Kaip ?galinti LDAP per SSL tre?iosios ?alies sertifikavimo tarnyba

Straipsni? vertimai Straipsni? vertimai
Straipsnio ID: 321051 - Per?i?r?ti ?iame straipsnyje minimus produktus.
I?pl?sti visus | Sutraukti visus

?iame puslapyje

Santrauka

Naudojamas Lightweight Directory Access Protocol (LDAP) skaitymui ir ra?ymui ? Active Directory. Pagal numatytuosius nustatymus yra LDAP eismo perduodami neu?tikrintai. J?s galite padaryti eismo LDAP konfidenciali ir saugi i? naudojant Secure Sockets Layer (SSL) / transportavimo lygmens sauga (TLS) technologija. J?s galite ?jungti LDAP per SSL (LDAPS) ?dieg? tinkamai suformatuotas sertifikatas arba Microsoft sertifikavimo institucija (CA) arba ne - Microsoft CA gair?se nustatyta ?iame straipsnyje.

Daugiau informacijos

N?ra jokios vartotojo s?sajos konfig?ravimas LDAPS. Diegiant galiojan?io sertifikato domeno valdiklyje leid?ia LDAP paslaugos klausytis, ir automati?kai priimti, jungtimis, tiek LDAP ir visuotinio katalogo eismo.

Reikalavimai d?l LDAPS sertifikato

Kad LDAPS, turite ?diegti sertifikat?, kuris atitinka ir ?iuos reikalavimus:
  • Pa LDAPS ?sik?r?s vietinio kompiuterio Asmenini? sertifikat? saugykloje (programi?kai ?inomas kaip kompiuterio mano sertifikat? saugykloje).
  • Privat?j? rakt?, atitinkant? sertifikat? yra Vietiniame kompiuteryje saugoti ir tinkamai susieta su sertifikato. Privatusis raktas turi neturi tur?ti grie?tos priva?iojo rakto apsaugos ?jungtas.
  • Sustiprintas rakto naudojimas i?pl?timas yra serveris Autentifikavimo (1.3.6.1.5.5.7.3.1) objekto identifikatorius (taip pat ?inomas kaip OID).
  • Active Directory visi?kai tinkam? domeno pavadinim?, domeno valdiklis (pvz., DC01.DOMAIN.COM) turi b?ti ?ra?ytas vienas i? to ?iose vietose:
    • Bendras pavadinimas (KN) ?ioje srityje.
    • DNS ?ra?? temos alternatyva varde prat?simo.
  • Sertifikatas buvo i?duotas, CA, domeno kontrolierius ir LDAPS klient? pasitik?jim?. Pasitik?jimas yra ?sisteig?s konfig?ruodami, klient? ir serverio pasitik?ti pagrindin? tarnyba, i?duodanti CA grandines.
  • Turite naudoti SKANALO kriptografijos paslaugos teik?jas (CSP) generuoti rakt?.
Daugiau informacijos apie steigimo patikos sertifikatams, ie?kokite "Politikos sukurti pasitik?jim?, ?akn? sertifikavimo tarnyb?" temoje ? Windows 2000 Server ?inynas.

Sukurti sertifikato pra?ymas

Bet koks naudingumas ar programa, kuri sukuria galioja PKCS #10 pra?ym? galima suformuoti SSL sertifikato pra?ym?. Naudoti Certreq formos pra?ym?.

Pastaba Komandas, naudojami ?iame straipsnyje remtis 2003 versija Certreq. Siekiant ?iame straipsnyje apie Windows 2000 server, atlikite veiksmus, nukopijuokite certreq.exe ir certcli.dll i? Windows 2003 server? ? laikin? katalog? Windows 2000 serveris.

Certreq.exe reikia teksto instrukcija fail? generuoti, tinkamas X.509 sertifikato pra?ymas domeno valdiklis. Galite sukurti ?? fail? naudojant j?s? pageidaujam? ASCII teksto redaktoriumi. ?ra?ykite fail? kaip yra .inf fail? ? bet kur? aplank? kietajame diske.

Pra?yti serverio Tinka LDAPS, autenti?kumo sertifikat?, atlikite ?iuos veiksmus:
  1. Sukurti .inf failo. Toliau pateikiamas pavyzdys .inf failas, gali b?ti naudojama siekiant sukurti sertifikato pra?ym?.
    ;---request.inf---

    [Versija]

    Para?as = "$Windows NT$

    [NewRequest]

    Tema = "KN =<DC fqdn="">"; pakeisti su DC FQDN
    KeySpec = 1
    KeyLength = 1024
    ; Gali b?ti 1024, 2048, 4096, 8192 arba 16384.
    ; Didesni pagrindini? dyd?i? yra saugesni, bet turi
    ; didesn? ?tak? rezultatams.
    Eksportuotin? = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SKANALO kriptografijos teik?jas"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; tai yra serverio autentifikavimo

    ;-----------------------------------------------</DC>
    I?kirpti ir ?klijuoti pavyzdin? fail? ? nauj? tekstin? fail?, pavadint? Request.inf. Pateikti visi?kai apibr??t? domeno valdikl? per DNS pavadinimas, pra?ym?.

