Povolení protokolu LDAP přes SSL pomocí jiného certifikačního úřadu

Překlady článku Překlady článku
ID článku: 321051 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Lightweight Directory Access Protocol (LDAP) slouží k čtení a zápisu ke službě Active Directory. Ve výchozím přenesena nezabezpečenou přenosu pomocí protokolu LDAP. Je možné navázat přenos dat LDAP utajení a zabezpečení pomocí protokol SSL (Secure Sockets Layer) (SSL) a Transport Layer Security (TLS) technologie. Můžete povolit LDAP přes SSL (LDAPS) instalace správně formátovaný certifikátu z certifikačního úřadu (CÚ) Microsoft nebo jiných-Microsoft CÚ podle pokynů v tomto článku.

Další informace

Není k dispozici žádné uživatelské rozhraní pro konfiguraci LDAPS. Instalace platný certifikát řadiče domény umožňuje poslouchat a automaticky přijímat připojení SSL protokolu LDAP i provoz globálního katalogu služby LDAP.

Požadavky na certifikát LDAPS

Chcete-li povolit LDAPS, je třeba nainstalovat certifikát, který splňuje následující požadavky:
  • LDAPS certifikát se nachází v místním počítači osobního úložiště certifikátů (programově známé jako počítače společnosti tomto úložišti certifikátů).
  • Soukromý klíč, který odpovídá certifikátu se nachází v databázi v místním počítači a je správně přidružen k certifikátu. Musí soukromý klíč není mají silnou ochranu soukromého klíče povolena.
  • Rozšíření použití rozšířeného klíče obsahuje identifikátor objektu ověření serveru (1.3.6.1.5.5.7.3.1) (známé také jako OID).
  • Active Directory úplný doménový název řadiče domény (například DC01.DOMAIN.COM) musí zobrazí v jednom z následujících míst:
    • Běžný název (CN) v poli Předmět.
    • Položky DNS v alternativní název předmětu rozšíření.
  • Certifikát byl vydán certifikačním úřadem, který řadič domény a klienti LDAPS důvěřovat. Vztah důvěryhodnosti je zřízena konfigurace klientů a serveru důvěřovat kořenovým certifikačním úřadem na které řetězy vydávající certifikační úřad.
  • Poskytovatel metadat kryptografických Schannel (CSP) je nutné použít ke generování klíče.
Další informace o vytvoření vztahu důvěryhodnosti certifikátů naleznete v tématu "Zásady zajištění důvěryhodnosti kořenových certifikačních úřadů" v nápovědě k systému Windows 2000 Server.

Vytvoření žádosti o certifikát

Všechny nástroje nebo aplikace, která vytvoří platnou žádost PKCS č.10 lze formulář žádosti o certifikát SSL. Pomocí formuláře žádost Certreq.

Poznámka: Příkazy, které se používají v tomto článku se spoléhají na verzi 2003 Certreq. Chcete-li použít kroky v tomto článku v systému Windows 2000 server, zkopírujte certreq.exe a certcli.dll ze serveru Windows 2003 do dočasného adresáře na serveru se systémem Windows 2000.

Certreq.exe vyžaduje textový soubor pokyn ke generování patřičnou žádost certifikátu X.509 pro řadič domény. Tento soubor můžete vytvořit pomocí vašeho upřednostňovaný ASCII textového editoru. Uložte soubor jako soubor s příponou .inf) do libovolné složky na pevném disku.

Požádat o serveru ověřování certifikátu, který je vhodný pro LDAPS, postupujte takto:
  1. Vytvoření souboru INF. Následující je soubor INF příklad, který lze použít k vytvoření žádosti o certifikát.
    ;-----------------request.inf-----------------

    [Verze]

    Podpis = "$ Windows NT $

    [NewRequest]

    Předmět = "CN = < název řadiče DOMÉNY >"; nahraďte úplný název domény řadič domény
    KeySpec = 1
    KeyLength = 1024
    Může být 1024, 2048, 4096, 8192 nebo 16384.
    Větší velikosti klíče je bezpečnější, ale
    ; větší vliv na výkon.
    Exportovatelný = TRUE
    MachineKeySet = TRUE
    S/MIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    Název_zprostředkovatele = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    Vyjmutí a vložení ukázkový soubor do nového textového souboru s názvem Request.inf. Zadejte úplný název DNS řadiče domény v požadavku.

