كيفية تمكين LDAP عبر SSL مع مرجع مصدق من جهة خارجية

ترجمات الموضوعات ترجمات الموضوعات
معرف المقالة: 321051 - عرض المنتجات التي تنطبق عليها هذه المقالة.
توسيع الكل | طي الكل

في هذه الصفحة

الموجز

يتم استخدام بروتوكول الوصول الخفيف لتغيير بيانات الدليل (LDAP) إلى القراءة من والكتابة إلى "Active Directory". بشكل افتراضي، يتم نقل بيانات LDAP نقل غير آمنة. يمكنك جعل LDAP حركة المرور سرية وآمنة من قبل استخدام طبقة مأخذ التوصيل الآمنة (SSL)/أمان طبقة النقل (TLS) تقنية. يمكنك تمكين LDAP عبر SSL (LDAPS) عن طريق تثبيت منسق بشكل صحيح الشهادة أما من مرجع مصدق (CA) Microsoft أو غير-Microsoft CA وفقا للإرشادات الواردة في هذه المقالة.

معلومات أخرى

لا يوجد أي واجهة مستخدم لتكوين LDAPS. تثبيت شهادة صحيحة على وحدة تحكم مجال يسمح خدمة LDAP للاستماع وتلقائياً قبول اتصالات SSL لكلا LDAP و نقل بيانات النشرة المصورة العمومية.

متطلبات الحصول على شهادة LDAPS

لتمكين LDAPS، يجب تثبيت شهادة جهاز يفي المتطلبات التالية:
  • الشهادة LDAPS الموجود في "الكمبيوتر المحلي" مخزن الشهادات الشخصي (برمجياً المعروف MY للكمبيوتر مخزن الشهادات).
  • مفتاح خاص الذي يطابق الشهادة موجود في تخزين للكمبيوتر المحلي ويرتبط بشكل صحيح باستخدام الشهادة. يجب أن المفتاح الخاص لا يستطيعون حماية المفتاح الخاص الشديدة ممكن.
  • يتضمن ملحق "الاستخدام المحسن لمفتاح" الخادم المصادقة (1.3.6.1.5.5.7.3.1) معرف الكائن (يعرف أيضا OID).
  • خدمة active Directory اسم مجال مؤهل بشكل كامل وحدة تحكم المجال (على سبيل المثال، DC01.يجب أن تظهر DOMAIN.COM) في أحد الأماكن التالية:
    • العامة اسم (CN) في الحقل "الموضوع".
    • إدخال DNS في "اسم الموضوع البديل" ملحق.
  • تم إصدار الشهادة من قبل مرجع مصدق التي المجال وحدة التحكم والعملاء LDAPS الثقة. يتم تأسيس الثقة عن طريق تكوين العملاء والخادم للثقة بالمرجع المصدق الجذر الذي سلاسل المرجع المصدق المصدر.
  • يجب استخدام موفر خدمة التشفير (CSP) Schannel لإنشاء المفتاح.
لمزيد من المعلومات حول تأسيس الثقة للشهادات، راجع الموضوع "نهج تأسيس ثقة جذر المراجع المصدقة" في تعليمات Windows 2000 Server.

إنشاء طلب الشهادة

يمكن استخدام أي أداة مساعدة أو التطبيق الذي يقوم بإنشاء طلب PKCS # 10 صحيحة لتكوين طلب شهادة SSL. استخدام طلب الشهادة لنموذج الطلب.

ملاحظة تعتمد الأوامر التي يتم استخدامها في هذه المقالة على الإصدار 2003 من طلب الشهادة. لاستخدام الخطوات المذكورة في هذه المقالة على ملقم Windows 2000، نسخ certreq.exe و certcli.dll من ملقم Windows 2003 في دليل مؤقت على ملقم Windows 2000.

يتطلب Certreq.exe ملف تعليمة نص لإنشاء طلب شهادة X.509 مناسبة لوحدة تحكم مجال. يمكنك إنشاء هذا الملف باستخدام محرر نص ASCII المفضل. حفظ الملف inf. الملف إلى أي مجلد على محرك القرص الثابت.

لطلب ملقم شهادة مصادقة يناسب LDAPS، اتبع الخطوات التالية:
  1. إنشاء ملف inf. التالي هو.inf المثال الملفات التي يمكن استخدامها لإنشاء طلب الشهادة.
    ؛---request.inf--

    [Version]

    توقيع = "$ $Windows NT

    [نيوريكويست]

