Seguridad de ca de terceros
Páginas: 5 (1214 palabras)
Publicado: 25 de junio de 2010
En este artículo describe los requisitos que debe cumplir para emitir un certificado de controlador de dominio de una entidad emisora de certificados de terceros (CA).
Soporte técnico
* Actualmente, Microsoft admite el uso de certificados de controlador de dominio de otros fabricantes con inicio de sesión con tarjeta inteligente sólo.
* Actualmente, Microsoft no admite el uso decertificados de CA de terceros para admitir la replicación SMTP entre los controladores de dominio.
* CA de terceros no admiten la inscripción automática y renovación de certificados de equipo o controlador de dominio.
Requisitos
* Manualmente, puede emitir un certificado a un controlador de dominio. El certificado del controlador de dominio debe cumplir los siguientes requisitos de formatoespecífico:
* El certificado debe tener una extensión de punto de distribución de CRL que señala a una lista de revocación de certificado válido (CRL).
* Opcionalmente, el certificado de la sección de asunto debe contener la ruta de directorio del objeto de servidor (el nombre completo), por ejemplo:
CN=Server1.northwindtraders.com OU = controladores de dominio DC = northwwindtraders DC =com
* Debe contener el sección uso de claves de certificado:
Firma digital, cifrado de clave
* Opcionalmente, debe contener el certificado de la sección de restricciones básicas:
[Tipo de asunto = entidad final, restricción de longitud de ruta = ninguna]
* El certificado uso mejorado de claves sección debe contener:
* Autenticación de cliente(1.3.6.1.5.5.7.3.2)
* Autenticación del servidor (1.3.6.1.5.5.7.3.1)
* El sección de nombre alternativo del sujeto de certificado debe contener el identificador único global (GUID) del objeto de controlador de dominio en el directorio y el nombre Sistema de nombres de dominio (DNS), por ejemplo:
Otro nombre: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c 4c bc b0 6a d9 65 DNSName=server1.northwindtraders.com
* La plantilla de certificado debe tener una extensión con el valor de datos BMP "DomainController".
Nota El comando dsstore.exe - dcmon no reconoce el certificado sin una de estas extensiones.
* Debe utilizar el proveedor de servicios criptográficos (CSP) de Schannel para generar la clave.
* El certificado del controlador de dominio debe instalarse en elalmacén de certificados del equipo local.
* Certificado de ejemplo
* X509 Certificate:
* Version: 3
* Serial Number: 61497f5e000000000006
* Signature Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
* Algorithm Parameters:
* 0500 ..
* Issuer:
* CN=TestCA
* DC=northwindtraders
* DC=com
*
* NotBefore: 2/12/2001 3:57 PM
* NotAfter: 7/10/2001 10:24 AM
*
* Subject:
*CN=TEST-DC1
* OU=Domain Controllers
* DC=northwindtraders
* DC=com
*
* Public Key Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
* Algorithm Parameters:
* 05 00..
* Public Key Length: 1024 bits
* Public Key: UnusedBits = 0
* 0000 30 81 89 02 81 81 00 b1 c8 84 ce ea 5c da 96 23
* 0010 4b d5 07 d7 27 f3 76 1f d3 0f 23 3f 8b fa 8b 68
* 0020 34 09 47 4a f5 33 41 77 86 d2 d3 a7 34 19 5c 49
* 0030 43 bf 5a 3c 25...
Soporte técnico
* Actualmente, Microsoft admite el uso de certificados de controlador de dominio de otros fabricantes con inicio de sesión con tarjeta inteligente sólo.
* Actualmente, Microsoft no admite el uso decertificados de CA de terceros para admitir la replicación SMTP entre los controladores de dominio.
* CA de terceros no admiten la inscripción automática y renovación de certificados de equipo o controlador de dominio.
Requisitos
* Manualmente, puede emitir un certificado a un controlador de dominio. El certificado del controlador de dominio debe cumplir los siguientes requisitos de formatoespecífico:
* El certificado debe tener una extensión de punto de distribución de CRL que señala a una lista de revocación de certificado válido (CRL).
* Opcionalmente, el certificado de la sección de asunto debe contener la ruta de directorio del objeto de servidor (el nombre completo), por ejemplo:
CN=Server1.northwindtraders.com OU = controladores de dominio DC = northwwindtraders DC =com
* Debe contener el sección uso de claves de certificado:
Firma digital, cifrado de clave
* Opcionalmente, debe contener el certificado de la sección de restricciones básicas:
[Tipo de asunto = entidad final, restricción de longitud de ruta = ninguna]
* El certificado uso mejorado de claves sección debe contener:
* Autenticación de cliente(1.3.6.1.5.5.7.3.2)
* Autenticación del servidor (1.3.6.1.5.5.7.3.1)
* El sección de nombre alternativo del sujeto de certificado debe contener el identificador único global (GUID) del objeto de controlador de dominio en el directorio y el nombre Sistema de nombres de dominio (DNS), por ejemplo:
Otro nombre: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c 4c bc b0 6a d9 65 DNSName=server1.northwindtraders.com
* La plantilla de certificado debe tener una extensión con el valor de datos BMP "DomainController".
Nota El comando dsstore.exe - dcmon no reconoce el certificado sin una de estas extensiones.
* Debe utilizar el proveedor de servicios criptográficos (CSP) de Schannel para generar la clave.
* El certificado del controlador de dominio debe instalarse en elalmacén de certificados del equipo local.
* Certificado de ejemplo
* X509 Certificate:
* Version: 3
* Serial Number: 61497f5e000000000006
* Signature Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.5 sha1RSA
* Algorithm Parameters:
* 0500 ..
* Issuer:
* CN=TestCA
* DC=northwindtraders
* DC=com
*
* NotBefore: 2/12/2001 3:57 PM
* NotAfter: 7/10/2001 10:24 AM
*
* Subject:
*CN=TEST-DC1
* OU=Domain Controllers
* DC=northwindtraders
* DC=com
*
* Public Key Algorithm:
* Algorithm ObjectId: 1.2.840.113549.1.1.1 RSA
* Algorithm Parameters:
* 05 00..
* Public Key Length: 1024 bits
* Public Key: UnusedBits = 0
* 0000 30 81 89 02 81 81 00 b1 c8 84 ce ea 5c da 96 23
* 0010 4b d5 07 d7 27 f3 76 1f d3 0f 23 3f 8b fa 8b 68
* 0020 34 09 47 4a f5 33 41 77 86 d2 d3 a7 34 19 5c 49
* 0030 43 bf 5a 3c 25...
Leer documento completo
Regístrate para leer el documento completo.