Jak włączyć protokół LDAP przez SSL za pomocą niezależnego urzędu certyfikacji

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 321051 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Protokół LDAP jest używany do odczytu i zapisu w usłudze Active Directory. Domyślnie ruch LDAP jest przesyłany bez zabezpieczeń. Można zabezpieczyć ruch LDAP i sprawić, że będzie poufny, używając technologii SSL (Secure Sockets Layer)/TLS (Transport Layer Security). Protokół LDAP włącza się przez SSL (LDAPS), instalując właściwie sformatowany certyfikat urzędu certyfikacji (CA) Microsoft lub niezależnego urzędu ceryfikacji zgodnie z zaleceniami przedstawionymi w tym artykule.

Więcej informacji

Nie istnieje żaden interfejs użytkownika do konfigurowania protokołu LDAPS. Zainstalowanie ważnego certyfikatu na kontrolerze domeny umożliwia usłudze LDAP nasłuchiwanie i automatyczne akceptowanie połączeń SSL zarówno dla protokołu LDAP, jak i ruchu globalnego.

Wymagania dotyczące certyfikatu LDAPS

Aby włączyć protokół LDAPS, należy zainstalować certyfikat, który spełnia następujące wymagania:
  • Certyfikat LDAPS jest umieszczony w osobistym magazynie certyfikatów komputera lokalnego (w programowaniu znanym jako Mój magazyn certyfikatów).
  • Klucz prywatny, który pasuje do certyfikatu, znajduje się w magazynie komputera lokalnego i jest poprawnie skojarzony z tym certyfikatem. Klucz prywatny nie powinien mieć włączonej silnej ochrony klucza prywatnego.
  • Rozszerzenie użycia klucza rozszerzonego zawiera identyfikator obiektu uwierzytelniania serwera (1.3.6.1.5.5.7.3.1) (znany także jako OID).
  • W pełni kwalifikowana nazwa domeny Active Directory kontrolera domeny (na przykład DC01.DOMENA.COM) musi pojawiać się w jednym z następujących miejsc:
    • Nazwa pospolita (CN) w polu Podmiot.
    • Wpis DNS w rozszerzeniu alternatywnej nazwy podmiotu.
  • Certyfikat został wydany przez urząd certyfikacji, któremu ufają kontroler domeny i klienci LDAPS. Zaufanie ustanawia się, konfigurując klientów i serwer, tak aby ufały głównemu urzędowi certyfikacji, z którym łączy się wystawiający urząd certyfikacji.
  • Do wygenerowania klucza należy użyć dostawcy usług kryptograficznych (CSP) Schannel.
Aby uzyskać więcej informacji na temat ustanawiania zaufania certyfikatów, zobacz temat Pomocy „Zasady ustanawiania zaufania głównych urzędów certyfikacji” systemu Windows 2000 Server.

Tworzenie żądania certyfikatu

Każdy program narzędziowy lub aplikacja, która tworzy prawidłowe żądanie PKCS #10, może być używana do tworzenia żądania certyfikatu SSL. Do tworzenia żądania użyj programu Certreq.

Uwaga: Polecenia użyte w tym artykule zaczerpnięto z wersji 2003 programu Certreq. Aby procedurę opisaną w niniejszym artykule zastosować w systemie Windows 2000 Server, skopiuj pliki certreq.exe i certcli.dll z systemu Windows 2003 Server do katalogu tymczasowego w systemie Windows 2000 Server.

Program Certreq.exe wymaga tekstowego pliku instrukcji do wygenerowania odpowiedniego żądania certyfikatu X.509 dla kontrolera domeny. Plik ten tworzy się, używając preferowanego edytora tekstów ASCII. Plik należy zapisać z rozszerzeniem .inf w dowolnym folderze na dysku twardym.

Aby zażądać certyfikatu uwierzytelnienia serwera, który jest odpowiedni dla LDAPS, wykonaj następujące kroki:
  1. Utwórz plik .inf. Do utworzenia żądania certyfikatu można użyć następującego przykładowego pliku .inf.
    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; zamień na FQDN kontrolera DC
    KeySpec = 1
    KeyLength = 1024
    ; Dopuszczalne wartości 1024, 2048, 4096, 8192 lub 16384.
    ; Dłuższe klucze są bezpieczniejsze i mają
    ; większy wpływ na wydajność.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; to dotyczy uwierzytelnienia serwera

    ;-----------------------------------------------
    Wytnij i wklej przykładowy plik do nowego pliku tekstowego o nazwie Request.inf. Podaj w żądaniu w pełni kwalifikowaną nazwę DNS kontrolera domeny.

