Como habilitar LDAP sobre SSL com uma autoridade de certificação de terceiros

O protocolo LDAP (Lightweight Directory Access Protocol) é usado para ler e gravar no Active Directory. Por padrão, o tráfego LDAP é transmitido de maneira não segura. Você pode tornar o tráfego LDAP confidencial e seguro usando a tecnologia SSL/TLS (Secure Sockets Layer/Transport Layer Security). Você pode habilitar o LDAP sobre SSL (LDAPS) instalando um certificado formatado apropriadamente de uma autoridade de certificação da Microsoft (CA) ou de uma CA que não seja da Microsoft de acordo com as diretrizes neste artigo.

Não existe uma interface do usuário para configurar o LDAPS. A instalação de um certificado válido em um controlador de domínio permite que o serviço LDAP escute e aceite automaticamente as conexões SSL para o tráfego de LDAP e para o tráfego do catálogo global.

Requisitos para um certificado LDAPS

Para habilitar o LDAPS, você deve instalar um certificado que atenda aos seguintes requisitos:

• O certificado LDAPS está localizado no armazenamento de certificado particular do computador local (programaticamente conhecido como armazenamento do MEU certificado do computador).
• Uma chave particular que corresponde com o certificado está presente no armazenamento do computador local e está corretamente associada ao certificado. A chave particular não deve ter uma forte proteção de chave particular habilitada.
• A extensão do uso avançado de chave inclui o identificador de objeto (também conhecido como OID) da autenticação do servidor (1.3.6.1.5.5.7.3.1).
• O nome de domínio totalmente qualificado do Active Directory do controlador de domínio (por exemplo, DC01.DOMAIN.COM) deve aparecer em um dos seguintes locais:
  • O Nome comum (CN) no campo Assunto.
  • Entrada DNS na extensão do Nome alternativo para o usuário.
• O certificado foi emitido por uma CA na qual o controlador de domínio e os clientes LDAPS confiam. A relação de confiança é estabalecida pela configuração dos clientes e do servidor para confiarem na CA raiz com a qual a CA emissora está encadeada.
• É necessário usar o provedor de serviços de CSP (criptografia) Schannel para gerar a chave.

Para obter informações adicionais sobre como estabelecer relações de confiança para certificados, consulte o tópico "Diretivas para estabelecer uma relação de confiança de autoridades de certificação raiz" na Ajuda do Windows 2000 Server.

Criando a solicitação de certificado

Qualquer utilitário ou aplicativo que crie uma solicitação PKCS #10 válida pode ser usado para formar a solicitação de certificado SSL. Use o Certreq para formar a solicitação.

Observação Os comandos usados neste artigo contam com a versão 2003 do Certreq. Para usar as etapas contidas neste artigo em um servidor do Windows 2000, copie o certreq.exe e o certcli.dll de um servidor do Windows 2003 em um diretório temporário no servidor do Windows 2000.

O Certreq.exe exige um arquivo de instrução de texto para gerar uma solicitação de certificado X.509 apropriada para um controlador de domínio. É possível criar este arquivo usando seu editor de texto ASCII preferido. Salve o arquivo como um arquivo .inf em qualquer pasta do seu disco rígido.

Para solicitar um certificado de Autenticação do servidor adequado para LDAPS, execute as seguintes etapas:

1. Crie o arquivo .inf. O seguinte é um arquivo .inf de exemplo, que pode ser usado para criar a solicitação de certificado.
   ;----------------- request.inf -----------------
   
   [Version]
   
   Signature="$Windows NT$
   
   [NewRequest]
   
   Subject = "CN=<DC fqdn>" ; substitua com o FQDN do DC
   KeySpec = 1
   KeyLength = 1024
   ; Pode ser 1024, 2048, 4096, 8192, ou 16384.
   ; Tamanhos maiores de chave são mais seguros, mas têm
   ; um maior impacto no desempenho.
   Exportable = TRUE
   MachineKeySet = TRUE
   SMIME = False
   PrivateKeyArchive = FALSE
   UserProtected = FALSE
   UseExistingKeySet = FALSE
   ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
   ProviderType = 12
   RequestType = PKCS10
   KeyUsage = 0xa0
   
   [EnhancedKeyUsageExtension]
   
   OID=1.3.6.1.5.5.7.3.1 ; isto é para a Autenticação do servidor
   
   ;-----------------------------------------------
   Corte e cole o arquivo de exemplo em um novo arquivo de texto com nome de Request.inf. Forneça o nome DNS completamente qualificado do controlador de domínio na solicitação.
   
