Seguridad de ca de terceros
Soporte técnico
* Actualmente, Microsoft admite el uso de certificados de controlador de dominio de otros fabricantes con inicio de sesión con tarjeta inteligente sólo.
* Actualmente, Microsoft no admite el uso decertificados de CA de terceros para admitir la replicación SMTP entre los controladores de dominio.
* CA de terceros no admiten la inscripción automática y renovación de certificados de equipo o controlador de dominio.
Requisitos
* Manualmente, puede emitir un certificado a un controlador de dominio. El certificado del controlador de dominio debe cumplir los siguientes requisitos de formatoespecífico:
* El certificado debe tener una extensión de punto de distribución de CRL que señala a una lista de revocación de certificado válido (CRL).
* Opcionalmente, el certificado de la sección de asunto debe contener la ruta de directorio del objeto de servidor (el nombre completo), por ejemplo:
CN=Server1.northwindtraders.com OU = controladores de dominio DC = northwwindtraders DC =com
* Debe contener el sección uso de claves de certificado:
Firma digital, cifrado de clave
* Opcionalmente, debe contener el certificado de la sección de restricciones básicas:
[Tipo de asunto = entidad final, restricción de longitud de ruta = ninguna]
* El certificado uso mejorado de claves sección debe contener:
* Autenticación de cliente(1.3.6.1.5.5.7.3.2)
* Autenticación del servidor (1.3.6.1.5.5.7.3.1)
* El sección de nombre alternativo del sujeto de certificado debe contener el identificador único global (GUID) del objeto de controlador de dominio en el directorio y el nombre Sistema de nombres de dominio (DNS), por ejemplo:
Otro nombre: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c 4c bc b0 6a d9 65 DNSName=server1.northwindtraders.com
* La plantilla de certificado debe tener una extensión con el valor de datos BMP "DomainController".
Nota El comando dsstore.exe - dcmon no reconoce el certificado sin una de estas extensiones.
* Debe utilizar el proveedor de servicios criptográficos (CSP) de Schannel para generar la clave.
* El certificado del controlador de dominio debe instalarse en elalmacén de certificados del equipo local.
* Certificado de ejemplo
* X509 Certificate:
* Version: 3
* Serial Number: 61497f5e000000000006
* Signature Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
* Algorithm Parameters:
* 0500 ..
* Issuer:
* CN=TestCA
* DC=northwindtraders
* DC=com
*
* NotBefore: 2/12/2001 3:57 PM
* NotAfter: 7/10/2001 10:24 AM
*
* Subject:
*CN=TEST-DC1
* OU=Domain Controllers
* DC=northwindtraders
* DC=com
*
* Public Key Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
* Algorithm Parameters:
* 05 00..
* Public Key Length: 1024 bits
* Public Key: UnusedBits = 0
* 0000 30 81 89 02 81 81 00 b1 c8 84 ce ea 5c da 96 23
* 0010 4b d5 07 d7 27 f3 76 1f d3 0f 23 3f 8b fa 8b 68
* 0020 34 09 47 4a f5 33 41 77 86 d2 d3 a7 34 19 5c 49
* 0030 43 bf 5a 3c 25...
Regístrate para leer el documento completo.