    Pastaba Kai kurios tre?iosios ?alies sertifikavimo institucijos gali reikalauti papildomos informacijos ? tem? parametru. Toks informacija apima el. pa?to adres? (E), organizacijos vienet? (OU), organizacijos (O), vietov?s ar miesto (L), valstyb?s arba provincijos (S) ir ?alies arba (C) regione. ?i? informacij? gali papildyti tema pavadinimas (CN) ? Request.inf failas. Pvz.: Subject="E=admin@contoso.com, KN =<DC fqdn="">, OU = serveriai, O = Contoso, L = Redmond, S = Washington, C = US." </DC>
  2. Pra?ym? failui kurti. Jei norite tai padaryti, ?veskite komand? ? komand? eilut? ir paspauskite ENTER:
    certreq-naujas request.inf request.req
    Sukuriamas naujas failas vadinamas Request.req. Tai yra d?l Base64 koduotas pra?ymas fail?.
  3. Pateikti pra?ym?, CA. J?s galite pateikti pra?ym? d?l Microsoft CA arba tre?iosios ?alies CA.
  4. Gauti sertifikat?, i?duota, ir tada ?ra?yti ? atestato Certnew.cer tame pa?iame aplanke kaip ir pra?ym? failas. Nor?dami tai padaryti, atlikite ?iuos veiksmus:
    1. Sukurkite nauj? fail? pavadinimu Certnew.cer.
    2. Atidarykite fail? u?ra?in?je, ?klijuokite koduoti pa ? fail?, tada ?ra?ykite fail?.
    Pastaba ?ra?yt? sertifikate turi b?ti u?koduotas kaip base64. Kai kurios tre?iosios ?alies CAs v?l i?duotas sertifikatas klaus?jas, base64 u?koduotas tekstas yra el. lai?ko.
  5. Priimti ? sertifikat?. Nor?dami tai padaryti, ?veskite ? po komand? ? komand? eilut? ir paspauskite ENTER:
    certreq-priimti certnew.cer
  6. Patikrinkite, ar kad sertifikatas yra ?diegta kompiuterio Asmenin?je saugykloje. Nor?dami tai padaryti, atlikite ?iuos veiksmus:
    1. Paleiskite Microsoft valdymo konsol? (MMC).
    2. ?traukti sertifikatus prid?tiniame ?rankyje, valdanti sertifikatai vietiniame kompiuteryje.
    3. I?pl?sti Sertifikatai (vietiniame kompiuteryje), i?pl?sti Asmens, ir tada pl?sti Sertifikatai.
    Nauj? sertifikat? tur?t? b?ti asmenin?je saugykloje. ? ?Sertifikato ypatyb?s dialogo lange paskirt? rodoma yra Serverio autentifikavimas. ?is sertifikatas yra i?duodamas prie kompiuterio visi?kai kvalifikuotas pagrindinio kompiuterio vardo.
  7. I? naujo domeno valdikl?.
Daugiau informacijos apie sertifikato pra?ymas, ?r ?i? I?pl?stin? pa?ym?jimo registracijos ir valdymo Baltojoje knygoje. Nor?dami per?i?r?ti ?i? Balt?j? knyg?, apsilankykite ?ioje Microsoft svetain?je:
http://technet.Microsoft.com/en-us/library/cc782583.aspx

Tikrinti ry?? su LDAPS

?diegus sertifikat?, atlikite ?iuos veiksmus, nor?dami patikrinti, ar kad LDAPS yra ?jungtas:
  1. Prad?ti Active Directory administravimo ?rankis (Ldp.exe).

    Pastaba ?i programa yra ?diegta Windows 2000 paramos ?rankiai.
  2. D?l to Ry?io meniu, spustel?kitePrisijungti.
  3. ?veskite domeno valdikl?, kur? norite prisijungti.
  4. Tipo 636 kaip uosto skai?i?.
  5. Spustel?kite gerai.

    RootDSE informacija tur?t? spausdinti de?in?je, nurodant s?kmingai nuorodos.

Galimi problem?

  • Prad?ti TLS prat?stas pra?ym?
    LDAPS bendravimas vyksta per uosto TCP 636. LDAPS komunikacijos visuotinio katalogo serveryje, ?vyksta per TCP 3269. Kai telefon± jungiate ? uostus 636 arba 3269, SSL/TLS yra susitarta, prie? bet kok? LDAP sraut? yra keistis. Windows 2000 nepalaiko prad?ti TLS prat?stas-pra?ymas funkcija.
  • Kelis SSL sertifikatai
    SKANALO, Microsoft SSL teik?jas, pasirenka pirm? galiojant? sertifikat?, kad tai mano vietin? kompiuter? parduotuv?je. Jei yra kelis galiojan?ius liudijimus galima, vietinio kompiuteri? parduotuv?je, SKANALO gali pasirinkti tinkam? sertifikat?.
  • Pre-SP3 SSL sertifikato buforowanie ?ra?ymo problem?
    Jei jau LDAPS pa?ym?jimas kei?iamas kitu sertifikatas, arba per atsinaujinimo procesas arba nes i?duodan?iosios CA pasikeit?, serveryje turi b?ti perkrauta, SKANALO naudoti naujas liudijimas. SSL teik?jas Windows 2000 i?saugo pa LDAPS ir ne aptikti pakeisti tol, kol i? naujo domeno valdikl?. Tai buvo I?taisyta Windows 2000 3 pakeitim? paket?.

