Como activar LDAP sobre SSL com uma autoridade de certificação de terceiros

Traduções de Artigos Traduções de Artigos
Artigo: 321051 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Access Lightweight (LDAP) Directory Protocol é utilizado para ler e escrever para o Active Directory. Por predefinição, o tráfego LDAP é transmitido não seguras. É possível tornar tráfego LDAP confidenciais e segura através da utilização Secure Sockets Layer (SSL) / tecnologia Transport Layer Security (TLS). É possível activar LDAP através de SSL (LDAPS) instalando um certificado devidamente formatado de uma autoridade de certificação Microsoft (AC) ou um utilizador que não seja AC da Microsoft de acordo com as directrizes contidas neste artigo.

Mais Informação

Não existe nenhuma interface utilizador para configurar LDAPS. Instalar um certificado válido no controlador de domínio permite que o serviço LDAP para aguardar, e aceitar automaticamente ligações SSL para o LDAP e tráfego do catálogo global.

Requisitos para um certificado LDAPS

Para activar LDAPS, é necessário instalar um certificado que cumpra os requisitos que se segue:
  • O certificado LDAPS está localizado no arquivo de certificados pessoais do computador local de forma programática (conhecido como arquivo de certificados My do computador).
  • Uma chave privada que corresponde o certificado está presente no arquivo do computador local e está correctamente associado o certificado. O tem chave privada não ter activado protecção forte por chave privada.
  • A extensão de utilização avançada de chaves inclui o identificador de objectos de autenticação de servidor (1.3.6.1.5.5.7.3.1) (também conhecido como OID, object identifier).
  • O nome de domínio totalmente qualificado do Active Directory do controlador de domínio (por exemplo, DC01.DOMAIN.COM) tem de aparecer num dos seguintes locais:
    • Nome a comum (CN) no campo Assunto.
    • Entrada de DNS na extensão de nome alternativo do requerente.
  • O certificado foi emitido por uma AC que o controlador de domínio e os clientes LDAPS fidedignos. Confiança é estabelecida, configurando os clientes e o servidor para confiar AC de raiz ao qual as cadeias da AC emissora.
  • Você deve utilizar Schannel fornecedor de serviços criptográficos (CSP, cryptographic service PROVIDER) para gerar a chave
Para mais informações sobre como estabelecer fidedignidade para certificados, consulte o tópico " Políticas para estabelecer a fidedignidade das raiz autoridades de certificação " na ajuda do Windows 2000 Server.

Criar o pedido de certificado

Utilitário ou aplicação que cria um pedido PKCS # 10 válido pode ser utilizada para formar o pedido de certificado SSL. Utilize certreq para formar o pedido.

NOTA os comandos que são utilizados por este artigo dependem a versão 2003 do CertReq. Para poder utilizar os passos apresentados neste artigo num servidor Windows 2000, copie CertReq.exe e certcli.dll a partir de um servidor Windows 2003 para um directório temporário no servidor do Windows 2000.

CertReq.exe requer um ficheiro de texto de instruções para gerar um pedido de certificado X.509 apropriado para um controlador de domínio. Pode criar este ficheiro através da utilização do ASCII preferencial editor de texto. Guarde o ficheiro como um ficheiro.inf para qualquer pasta na unidade de disco rígido.

Para pedir um certificado de autenticação de servidor que seja adequado para LDAPS, siga estes passos:
  1. Criar o ficheiro.inf. Seguinte é um ficheiro.inf exemplo que pode ser utilizado para criar o pedido de certificado.
    Request.inf----------------------------------

    [Versão]

    Assinatura = " $ $ Windows NT

    [NewRequest]

    Assunto = " CN = DC FQDN > < "; Substituir pelo FQDN do DC
    KeySpec = 1
    KeyLength = 1024
    Pode ser 1024, 2048, 8192, 16384 ou 4096.
    Os tamanhos de chaves; maiores estão mais seguro, mas existe
    um maior impacto no desempenho.
    Pode ser exportada = TRUE
    MachineKeySet = TRUE
    SMIME = FALSE
    PrivateKeyArchive = FALSO
    UserProtected = FALSO
    UseExistingKeySet = FALSO
    ProviderName = " Microsoft RSA SChannel Cryptographic Provider "
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    Cortar e colar o ficheiro de exemplo para um novo ficheiro de texto chamado Request.inf. Fornecer o nome de DNS totalmente qualificado do controlador de domínio no pedido.