    Uwaga: Niektóre niezależne urzędy certyfikacji mogą wymagać dodatkowych informacji w parametrze Subject. Takie informacje obejmują adres e-mail (E), jednostkę organizacyjną (OU), organizację (O), miejscowość lub miasto (L), stan lub prowincję (S) oraz kraj lub region (C). Można dołączyć te informacje do nazwy podmiotu (CN) w pliku Request.inf. Na przykład: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Serwery, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Utwórz plik żądania. Aby to zrobić, wpisz w wierszu polecenia następujące polecenie, a następnie naciśnij klawisz ENTER:
    certreq -new request.inf request.req
    Zostanie utworzony nowy plik Request.req. Jest to plik żądania kodowany w standardzie base64.
  3. Prześlij żądanie do urzędu certyfikacji CA. Żądanie można przesłać do urzędu certyfikacji Microsoft lub niezależnego urzędu certyfikacji.
  4. Pobierz wystawiony certyfikat, a następnie zapisz go jako Certnew.cer w tym samym folderze, co plik żądania. Aby to zrobić, wykonaj następujące kroki:
    1. Utwórz nowy plik o nazwie Certnew.cer.
    2. Otwórz plik w Notatniku, wklej zakodowany certyfikat do pliku, a następnie zapisz plik.
    Uwaga: Zapisany certyfikat musi być zakodowany w standardzie base64. Niektóre niezależne urzędy certyfikacji zwracają wystawiony certyfikat do żądającego w postaci zakodowanego w standardzie base64 tekstu w wiadomości e-mail.
  5. Zaakceptuj wystawiony certyfikat. Aby to zrobić, wpisz w wierszu polecenia następujące polecenie, a następnie naciśnij klawisz ENTER:
    certreq -accept certnew.cer
  6. Sprawdź, czy certyfikat jest zainstalowany w osobistym magazynie komputera. Aby to zrobić, wykonaj następujące kroki:
    1. Uruchom konsolę Microsoft Management Console (MMC).
    2. Dodaj przystawkę Certyfikaty, która zarządza certyfikatami na komputerze lokalnym.
    3. Rozwiń gałąź Certyfikaty (Komputer lokalny), rozwiń gałąź Osobiste, a następnie rozwiń gałąź Certyfikaty.
    Nowy certyfikat powinien istnieć w magazynie osobistym. W oknie dialogowym Właściwości certyfikatu zamierzone przeznaczenie jest wyświetlane w polu Uwierzytelnienie serwera. Certyfikat jest wystawiony na w pełni kwalifikowaną nazwę hosta komputera.
  7. Uruchom ponownie kontroler domeny.
Więcej informacji o tworzeniu żądania certyfikatu można znaleźć w dokumencie Advanced Certificate Enrollment and Management. Aby zapoznać się z tym dokumentem, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx

Sprawdzanie połączenia LDAPS

Po zainstalowaniu certyfikatu wykonaj następujące kroki, aby sprawdzić, czy protokół LDAPS jest włączony:
  1. Uruchom narzędzie Active Directory Tool (Ldp.exe).

    Uwaga: Ten program jest zainstalowany w narzędziach obsługi systemu Windows 2000.
  2. W menu Connection kliknij polecenie Connect..
  3. Wpisz nazwę kontrolera domeny, z którym chcesz się połączyć.
  4. Wpisz 636 jako numer portu.
  5. Kliknij przycisk OK.

    Informacje RootDSE powinny być umieszczone w prawym okienku, wskazując pomyślne połączenie.

Możliwe problemy

  • Rozszerzone żądanie Start TLS
    Komunikacja LDAPS następuje przez port TCP 636. Komunikacja LDAPS z serwerem katalogu globalnego następuje przez port TCP 3269. Podczas łączenia się z portem 636 lub 3269 protokół SSL/TLS jest uzgadniany przed wymianą jakiegokolwiek ruchu LDAP. System Windows 2000 nie obsługuje funkcjonalności rozszerzonych żądań Start TLS.
  • Wielokrotne certyfikaty SSL
    Schannel, dostawca protokołu Microsoft SSL, wybiera pierwszy ważny certyfikat znajdowany w magazynie komputera lokalnego. Jeśli istnieje kilka ważnych certyfikatów dostępnych w magazynie komputera lokalnego, Schannel może nie znaleźć poprawnego certyfikatu.
  • Problem buforowania certyfikatu Pre-SP3 SSL
    Jeśli istniejący certyfikat LDAPS zostanie zastąpiony przez inny certyfikat w wyniku procesu odnawiania lub z powodu zmiany wystawiającego urzędu certyfikacji, należy ponownie uruchomić serwer, aby dostawca Schannel użył nowego certyfikatu. Dostawca SSL w systemie Windows 2000 buforuje certyfikat LDAPS i nie wykrywa zmiany, aż do ponownego uruchomienia kontrolera domeny. Zostało to skorygowane w dodatku Service Pack 3 dla systemu Windows 2000.

Właściwości

Numer ID artykułu: 321051 - Ostatnia weryfikacja: 29 października 2007 - Weryfikacja: 19.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
Słowa kluczowe: 
kbinfo kbproductlink KB321051

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com