    الموضوع = "CN =<DC fqdn="">"; استبدل FQDN وحدة تحكم المجال DC
    KeySpec = 1
    كييلينجث = 1024
    ; يمكن أن يكون 1024, 2048 4096, 8192 أو 16384.
    ; أحجام المفاتيح الأكبر تكون أكثر أماناً، ولكن قد
    ; تأثير أكبر على الأداء.
    قابل للتصدير = TRUE
    ماتشينيكيسيت = TRUE
    SMIME = خطأ
    بريفاتيكييارتشيفي = FALSE
    أوسيربروتيكتيد = FALSE
    أوسيكسيستينجكيسيت = FALSE
    اسم الموفر = "موفر SChannel التشفير على Microsoft RSA"
    نوع الموفر = 12
    ريكويستيبي = PKCS10
    كييوساجي = 0xa0

    [انهانسيدكييوساجيكستينسيون]

    OID=1.3.6.1.5.5.7.3.1 ; وهذا "مصادقة الملقم"

    ;-----------------------------------------------</DC>
    قص ولصق ملف النموذج في ملف نصي جديد يسمى Request.inf. توفير اسم DNS مؤهل بشكل كامل لوحدة تحكم المجال في طلب.

    ملاحظة بعض الشهادات الخارجية قد تتطلب المصادر معلومات إضافية في المعلمة الموضوع. مثل هذه تتضمن معلومات عنوان بريد إلكتروني (E)، الوحدة التنظيمية (OU)، المؤسسة (O) المجتمع المحلي أو المدينة (L)، حالة أو المقاطعة (S) والبلد أو المنطقة (C). يمكنك إلحاق هذه المعلومات إلى اسم الموضوع (CN) في الملف Request.inf. على سبيل المثال: Subject="E=admin@contoso.com، CN =<DC fqdn="">، OU = ملقمات، O = Contoso، L القاهرة، S = = واشنطن، C = الولايات المتحدة." </DC>
  2. إنشاء ملف الطلب. للقيام بذلك، اكتب ما يلي الأمر في موجه الأوامر، واضغط مفتاح الإدخال ENTER:
    طلب شهادة-request.req request.inf جديد
    يتم إنشاء ملف جديد يسمى Request.req. هذا ملف ذو ترميز base64 الطلب.
  3. إرسال الطلب إلى مرجع مصدق. يمكنك إرسال الطلب المرجع المصدق Microsoft أو إلى مرجع مصدق من جهة خارجية.
  4. الحصول على الشهادة التي تم إصدارها، ثم قم بحفظ الشهادة ك Certnew.cer في نفس المجلد مثل ملف الطلب. للقيام بذلك، اتبع الخطوات التالية:
    1. إنشاء ملف جديد يسمى Certnew.cer.
    2. فتح الملف في "المفكرة"، لصق الشهادة المرمز في الملف، ثم احفظ الملف.
    ملاحظة يجب ترميز base64 شهادة محفوظة. بعض الجهات الخارجية CAs بإرجاع شهادة تم إصدارها إلى الطالب كنص ترميز base64 في رسالة البريد الإلكتروني.
  5. قبول الشهادة التي تم إصدارها. للقيام بذلك، اكتب الأمر في موجه الأوامر التالي، واضغط على ENTER:
    طلب شهادة-قبول certnew.cer
  6. تحقق من أن الشهادة مثبت في الكمبيوتر المخزن الشخصي. للقيام بذلك، اتبع الخطوات التالية:
    1. بدء تشغيل وحدة التحكم بالإدارة ل Microsoft (MMC).
    2. إضافة الأداة الإضافية الشهادات التي تدير الشهادات على الكمبيوتر المحلي.
    3. قم بتوسيع الشهادات (الكمبيوتر المحلي), قم بتوسيع الشخصية، ثم قم بتوسيع الشهادات.
    يجب أن توجد شهادة جديدة في المخزن الشخصي. فيخصائص الشهادة مربع الحوار، والهدف المقصود يتم عرض مصادقة الملقم. يتم إصدار هذه الشهادة اسم مضيف مؤهل بشكل كامل للكمبيوتر.
  7. قم بإعادة تشغيل وحدة تحكم المجال.
لمزيد من المعلومات حول إنشاء طلب الشهادة، راجع المستند التقني انتساب الشهادة المتقدم وإدارة التالية. لعرض هذا المستند، قم بزيارة موقع Microsoft التالي على الويب:
http://technet.microsoft.com/en-us/library/cc782583.aspx

التحقق من اتصال LDAPS

بعد تثبيت شهادة، اتبع هذه الخطوات للتحقق أنه تم تمكين LDAPS:
  1. بدء تشغيل أداة إدارة خدمة active Directory (Ldp.exe).

    ملاحظة يتم تثبيت هذا البرنامج في دعم Windows 2000 أدوات.
  2. على اتصال القائمة، انقر فوقالاتصال.
  3. اكتب اسم لوحدة تحكم المجال التي تريد الاتصال.
  4. نوع 636 كمنفذ رقم.
  5. انقر فوق موافق.

    معلومات RootDSE يجب طباعة في الجزء الأيسر، يشير إلى اتصال ناجح.

