.29.15: Flags = 0, Length = 4
Key Usage
Digital Signature, Key Encipherment (a0)
2.5.29.37: Flags = 0, Length = 16
Enhanced Key Usage
Client Authentication (1.3.6.1.5.5.7.3.2)
Server Authentication (1.3.6.1.5.5.7.3.1)
1.3.6.1.4.1.311.20.2: Flags = 0, Length = 22
Certificate Template Name
DomainController
2.5.29.14: Flags = 0, Length = 16
Subject Key Identifier
a8 20 ce 65 63 3e cd a1 c8 77 97 44 fa 28 43 71 17 e3 6e 84
2.5.29.35: Flags = 0, Length = 18
Authority Key Identifier
KeyID=44 b8 25 f8 d9 53 c5 96 e1 8c 14 d5 e4 5e 33 3a fc 22 7b e7
2.5.29.31: Flags = 0, Length = f8
CRL Distribution Points
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://test-dc1.northwindtraders.com/CertEnroll/TestCA.crl
URL=ldap:///CN=TestCA,CN=test-dc1,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
1.3.6.1.5.5.7.1.1: Flags = 0, Length = 10a
Authority Information Access
[1]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=http://test-dc1.northwindtraders.com/CertEnroll/test-dc1.northwindtraders.com_TestCA.crt
[2]Authority Info Access
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=ldap:///CN=TestCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=northwindtraders,DC=com?cACertificate?base?objectClass=certificationAuthority
2.5.29.17: Flags = 0, Length = 3d
Subject Alternative Name
Other Name:
1.3.6.1.4.1.311.25.1=04 10 96 8e ea d7 ee ba bc 42 81 db 4f 92 f5 88 db 4a
DNS Name=test-dc1.northwindtraders.com
Signature Algorithm:
Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
Algorithm Parameters:
05 00
如何決定網域控制站 GUID
開始 Ldp.exe,並找出網域命名內容。 按兩下您要查看的網域控制站名稱。 該物件的屬性清單會包含 "Object GUID" 後接一個長數位。 此數位是該物件的 GUID。
如需物件識別碼的詳細資訊,請參閱 PKI:物件識別碼s 與 Microsoft 密碼編譯相關聯。