Cómo habilitar LDAP sobre SSL con una entidad de certificación de terceros

Seleccione idioma Seleccione idioma
Id. de artículo: 321051 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

El Protocolo ligero de acceso a directorios (LDAP) se utiliza para leer de Active Directory y escribir en él. De forma predeterminada, el tráfico de LDAP se transmite de manera no segura. Puede hacer que el tráfico de LDAP sea confidencial y seguro utilizando la tecnología Capa de sockets seguros (SSL)/Seguridad de la capa de transporte (TLS). Puede habilitar LDAP sobre SSL (LDAPS) si instala un certificado con un formato correcto de una entidad emisora de certificados (CA) de Microsoft o que no sea de Microsoft según las directrices de este artículo.

Más información

No hay ninguna interfaz de usuario para configurar LDAP. La instalación de un certificado válido en un controlador de dominio permite al servicio LDAP escuchar y aceptar automáticamente conexiones SSL tanto para tráfico LDAP como para tráfico de catálogo global.

Requisitos para un certificado LDAPS

Para habilitar LDAPS debe instalar un certificado que cumpla los requisitos siguientes:
  • El certificado LDAPS se encuentra en el almacén de certificados personales del equipo local (en programación se conoce como el almacén de certificados MY del equipo).
  • En el almacén del equipo local hay una clave privada que coincide con el certificado y está asociada correctamente al certificado. La clave privada no debe tener habilitada la protección con clave privada segura.
  • La extensión Uso mejorado de clave incluye el identificador de objeto de Autenticación del servidor, también conocido como OID (1.3.6.1.5.5.7.3.1).
  • El nombre de dominio completo de Active Directory del controlador de dominio (por ejemplo, DC01.DOMAIN.COM) debe aparecer en uno de los lugares siguientes:
    • El Nombre común (CN) en el campo Asunto.
    • Entrada de DNS en la extensión de Nombre alternativo del sujeto.
  • El certificado fue emitido por una CA en la que confían el controlador de dominio y el cliente de LDAPS. La confianza se establece configurando los clientes y el servidor para que confíen en la CA raíz a la que se encadena la CA emisora.
  • Debe utilizar el proveedor de servicios de cifrado (CSP) Schannel para generar la clave.
Para obtener más información acerca de cómo establecer la confianza para los certificados, vea el tema "Directivas para establecer confianza de entidades emisoras de certificados raíz" en la Ayuda de Windows 2000 Server.

Creación de la petición de certificado

Cualquier utilidad o aplicación que cree una petición PKCS #10 válida puede utilizarse para formular la petición del certificado SSL. Utilice Certreq para crear la petición.

Nota: los comandos que se utilizan en este artículo emplean la versión 2003 de Certreq. Para utilizar los pasos descritos en este artículo en un servidor de Windows 2000, copie certreq.exe y certcli.dll de un servidor de Windows 2003 a un directorio temporal del servidor de Windows 2000.

Certreq.exe requiere un archivo de instrucciones de texto que genere una petición de certificado X.509 adecuada para un controlador de dominio. Puede crear este archivo utilizando su editor de texto ASCII preferido. Guarde el archivo como un archivo .inf en cualquier carpeta del disco duro.

Para solicitar un certificado de Autenticación del servidor adecuado para LDAPS, siga estos pasos:
  1. Cree el archivo .inf. A continuación se muestra un ejemplo de un archivo .inf que puede utilizarse para crear la petición de certificado.
    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; reemplazar con el nombre completo del controlador de dominio
    KeySpec = 1
    KeyLength = 1024
    ; Puede ser 1024, 2048, 4096, 8192 ó 16384.
    ; Los tamaños de clave mayores son más seguro, pero tienen
    ; un impacto mayor sobre el rendimiento.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; es para la Autenticación del servidor

    ;-----------------------------------------------
    Corte y pegue el archivo de ejemplo en un nuevo archivo de texto denominado Request.inf. Proporcionar el nombre completo de DNS del controlador de dominio en la solicitud.

    Nota: algunas entidades emisoras de certificados de terceros pueden requerir información adicional en el parámetro Subject. Esa información incluye una dirección de correo electrónico (E), unidad organizativa (OU), organización (O), localidad o ciudad (L), estado o provincia (S) y país o región (C). Puede anexar esta información al nombre Subject (CN) en el archivo Request.inf. Por ejemplo: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Cree el archivo de solicitud. Para ello, escriba el siguiente comando en el símbolo del sistema y, a continuación, pulse ENTRAR:
    certreq -new request.inf request.req
    Se creará un nuevo archivo denominado Request.req. Éste es el archivo de solicitud codificado en base64.
  3. Envíe la solicitud a una CA. Puede enviar la solicitud a una CA de Microsoft o a una CA de otro fabricante.
  4. Recupere el certificado emitido y guárdelo como Certnew.cer en la misma carpeta que el archivo de solicitud. Para ello, siga estos pasos:
    1. Cree un nuevo archivo denominado Certnew.cer.
    2. Abra el archivo en el Bloc de notas, pegue el certificado codificado en el archivo y guarde el archivo.
    Nota: el certificado guardado debe codificarse como base64 Algunas CA de otros fabricantes devuelven el certificado emitido al solicitante como texto codificado en base64 en un mensaje de correo electrónico.
  5. Acepte el certificado emitido. Para ello, escriba el comando siguiente en el símbolo del sistema y, a continuación, pulse ENTRAR:
    certreq -accept certnew.cer
  6. Compruebe que el certificado se ha instalado en el almacén personal del equipo. Para ello, siga estos pasos:
    1. Inicie Microsoft Management Console (MMC).
    2. Agregue el complemento Certificados que administra los certificados del equipo local.
    3. Expanda sucesivamente Certificados (Equipo local), Personal y expanda Certificados.
    Debe existir un nuevo certificado en el almacén personal. En el cuadro de diálogo Propiedades de certificado:, el propósito previsto que se muestra es Autenticación del servidor. Este certificado se emite para el nombre de host completo del equipo.
  7. Reinicie el controlador de dominio.
Para obtener más información acerca de cómo crear la petición de certificado, consulte el siguiente documento sobre Inscripción y administración avanzadas de certificados. Para ver este documento, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/cc782583.aspx

