Kuidas võimaldada LDAP SSL kolmanda osapoole sertimiskeskus

Artiklite tõlked Artiklite tõlked
Artikli ID: 321051 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

Kokkuvõte

Lightweight Directory Access Protocoli (LDAP) abil lugeda ja kirjutada Active Directory. LDAP liiklust on vaikimisi edastati, turvamata. Konfidentsiaalsuse ja turvalisuse abil saate teha LDAP liiklust kasutades Secure Sockets Layer (SSL) / transpordikihi turvalisus (TLS) tehnoloogia. Saate lubada LDAP üle SSL-i (LDAPS) paigaldades õigesti vormindatud sertifikaadi kas Microsoft sertimiskeskus (CA) või mitte - Microsofti CA vastavalt käesolevale artiklile.

Lisateave

Ei ole kasutajaliidese seadistamine LDAPS. Kehtiva serdi installimiseks domeenikontrolleril lubab LDAP Kuula ja automaatselt aktsepteerida nii LDAP SSL-ühendusi ja Globaalse kataloogi liiklust.

LDAPS sertifikaadi nõuded

LDAPS lubamiseks installige sertifikaat, mis vastab selle järgmistele nõuetele:
  • LDAPS sertifikaadi asub kohaliku arvuti (Programmiliselt tuntud arvuti minu isiklik serdisalv serdisalve).
  • Sertifikaat on privaatvõti on olemas Kohalikus arvutis talletada ja õigesti seostatud sert. Privaatvõti peab ei ole ranget privaatvõtme kaitset lubatud.
  • Täiustatud võtme kasutamine pikendamine hõlmab Server Autentimine (1.3.6.1.5.5.7.3.1) objekti identifikaator (tuntud ka kui OID).
  • Active Directory täielik domeeninimi, kui domeenikontroller (näiteks DC01.DOMAIN.COM) peab sisaldama ühte selle järgmistest kohtadest:
    • Ühine nimi (kN) teema väljale teema.
    • DNS-i kirje teema alternatiivne nimi laiendamine.
  • Selle serdi väljastas CA mis domeen kontrolleri ja LDAPS klientide usalduse. Usaldus on loodud konfigureerides ning klientide ja serveri usaldada root CA, mille väljaandev CA ketid.
  • Võtme genereerimiseks tuleb kasutada SCHANNELI krüptograafiateenuse pakkuja (CSP).
Lisateabe saamiseks usalduse sertifikaatide, millega Vaadake teemat "Poliitika, et luua usaldust root certification authorities" Windows 2000 Server aidata.

Luua serdi taotlemine

Mis tahes rakendus, mis loob kehtiv PKCS #10 või kasulikkust taotluse saab kasutada SSL sertifikaadi taotluse vorm. Certreq abil saate vormi taotluse.

Märkus Käske, mida kasutatakse käesolevas artiklis tugineda Certreq versioon 2003. Selleks, et kasutada juhiseid käesoleva artikli Windows 2000 server, kopeerida certreq.exe ja certcli.dll Windows 2003 server võtta ajutine kataloog Windows 2000 server.

Certreq.exe nõuab juhendamise tekstifaili loomiseks on asjakohane X.509 certificate request domeenikontroller. Saate luua selle faili abil oma eelistatud ASCII tekstiredaktorit. Salvestage fail mis INF faili iga kausta kõvakettale.

Taotleda Server Isikutuvastuse sertifikaat, mis sobib LDAPS, toimige järgmiselt.
  1. INF-faili loomine Järgnev on näide INF faili, mida saab kasutada, et luua serdi taotlemine.
    ;---request.inf---

    [Version]

    Allkiri = "$Windows NT$

    [NewRequest]

    Teema = "CN =<DC fqdn="">"; DC FQDN-i asendada
    KeySpec = 1
    KeyLength = 1024
    ; Võib olla 1024, 2048, 4096, 8192 või 16384.
    ; Suurem võti suurused on turvalisemad, kuid on
    ; suurem mõju jõudlusele.
    Eksporditav = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsofti RSA SCHANNELI krüptograafiateenuse pakkuja"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; See on serveri autentimiseks

    ;-----------------------------------------------</DC>
    Lõika ja kleebi näidisfail uue teksti faili nimega Request.inf. Domeenikontroller on täielikult kvalifitseeritud DNS-i nimi on taotluse.