Windows Server 2008 patobulinimai

Pradin?s rekomendacijos ?iame straipsnyje buvo pateikti sertifikatus ? vietinio kompiuterio asmenin?je saugykloje. Nors remia ?i? parinkt?, galite taip pat ?d?ti sertifikat? NTDS paslaug? asmenini? sertifikat? saugykloje Windows Server 2008 ir v?lesni? versij? Active Directory domen? tarnybos (AD DS). Daugiau informacijos apie tai, kaip prid?ti sertifikat? prie tarnybos NTDS asmenini? sertifikat? saugykloje, apsilankykite ?ioje Microsoft TechNet Web svetain?je:
http://technet.Microsoft.com/en-us/library/dd941846 (WS.10) .aspx
AD DS pirmenyb? ie?ko sertifikatus ?ioje saugykloje per vietos ma?inos parduotuv?. Tai leid?ia lengviau konfig?ruoti AD DS naudoti sertifikat?, kad norite j? naudoti. Tai yra tod?l, kad gali b?ti kelis sertifikatus vietos ma?inos asmenin?je saugykloje, ir ji gali b?ti sunku prognozuoti, kuri? vienas yra pa?ym?tas.

AD DS aptinka nauj? sertifikat? nukrito ? savo sertifikat? saugyklos ir tada sukelia SSL sertifikato naujinimas nereikia i? naujo paleisti AD DS arba i? naujo domeno valdikl?.

Naujas rootDse operacija, pavadint? renewServerCertificate gali b?ti naudojama rankiniu b?du suaktyvinti AD DS atnaujinti savo SSL sertifikat? nereikia i? naujo paleisti AD DS arba i? naujo domeno valdikl?. ?iam atributui gali b?ti atnaujintas naudojant adsiedit.msc, ar importuoti pakeitimo in., "LDAP Katalogas duomen? main? formatas" (LDIF) naudojant ldifde.exe. Daugiau informacijos apie LDIF atnaujinti ?? atribut?, apsilankykite ?ioje Microsoft MSDN ?iniatinklio svetain?je:
http://MSDN.Microsoft.com/en-us/library/cc223311 (v=PROT.10) .aspx
Galiausiai, jei Windows Server 2008 arba v?lesn? versija domeno valdiklis nustato kelis sertifikatus savo parduotuv?je, jis automati?kai parenka sertifikat?, kuri? galiojimo data yra toliausiai ateityje. Tada, jei j?s? dabartinis sertifikatas art?ja jo galiojimui, j?s galite palikti pakaitinio sertifikato parduotuv?je, ir AD DS automati?kai persijungia ? j? naudoti.

Visi ?ie dirbti Windows Server 2008 AD DS ir 2008 Active Directory lengvas katalogo tarnybos (AD LDS). U? skelbimo LDS, ?d?ti sertifikatus ? asmenin? sertifikat? parduotuv?je u? paslaug?, kuri atitinka skelbimo LDS instancijos vietoj NTDS paslaugos.

Savyb?s

Straipsnio ID: 321051 - Paskutin? per?i?ra: 2013 m. bir?elio 20 d. - Per?i?ra: 1.0
Taikoma:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server (serveris)
Rakta?od?iai: 
kbproductlink kbinfo kbmt KB321051 KbMtlt
Atliktas automatinis vertimas
SVARBU: ?is straipsnis i?verstas naudojant ?Microsoft? ma?ininio vertimo programin? ?rang? ir gali b?ti pataisytas naudojant ?Community Translation Framework? (CTF) technologij?. ?Microsoft? si?lo ma?inos i?verstus ir po to bendruomen?s suredaguotus straipsnius, taip pat ?mogaus i?verstus straipsnius siekdama suteikti prieig? prie vis? savo ?ini? baz?s straipsni? daugeliu kalb?. Ma?inos i?verstuose ir v?liau paredaguotuose straipsniuose gali b?ti ?odyno, sintaks?s ir / arba gramatikos klaid?. ?Microsoft? neatsako u? jokius netikslumus, klaidas arba ?al?, patirt? d?l neteisingo turinio vertimo arba m?s? klient? naudojimosi juo. Daugiau apie CTF ?r. http://support.microsoft.com/gp/machine-translation-corrections.
Spustel?kite ?ia, nor?dami pamatyti ?io straipsnio versij? angl? kalba: 321051

Pateikti atsiliepim?

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com