    Poznámka:Některé výrobců certifikační úřady mohou požadovat doplňující údaje v parametru předmět. Tyto informace zahrnují e-mailovou adresu (E), organizační jednotku (OJ), organizace (O), lokality nebo Město (L), stavu nebo provincie (S) a země nebo oblasti (C). Tyto informace můžete přidat předmět názvu (CN) v souboru Request.inf. Příklad: Subject="E=admin@contoso.com, CN = < DC název >, OU = servery, O = Contoso, L = Redmond, S Washington, C = = US."
  2. Vytvořte soubor požadavku. Chcete-li to provést, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
    certreq - nové request.req request.inf
    Je vytvořen nový soubor nazývaný Request.req. To je soubor žádost s kódováním base64.
  3. Podat žádost certifikačnímu úřadu. Je možné odeslat žádost certifikačnímu úřadu společnosti Microsoft nebo certifikačního úřadu jiného výrobce.
  4. Načtení certifikátu, který je vydal a uložte certifikát jako Certnew.cer ve stejné složce jako soubor požadavku. Chcete-li to provést, postupujte takto:
    1. Vytvořit nový soubor nazvaný Certnew.cer.
    2. Otevřete soubor v programu Poznámkový blok, vložte do souboru kódovaného certifikát a pak soubor uložte.
    Poznámka: Uložený certifikát musí být kódovány jako base64. Některé certifikační úřady třetích stran vrátit vystaveného certifikátu žadatele jako text s kódováním base64 v e-mailové zprávě.
  5. Vydaný certifikát přijmout. Chcete-li to provést, zadejte na příkazovém řádku následující příkaz a stiskněte klávesu ENTER:
    certreq - přijmout certnew.cer
  6. Ověřte, zda je certifikát nainstalován v osobním úložišti počítače. Chcete-li to provést, postupujte takto:
    1. Spusťte konzola Microsoft Management Console (MMC).
    2. Přidání modulu snap-in Certifikáty, sloužícího ke správě certifikátů v místním počítači.
    3. Rozbalte certifikáty (místní), rozbalte osobní a potom rozbalte certifikáty.
    Nový certifikát by existovat v osobním úložišti. V dialogovém okně Vlastnosti certifikátu je zobrazí zamýšlený účel Ověření serveru. Toto osvědčení se vydává hostitele úplný název počítače.
  7. Restartujte řadič domény.
Další informace o vytváření žádosti o certifikát naleznete v následujícím dokumentu white paper Advanced Certificate Enrollment and Management. Chcete-li zobrazit tento dokument white paper, na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/cc782583.aspx

Ověření připojení k LDAPS

Po instalaci certifikátu ověřit, zda je povoleno LDAPS pomocí následujícího postupu:
  1. Spuštění nástroje pro správu služby Active Directory (Ldp.exe).

    Poznámka: Uvedený program nainstalován v nástrojích podpory systému Windows 2000.
  2. V nabídce připojení klepněte na příkaz připojit.
  3. Zadejte název řadiče domény, ke kterému se chcete připojit.
  4. Zadejte 636 jako číslo portu.
  5. Klepněte na tlačítko OK.

    Informace RootDSE se má vytisknout v pravém podokně, označující úspěšného připojení.

Možné problémy

  • Rozšířený požadavek spustit TLS
    Komunikace LDAPS dojde prostřednictvím portu TCP 636. LDAPS přes TCP 3269 probíhá komunikace na server globálního katalogu. Při připojování k portům 636 nebo 3269, vyjednán protokol SSL/TLS před výměně veškerý přenos protokolu LDAP. Systém Windows 2000 nepodporuje funkce Rozšířená žádost Start TLS.
  • Certifikáty protokolu SSL více
    Schannel, zprostředkovatele Microsoft SSL, vybere první platný certifikát, který nalezne v úložišti místního počítače. Jestliže jsou k dispozici více platné certifikáty v úložišti místního počítače, Schannel nelze vybrat správný certifikát.
  • Certifikát SSL SP3 před ukládání do mezipaměti problém
    Pokud jiný certifikát, buď prostřednictvím procesu obnovení existujícího certifikátu LDAPS nahrazen, nebo protože byla změněna vystavujícího certifikačního úřadu, u Schannel používat nové osvědčení je nutné restartovat server. Zprostředkovatel SSL v systému Windows 2000 ukládá do mezipaměti certifikát LDAPS a nezjistí změny až po restartování řadiče domény. To byl opraven v aktualizaci Service Pack 3 pro systém Windows 2000.

Vylepšení systému Windows Server 2008

Původní doporučení v tomto článku byla certifikáty do osobního úložiště místní počítač. Ačkoli tato možnost je podporována, můžete také umístit certifikáty v úložišti osobních certifikátů NTDS služby v systému Windows Server 2008 a v novějších verzích služba Active Directory Domain Services (AD DS). Další informace o přidání certifikátu do úložiště osobních certifikátů služba NTDS na následujícím webu Microsoft TechNet:
http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx
AD DS certifikátů v tomto úložišti přednostně hledá přes úložiště místní počítač. To usnadňuje konfiguraci služby Active Directory používat osvědčení, že chcete použít. Důvodem je, že může být více certifikátů v úložišti místního počítače osobní a může být obtížné předpovědět, který je vybrán.

Nový certifikát je zrušen do svého úložiště certifikátů a potom spustí aktualizaci certifikátu SSL bez nutnosti restartování služby AD DS nebo restartujte řadič domény se služby Active Directory rozpozná.

Novou operaci rootDse s názvem reviewServerCertificate lze spustit ručně aktualizovat své certifikáty SSL bez nutnosti restartování služby AD DS nebo restartujte řadič domény služby Active Directory.

Nakonec Pokud systém Windows Server 2008 nebo řadič domény novější verze nalezne více certifikátů v úložišti, jej automaticky vybere certifikátu, jehož datum vypršení platnosti je nejvzdálenější v budoucnosti. Poté Pokud váš aktuální certifikát se blíží jeho platnosti, můžete přetáhnout náhradní osvědčení v úložišti a služby Active Directory automaticky přepne na jeho použití.

Všechny tyto pracovat pro systém Windows Server 2008 AD DS a pro služby 2008 Active Directory Lightweight Directory Services (AD LDS). AD LDS umístíte certifikáty do osobního úložiště certifikátů pro službu, která odpovídá na instanci služby AD LDS namísto služby NTDS.

Vlastnosti

ID článku: 321051 - Poslední aktualizace: 17. srpna 2009 - Revize: 20.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kbproductlink kbinfo KB321051 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:321051

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com