Abilitazione di LDAP su SSL con un'autoritÓ di certificazione di terze parti

Traduzione articoli Traduzione articoli
Identificativo articolo: 321051 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Il traffico LDAP (Lightweight Directory Access Protocol), il cui protocollo viene utilizzato per leggere e scrivere in Active Directory, viene trasmesso per impostazione predefinita in modalitÓ non protetta. ╚ tuttavia possibile rendere riservato e proteggere il traffico LDAP utilizzando la tecnologia SSL (Secure Sockets Layer) / TLS (Transport Layer Security). ╚ possibile abilitare il protocollo LDAP su SSL (LDAPS) installando un certificato debitamente formattato da un'autoritÓ di certificazione (CA) Microsoft o di terze parti, attenendosi alle istruzioni fornite in questo articolo.

Informazioni

Non esiste alcuna interfaccia utente per configurare LDAPS. L'installazione di un certificato valido su un controller di dominio consente al servizio LDAP di stare in ascolto e accettare automaticamente connessioni SSL sia per il traffico LDAP che per il traffico di catalogo globale.

Requisiti per un certificato LDAPS

Per abilitare LDAPS Ŕ necessario installare un certificato che soddisfi i seguenti requisiti:
  • Il certificato LDAPS si trova nell'archivio del certificati personali del computer locale.
  • Nell'archivio del computer locale Ŕ presente una chiave privata correttamente associata al certificato. La chiave privata non deve avere la protezione avanzata della chiave privata attivata.
  • L'estensione Utilizzo chiavi avanzato include l'identificatore di oggetto (OID) Autenticazione server (1.3.6.1.5.5.7.3.1).
  • Il nome di dominio completo Active Directory del controller di dominio, ad esempio DC01.DOMAIN.COM, deve essere visualizzato in una delle seguenti posizioni:
    • Il Nome comune (CN) presente nel campo Oggetto.
    • La voce DNS presente nell'estensione Nome alternativo oggetto.
  • Il certificato Ŕ stato rilasciato da un'autoritÓ di certificazione considerata attendibile dal controller di dominio e dai client LDAPS. La relazione di trust viene stabilita configurando i client e il server affinchÚ considerino attendibile l'autoritÓ di certificazione principale a cui appartiene l'autoritÓ di certificato che emette il certificato.
  • ╚ necessario utilizzare il provider del servizio di crittografia Schannel (CSP) per generare la chiave.
Per ulteriori informazioni su come stabilire la relazione di trust per i certificati, vedere l'argomento della Guida in linea di Windows 2000 Server relativo all'utilizzo dei criteri per definire relazioni di trust delle autoritÓ di certificazione principali.

Creazione della richiesta di certificato

Per creare la richiesta di certificato SSL Ŕ possibile utilizzare qualsiasi utilitÓ o applicazione che consenta di creare una richiesta PKCS #10 valida. Utilizzare Certreq per creare la richiesta.

Nota I comandi utilizzati in questo articolo si basano sulla versione 2003 di Certreq. Per eseguire le procedure riportate in questo articolo in un server Windows 2000, copiare i file certreq.exe e certcli.dll da un server Windows 2003 in una directory temporanea del server Windows 2000.

Certreq.exe richiede un file di istruzioni di testo per generare una richiesta di certificato X.509 appropriata per un controller di dominio. ╚ possibile creare questo file utilizzando qualsiasi editor di testo ASCII. Salvare il file con estensione inf in qualsiasi cartella sul disco rigido.

Per richiedere un certificato di autenticazione server adatto per LDAPS, attenersi alla procedura seguente:
  1. Creare il file inf. Di seguito Ŕ riportato un esempio di file inf che Ŕ possibile utilizzare per creare la richiesta di certificato.
    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$"

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; replace with the FQDN of the DC
    KeySpec = 1
    KeyLength = 1024
    ; Can be 1024, 2048, 4096, 8192, or 16384.
    ; Larger key sizes are more secure, but have
    ; a greater impact on performance.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    Tagliare e incollare il file di esempio in un nuovo file di testo denominato Request.inf. Nella richiesta fornire il nome DNS completo del controller di dominio.