    NOTA algumas autoridades de certificação de terceiros podem requerer informações adicionais no parâmetro do assunto. Essas informações inclui um, unidade organizacional (OU), organização (O), localidade ou cidade (L), província (S), ou Estado e país ou região (C) endereço de correio electrónico (E). Pode acrescentar esta informação ao nome assunto no ficheiro Request.inf (CN, common name). Exemple = < DC fqdn >, Subject="E=admin@contoso.com, CN: ou = servidores, O Contoso, L = = Redmond, S Lisboa, C = = US. "
  2. Criar o ficheiro de pedido. Para o fazer, escreva o seguinte comando na linha de comandos, e, em seguida, prima ENTER:
    certreq -new request.inf request.req
    É criado um novo ficheiro chamado Request.req. Este é o ficheiro pedido codificado em Base64.
  3. Submeter o pedido a uma AC. É possível submeter o pedido para uma AC da Microsoft ou para uma AC de terceiros.
  4. Obter o certificado que é emitido, e em seguida, guarde o certificado como Certnew.cer na mesma pasta que o ficheiro de pedido. Para efectuar este procedimento, siga estes passos.:
    1. Criar um novo ficheiro chamado Certnew.cer.
    2. Abra o ficheiro no Bloco de notas (Notepad), colar o certificado codificado no ficheiro, e, em seguida, guardar o ficheiro.
    NOTA O Certificado guardado tem de ser codificado como Base64. Algumas AC de terceiros devolver o certificado emitido ao solicitador como texto codificado em Base64 na mensagem de correio electrónico.
  5. Aceitar o certificado emitido. Para o fazer, escreva o seguinte comando na linha de comandos, e, em seguida, prima ENTER:
    certreq -accept certnew.cer
  6. Verifique se o certificado está instalado no arquivo pessoal do computador. Para efectuar este procedimento, siga estes passos.:
    1. Inicie a Consola de gestão da Microsoft (MMC, Microsoft Management Console).
    2. Adicionar certificados o snap-in que gere certificados no computador local.
    3. Expanda Certificados (computador local) , expanda pessoais , e em seguida, expanda Certificados .
    Um novo certificado deve existir no arquivo Pessoal. Na caixa de diálogo Propriedades de certificado , o objectivo a que se destina apresentado é de autenticação de servidor . Este certificado é emitido para nome de anfitrião totalmente qualificado do computador.
  7. Reinicie o controlador de domínio..
Para mais informações sobre como criar o pedido de certificado, consulte a seguinte documentação técnica e gestão avançada de inscrição de certificados. Para visualizar esta documentação técnica, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx

Verificar uma ligação LDAPS

Depois de instalar um certificado, siga estes passos para verificar que LDAPS está activado:
  1. Iniciar Active Directory a ferramenta de administração (Ldp.exe).

    NOTA este programa é instalado nas ferramentas de suporte do Windows 2000.
  2. No menu de ligação , clique em Ligar .
  3. Escreva o nome do controlador de domínio ao qual pretende ligar.
  4. Tipo 636 Como o número da porta.
  5. Clique em ' OK '.

    Informações de RootDSE devem imprimir no painel direito, indicando uma ligação com êxito.

Possíveis problemas

  • Iniciar TLS expandido pedido
    Comunicação LDAPS ocorre através da porta 636 TCP. A comunicação LDAPS com um servidor de catálogo global ocorre através de TCP 3269. Quando estabelecer ligação com portas 636 ou 3269, SSL / TLS é negociada antes de qualquer tráfego LDAP é trocado. O Windows 2000 não suporta a funcionalidade da extensão pedido TLS iniciar.
  • Vários certificados SSL
    Schannel, o fornecedor SSL da Microsoft, selecciona o primeiro certificado válido que encontrar no arquivo do computador local. Se estão disponíveis vários certificados válidos no arquivo do computador local, não Schannel pode seleccionar o certificado correcto.
  • A colocação em cache problema certificado SSL PRE-SP3
    Se um certificado LDAPS existente é substituído por outro certificado, quer através de um processo de renovação ou porque foi alterada a AC emissora, o servidor tem de ser reiniciado para Schannel para utilizar o novo certificado. O Fornecedor de SSL no Windows 2000 coloca em cache o certificado LDAPS e não detectar a alteração até que o controlador de domínio seja reiniciado. Isto foi corrigido no Service Pack 3 para o Windows 2000.

Propriedades

Artigo: 321051 - Última revisão: 29 de outubro de 2007 - Revisão: 19.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
Palavras-chave: 
kbproductlink kbinfo KB321051 KbMtpt kbmt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Pedíamos-lhe o favor de preencher o formulário existente no fundo desta página caso venha a encontrar erros neste artigo e tenha possibilidade de colaborar no processo de aperfeiçoamento desta ferramenta. Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 321051

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com