   Observação Algumas autoridades de certificação de terceiros podem exigir informações adicionais no parâmetro Entidade. Tais informações incluem um endereço de email (E), unidade organizacional (OU), organização (O), localidade ou cidade (L), estado ou província (S) e país ou região (C). Você pode anexar estas informações ao nome da Entidade (CN) no arquivo Request.inf. Por exemplo: Entidade="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
2. Crie o arquivo de solicitação. Para fazer isto, digite o seguinte comando no prompt de comando e pressione ENTER:
   certreq -new request.inf request.req
   Um novo arquivo chamado Request.req é criado. Este é o arquivo de solicitação codificado em base64.
3. Envie a solicitação para uma CA. É possível enviar a solicitação para uma CA da Microsoft ou de terceiros.
4. Recupere o certificado emitido e salve-o como Certnew.cer na mesma pasta que o arquivo de solicitação. Para fazer isto, execute as seguintes etapas:
   1. Crie um novo arquivo chamado Certnew.cer.
   2. Abra o arquivo no Bloco de notas, cole o certificado codificado no arquivo e salve o arquivo.
   Observação O certificado salvo deve estar codificado como base64. Algumas CAs de outras empresas retornam o certificado emitido para o solicitador como um texto codificado em base64 em um email.
5. Aceite o certificado emitido. Para fazer isto, digite o seguinte comando em um prompt de comando e pressione ENTER:
   certreq -accept certnew.cer
6. Verifique se o certificado está instalado no armazenamento particular do computador. Para fazer isto, execute as seguintes etapas:
   1. Inicie o console de gerenciamento da Microsoft (MMC).
   2. Adicione o snap-in Certificados que gerencia certificados no computador local.
   3. Expanda Certificados (computador local), expanda Particular e expanda Certificados.
   Um novo certificado deverá existir no armazenamento particular. Na caixa de diálogo Propriedades do certificado, a finalidade exibida é Autenticação do servidor. Este certificado é emitido para o nome do host totalmente qualificado do computador.
7. Reinicie o controlador de domínio.

Para obter informações adicionais sobre como criar a solicitação de certificado, consulte o seguinte white paper Advanced Certificate Enrollment and Management. Para visualizar este white paper, visite o seguinte site da Microsoft (em inglês):

Verificando uma conexão LDAPS

Após um certificado ser instalado, execute as seguintes etapas para verificar se o LDAPS está habilitado:

1. Inicie a ferramenta de administração do Active Directory (Ldp.exe).
   
   Observação Este programa está instalado nas Ferramentas de suporte do Windows 2000.
2. No menu Conexão, clique em Conectar.
3. Digite o nome do controlador de domínio com o qual deseja se conectar.
4. Digite 636 como o número da porta.
5. Clique em OK.
   
   Deverão ser impressas informações RootDSE no painel à direita, indicando uma conexão bem-sucedida.

Problemas possíveis

• Iniciar a solicitação extendida de TLS
  A comunicação LDAPS ocorre sobre a porta TCP 636. A comunicação LDAPS com um servidor de catálogo global ocorre sobre a porta TCP 3269. Ao conectar-se às portas 636 ou 3269, o SSL/TLS é negociado antes que qualquer tráfego LDAP seja trocado. O Windows 2000 não dá suporte à funcionalidade Iniciar a solicitação extendida de TLS.
• Vários certificados SSL
  Schannel, o provedor SSL da Microsoft, seleciona o primeiro certificado válido que localiza no armazenamento do computador local. Se houver vários certificados válidos disponíveis no armazenamento do computador local, o Schannel pode não selecionar o certificado correto.
• Problema de armazenamento em cache do certificado SSL anterior ao SP3
  Se um certificado LDAPS existente for substituído por outro certificado, por um processo de renovação ou porque a CA emissora foi alterada, o servidor deverá ser reiniciado para que a Schannel use o novo certificado. O provedor SSL no Windows 2000 armazena em cache o certificado LDAPS e não detecta a alteração até que o controlador de domínio seja reiniciado. Isto foi corrigido no Service Pack 3 para Windows 2000.