    Nota Alcune autoritÓ di certificazione di terze parti potrebbero richiedere ulteriori informazioni nel parametro Subject. Tali informazioni possono includere un indirizzo di posta elettronica (E), l'unitÓ organizzativa (OU), l'organizzazione (O), la localitÓ o la cittÓ (L), la provincia (S) e la nazione (C). ╚ possibile aggiungere queste informazioni al nome Subject (CN) nel file Request.inf. Ad esempio: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Creare il file della richiesta. A tale proposito, digitare il comando che segue al prompt dei comandi e premere INVIO:
    certreq -new request.inf request.req
    VerrÓ creato un nuovo file Request.req, ovvero il file della richiesta codificato in base 64.
  3. Inviare la richiesta a un'autoritÓ di certificazione Microsoft o di terze parti.
  4. Recuperare il certificato emesso e salvarlo come Certnew.cer nella stessa cartella in cui si trova il file della richiesta. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Creare un nuovo file denominato Certnew.cer.
    2. Aprire il file nel Blocco note, incollarvi il certificato codificato e salvare il file.
    Nota Il certificato salvato deve essere codificato in base 64. Alcune autoritÓ di certificazione di terze parti restituiscono il certificato emesso sotto forma di testo codificato in base 64 all'interno di un messaggio di posta elettronica.
  5. Accettare il certificato emesso. A tale scopo, digitare il comando che segue al prompt dei comandi e premere INVIO:
    certreq -accept certnew.cer
  6. Verificare che il certificato sia installato nell'archivio personale del computer. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Aprire Microsoft Management Console (MMC).
    2. Aggiungere lo snap-in Certificati che consente di gestire i certificati sul computer locale.
    3. Espandere Certificati (computer locale), Personale e infine Certificati.
    Nell'archivio personale dovrebbe essere presente un nuovo certificato. Nella finestra di dialogo ProprietÓ certificato Ŕ visualizzato lo scopo designato Autenticazione server. Questo certificato viene rilasciato al nome host completo del computer.
  7. Riavviare il controller di dominio.
Per ulteriori informazioni sulla creazione della richiesta di certificato, vedere il white paper Advanced Certificate Enrollment and Management disponibile sul seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx

Verifica di una connessione LDAPS

Una volta installato un certificato, attenersi alla procedura seguente per verificare che LDAPS sia abilitato:
  1. Avviare lo strumento di amministrazione di Active Directory (Ldp.exe).

    Nota Questo programma Ŕ installato negli strumenti di supporto di Windows 2000.
  2. Scegliere Connect dal menu Connection.
  3. Digitare il nome del controller di dominio a cui connettersi.
  4. Digitare 636 come numero di porta.
  5. Scegliere OK.

    Nel riquadro destro dovrebbero essere visualizzate le informazioni RootDSE a conferma dell'avvenuta connessione.

Possibili problemi

  • Avvio della richiesta estesa TLS
    Le comunicazioni LDAPS hanno luogo tramite la porta TCP 636, mentre le comunicazioni LDAPS con un server di catalogo globale hanno luogo sulla porta TCP 3269. Quando si stabilisce una connessione alla porta 636 o 3269, SSL/TLS viene negoziato prima dello scambio di qualsiasi traffico LDAP. Windows 2000 non supporta la funzionalitÓ di avvio della richiesta estesa TLS.
  • Pi¨ certificati SSL
    Schannel, il provider SSL Microsoft, seleziona il primo certificato valido che trova nell'archivio del computer locale. Se esistono pi¨ certificati validi disponibili nell'archivio del computer locale, Ŕ possibile che Schannel non selezioni il certificato corretto.
  • Problemi di salvataggio nella cache dei certificati SSL precedenti a SP3
    Se un certificato LDAPS esistente viene sostituito con un altro certificato tramite un processo di rinnovamento o perchÚ l'autoritÓ di certificazione emittente Ŕ cambiata, il server deve essere riavviato affinchÚ Schannel utilizzi il nuovo certificato. Il provider SSL in Windows 2000 salva nella cache i certificati LDAPS e non rileva la modifica fino al riavvio del controller di dominio. Questo problema Ŕ stato corretto nel Service Pack 3 per Windows 2000.

ProprietÓ

Identificativo articolo: 321051 - Ultima modifica: lunedý 29 ottobre 2007 - Revisione: 19.3
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
Chiavi:á
kbinfo kbproductlink KB321051
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com