المشاكل المحتملة

  • بدء TLS الموسعة الطلب
    يحدث LDAPS الاتصال عبر منفذ TCP 636. LDAPS يحدث الاتصال بملقم نشرة مصورة عمومية عبر TCP 3269. عند الاتصال لمنافذ 636 أو 3269، يتم التفاوض SSL/TLS قبل أي حركة مرور LDAP تبادل. لا يعتمد Windows 2000 بدء TLS الموسعة-الطلب وظائف.
  • عدة شهادات SSL
    يحدد Schannel، موفر Microsoft SSL، الأول الشهادة الصحيحة التي يعثر عليها في مخزن الكمبيوتر المحلي. إذا كان هناك قد Schannel عدة شهادات صالحة المتوفرة في مخزن الكمبيوتر المحلي، لا حدد الشهادة الصحيحة.
  • شهادة SSL قبل حزمة الخدمة SP3 التخزين المؤقت المشكلة
    إذا لم يتم استبدال شهادة LDAPS موجودة بآخر الشهادة، أما من خلال عملية تجديد أو لأن المرجع المصدق المصدر تغيير الخادم يجب إعادة تشغيل Schannel لاستخدام الشهادة الجديدة. موفر SSL في نظام التشغيل Windows 2000 وتخزين الشهادة LDAPS ولا الكشف عن التغيير حتى يتم إعادة تشغيل وحدة تحكم المجال. لقد كانت تصحيح في Service Pack 3 لنظام التشغيل Windows 2000.

تحسينات Windows Server 2008

تم التوصية الأصلية في هذه المقالة لوضع الشهادات في المخزن الشخصي "الجهاز المحلي". على الرغم من أنه يتم اعتماد هذا الخيار، يمكنك أيضا وضع الشهادات في مخزن الشهادات الشخصي للخدمة NTDS على Windows Server 2008 والإصدارات الأحدث من "خدمات مجال خدمة active Directory" (AD DS). لمزيد من المعلومات حول كيفية إضافة الشهادة إلى مخزن الشهادات الشخصي للخدمة NTDS، قم بزيارة موقع Microsoft TechNet على ويب التالي:
.aspx http://technet.microsoft.com/en-us/library/dd941846 (WS.10)
يبحث AD DS تفضيلية عن الشهادات الموجودة في هذا المخزن عبر مخزن "الجهاز المحلي". هذا يسهل لتكوين AD DS لاستخدام الشهادة التي تريد أن يستخدمها. وهذا لأنه قد يكون هناك العديد من الشهادات في المخزن "الشخصي الأجهزة المحلية"، وقد يكون من الصعب التنبؤ بتحديد أي منها.

يكشف AD DS عندما يتم إسقاط في مخزن الشهادات الخاص به بشهادة جديدة وثم يقوم بتشغيل تحديث شهادة SSL دون الحاجة إلى إعادة تشغيل AD DS أو إعادة تشغيل وحدة تحكم المجال.

يمكن استخدام عملية rootDse جديد يسمى رينيوسيرفيرسيرتيفيكاتي لتشغيل AD DS لتحديث شهادات SSL الخاصة به دون الحاجة إلى إعادة تشغيل AD DS أو إعادة تشغيل وحدة تحكم المجال يدوياً. يمكن تحديث هذه السمة باستخدام adsiedit.msc، أو عن طريق استيراد التغيير في "تنسيق تبادل دليل LDAP" (LDIF) باستخدام ldifde.exe. للحصول على مزيد من المعلومات حول استخدام LDIF لتحديث هذه السمة، قم بزيارة موقع Microsoft MSDN على ويب التالي:
.aspx http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10)
وأخيراً، إذا عثر Windows Server 2008 أو وحدة تحكم مجال إصدار لاحق العديد من الشهادات في مخزن به، فإنه تلقائياً بتحديد الشهادة الخاصة به تاريخ انتهاء الصلاحية أبعد في المستقبل. إذا شهادتك الحالية اقتراب تاريخ انتهاء الصلاحية، يمكنك إسقاط الشهادة الاستبدال في المخزن، ثم AD DS تلقائياً بالتبديل إلى استخدامه.

كل هذه العمل على Windows Server 2008 AD DS و 2008 الخفيف خدمات الدليل Active Directory (AD LDS). للحصول على AD LDS، وضع الشهادات في مخزن الشهادات الشخصي للخدمة الذي يتوافق مع مثيل AD LDS بدلاً من خدمة NTDS.

الخصائص

معرف المقالة: 321051 - تاريخ آخر مراجعة: 28/رجب/1434 - مراجعة: 21.0
تنطبق على
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
كلمات أساسية: 
kbproductlink kbinfo kbmt KB321051 KbMtar
ترجمة آلية
هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.
اضغط هنا لرابط المقالة باللغة الانجليزية321051

إرسال ملاحظات

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com