    Märkus Mõned kolmanda isiku sertifitseerimise asutused võivad nõuda täiendavat teavet teema parameeter. Selline teave sisaldab e-posti aadress (E), Organisatsiooniüksus (OÜ) organisatsioon (O), paikkonda või linn (L), osariigi või provintsi (S) ja riik või piirkonna (C). Selle teabe saate lisada teema nimi (CN) aastal Request.inf faili. Näiteks: Subject="E=admin@contoso.com, CN-=<DC fqdn="">, OU = serverid, O = Contoso, L = Redmond, S = Washington, C = U.S.." </DC>
  2. Taotluse faili luua. Selleks tippige järgmine käsureale käsk ja vajutage sisestusklahvi ENTER:
    certreq-uus request.inf request.req
    Luuakse uus fail nimega Request.req. See on ka base64-kodeeringuga taotluse faili.
  3. Esitada taotluse, et CA. Te võite esitada taotluse ka Microsoft CA või kolmanda osapoole ca.
  4. Laadida sertifikaat, mis on välja antud ja seejärel salvestada selle sertifikaadi taotluse faili samasse kausta Certnew.cer. Et seda teha, järgige neid samme:
    1. Looge uus fail nimega Certnew.cer.
    2. Avage fail programmis Notepad, pasta kodeeritud sertifikaat faili ja seejärel salvestage fail.
    Märkus Salvestatud sertifikaat tuleb kodeerida base64. Mõned kolmanda osapoole CAS-i tagastavad väljastatud imperatiivsus päringu tekstina base64-kodeeringuga on e-kiri.
  5. Aktsepteeri väljaantud sertifikaati. Selleks tippige selle järgmist käsurea käsk ja vajutage sisestusklahvi ENTER:
    certreq-vastu certnew.cer
  6. Kontrollida, et sertifikaat on paigaldatud arvuti Isikliku salve. Selle tegemiseks järgige neid samme:
    1. Käivitage halduskonsooli Microsoft Management Console (MMC).
    2. Lisada sertifikaatide lisandmoodulit mis haldab sertifikaadid kohalikus arvutis.
    3. Laienda Sertifikaatide (Kohalik arvuti), Laienda Isiklikku, ja seejärel laiendage Sertifikaadid.
    Uue serdi peaks olemas isikliku salve. Aastal ningSerdi atribuudid dialoogiboksis sihtotstarbe kuvatakse see Serveri autentimine. Käesolev sertifikaat on välja antud et arvuti täielikult kvalifitseeritud hostinimi.
  7. Taaskäivitage domeenikontroller.
Lisateavet luua serdi taotlemine vt järgmine dokument Advanced serdi registreerimine ja haldus. Käesoleva valge raamatu vaatamiseks külastage järgmist Microsofti veebisaiti:
http://technet.microsoft.com/en-us/Library/cc782583.aspx

Kontrollimine oleks LDAPS ühendus.

Pärast seda, kui tunnistus on installitud, toimige järgmiselt, et kontrollida et LDAPS on lubatud:
  1. Active Directory haldamise tööriista käivitamine (Ldp.exe).

    Märkus See programm on installitud Windows 2000 tugi Tööriistad.
  2. Kohta ning Ühendus menüü, klõpsake nuppuÜhenduse loomine.
  3. Tippige nimi, millele soovite domeenikontrolleri ühendada.
  4. Tüüp 636 Kui sadama numbri.
  5. Klõpsake nuppu Ok.

    Pääse juurde teabele tuleks printida parempoolsel paanil, mis näitab edukat ühendust.