Comprobación de una conexión LDAPS

Una vez instalado un certificado, siga estos pasos para comprobar que LDAPS está habilitado:
  1. Inicie la Herramienta de administración de Active Directory (Ldp.exe).

    Nota: este programa se instala en las Herramientas de soporte técnico de Windows 2000.
  2. En el menú Connection, haga clic en Connect.
  3. Escriba el nombre del controlador de dominio con el que desea conectar.
  4. Escriba 636 como el número de puerto.
  5. Haga clic en Aceptar.

    La información de RootDSE debe aparecer en el panel derecho, indicando una conexión correcta.

Posibles problemas

  • Inicio de solicitud extendida TLS
    La comunicación LDAPS se realiza a través del puerto TCP 636. La comunicación LDAPS con un servidor de catálogo global tiene lugar en el puerto TCP 3269. Al conectarse con los puertos 636 ó 3269, se negocia SSL/TLS antes de que se intercambie ningún tráfico LDAP. Windows 2000 no admite la funcionalidad Inicio de solicitud extendida TLS.
  • Varios certificados SSL
    Schannel, el proveedor de SSL de Microsoft, selecciona el primer certificado válido que encuentra en el almacén del equipo local. Si hay varios certificados válidos disponibles en el almacén del equipo local, Schannel no puede seleccionar el certificado correcto.
  • Problema de almacenamiento en caché de un certificado SSL anterior al SP3
    Si un certificado LDAPS existente se reemplaza con otro certificado, ya sea por un proceso de renovación o porque la CA emisora ha cambiado, se debe reiniciar el servidor para que Schannel utilice el nuevo certificado. El proveedor de SSL en Windows 2000 almacena en memoria caché el certificado LDAPS y no detecta el cambio hasta que se reinicia el controlador de dominio. Esto se ha corregido en el Service Pack 3 de Windows 2000.

Mejoras de Windows Server 2008

La recomendación original de este artículo era poner certificados en el almacén personal del equipo local. Aunque esta opción es compatible, también puede poner certificados en el almacén certificado NTDS Service's Personal de Windows Server 2008 y en versiones posteriores Active Directory Domain Services (AD DS). Para obtener más información acerca de cómo agregar el certificado al almacén NTDS service's Personal, visite el siguiente sitio web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx
AD DS busca de forma preferente certificados en este almacén sobre el almacén del equipo local. De esta forma configurar AD DS para utilizar el certificado que desea utilizar se convierte en una tarea más sencilla. Esto se debe a que pueden haber múltiples certificados en el almacén personal del equipo local y puede resultar difícil predecir cuál es el seleccionado.

AD DS detecta cuándo un certificado se coloca en su almacén certificado y desencadena una actualización del certificado SSL sin reiniciar AD DS ni reiniciar el controlador de dominio.

Una nueva operación rootDse denominada renewServerCertificate puede utilizarse para desencadenar de forma manual AD DS para actualizar su certificado SSL sin reiniciar AD DS o reiniciar el controlador de dominio. Este atributo se podrá actualizar utilizando adsiedit.msc, o importando el cambio en el Formato de intercambio de directorios LDAP (LDIF) utilizando ldifde.exe. Para más información acerca de cómo utilizar LDIF para actualizar este atributo, visite el siguiente sitio web de Microsoft MSDN:
http://msdn.microsoft.com/en-us/library/cc223311(v=PROT.10).aspx
Finalmente, si Windows Server 2008 o un controlador de dominio de una versión posterior encuentra certificados múltiples en su almacén, este selecciona el certificado cuya fecha de expiración sea posterior. A continuación, si el certificado actual se aproxima a su fecha de expiración, puede pegar el certificado de reemplazo en el almacén y AD DS lo sustituirá de forma automática.

Todos esto se aplica a Windows Server 2008 AD DS y Active Directory Lightweight Directory Services (AD LDS) para 2008. Para AD LDS, ponga certificados en el almacén de certificados personales para el servicio correspondiente a la instancia AD LDS en lugar de para el servicio NTDS.
Nota: es un artículo de "PUBLICACIÓN RÁPIDA" creado directamente por la organización de soporte técnico de Microsoft. La información aquí contenida se proporciona como está, como respuesta a problemas que han surgido. Como consecuencia de la rapidez con la que lo hemos puesto disponible, los materiales podrían incluir errores tipográficos y pueden ser revisados en cualquier momento sin previo aviso. Vea las Condiciones de uso para otras consideraciones

Propiedades

Id. de artículo: 321051 - Última revisión: miércoles, 8 de enero de 2014 - Versión: 1.0
La información de este artículo se refiere a:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbproductlink kbinfo KB321051

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com