Võimalikud probleemid

  • TLS pikendada taotluse alustada
    LDAPS edastamine toimub üle port TCP 636. LDAPS Globaalse kataloogi serveris edastamine toimub üle TCP 3269. Kui ühendate sadamatesse 636 või 3269, SSL/TLS läbirääkimisi enne iga LDAP liiklust on vahetada. Windows 2000 ei toeta alustada TLS laiendatud-taotlus funktsionaalsust.
  • Mitu SSL sertifikaadid
    SCHANNELI, pakkuja Microsoft SSL valib esimese kehtiv sertifikaat, mille leiab kohalikku arvutisse salvestada. Kui on olemas mitu kehtivat tunnistust saadaval kohalikus poes, SCHANNELI võib Vali õige sert.
  • Enne SP3 SSL sertifikaadi caching küsimus
    Kui olemasolev LDAPS tunnistus asendatakse teisega sertifikaadi uuendamise protsessi kaudu või et väljaandva CA on muutunud, tuleb server taaskäivitada SCHANNELI uut serti kasutada. SSL-i pakkuja Windows 2000 vahemälu LDAPS sertifikaat ja ei avastada muutusi, kuni domeenikontroller on taaskäivitatud. See on olnud Windows 2000 hoolduspaketi Service Pack 3 parandatud.

Windows Server 2008 parandusi

Originaal soovitus käesolevas artiklis oli panna sertifikaatide kohalikus masinas isiklikust salvest. Kuigi seda võimalust toetab, saate ka panna sertifikaatide NTDS-i teenuse isikliku serdisalve Windows Server 2008 ning uuemate versioonidega Active Directory Domain Services (AD DS). NTDS-i teenuse isikliku serdisalve serdi lisama kohta lisateabe saamiseks külastage järgmist Microsoft TechNeti Web site:
http://technet.microsoft.com/en-us/Library/dd941846 (WS.10) .aspx
AD DS eeliskorras otsib tõendeid, mis selle poe üle kohaliku arvuti poest. See muudab lihtsamaks konfigureerimiseks kasutama sertifikaati, et soovite seda kasutada AD DS-is. Selle põhjuseks võib olla mitu sertifikaati kohaliku masinad isikliku salve ja see võib olla raske ennustada, milline on valitud.

AD DS tuvastab, kui uus sert on langenud oma serdisalve ja seejärel käivitab SSL sertifikaadi update ilma taaskäivitage AD DS-is või domeenikontroller.

Uus pääse juurde operatsioon, mis on nime saanud renewServerCertificate saab käsitsi käivitada oma SSL sertifikaatide uuendamiseks ilma taaskäivitage AD DS-is või domeenikontrolleri AD DS-is. Seda omadust saab uuendada, kasutades adsiedit.mscvõi importides muutus ja LDAP kataloogi Interchange Format (LDIF) kasutades ldifde.exe. LDIF värskendada selle atribuudi kasutamise kohta lisateabe saamiseks külastage järgmist Microsofti MSDN-i veebisaidilt:
http://msdn.microsoft.com/en-us/Library/cc223311 (v=PROT.10) .aspx
Lõpuks, kui Windows Server 2008 või hiljem versioon domeenikontrolleri leiab mitu sertifikaati selle poe, see valib automaatselt sertifikaat, mille aegumiskuupäev on kaugemal tulevikus. Siis, kui oma praeguse serdi läheneb aegumiskuupäeva, lohistad replacement certificate Store ja AD DS lülitub automaatselt seda kasutada.

Kõik need tööd Windows Server 2008 AD DS ja 2008 Active Directory Lightweight Directory Services (AD LDS). Puhul Kuulutus LDS, pannakse sertifikaatide isikliku serdisalve teenusele, mis vastab AD LDS astme asemel NTDS-i teenust.

Atribuudid

Artikli ID: 321051 - Viimati läbi vaadatud: 20. juuni 2013 - Redaktsioon: 1.0
Kehtib järgmise lõigu kohta:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Märksõnad: 
kbproductlink kbinfo kbmt KB321051 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 321051

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com