Активация LDAP через SSL с использованием сертификата независимого центра сертификации

Переводы статьи Переводы статьи
Код статьи: 321051 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Облегченный протокол доступа к каталогам LDAP (Lightweight Directory Access Protocol) используется для чтения и записи данных в службу каталогов Active Directory. По умолчанию трафик LDAP незащищен. С помощью технологии SSL (Secure Sockets Layer)/TLS (Transport Layer Security) можно сделать трафик LDAP конфиденциальным и безопасным. Чтобы активировать LDAP через SSL (LDAPS), необходимо установить отформатированный должным образом сертификат центра сертификации Майкрософт (CA) или сертификат независимого центра сертификации в соответствии с основными положениями данной статьи.

Дополнительная информация

Интерфейс пользователя для конфигурации LDAPS отсутствует. Установка действующего сертификата на контроллер домена позволяет средству LDAP прослушивать и автоматически принимать подключения SSL для трафиков LDAP и глобального каталога.

Требования к сертификату LDAPS

Для активации LDAPS необходимо установить сертификат, соответствующий следующим требованиям:
  • Сертификат LDAPS расположен в хранилище личного сертификата локального компьютера (программно известного как хранилище сертификатов компьютера MY).
  • Закрытый ключ, подходящий для сертификата, хранится в хранилище локального компьютера и соответствует данному сертификату. Усиленная защита закрытого ключа не должна быть активирована.
  • Расширение улучшенного ключа включает идентификатор объекта (также известный как OID) проверки подлинности сервера (1.3.6.1.5.5.7.3.1).
  • Полное доменное имя контроллера домена Active Directory (например, DC01.DOMAIN.COM) должно отображаться в одном из следующих мест:
    • «Общее имя» (CN) в поле «Тема».
    • DNS-запись в расширении «Дополнительное имя субъекта».
  • Сертификат был выдан центром сертификации, которому доверяют и контроллер домена, и клиенты LDAPS. Доверительные отношения устанавливаются путем настройки доверия клиентских компьютеров и сервера корневому центру сертификации, к которому привязывается выпускающий центр сертификации.
  • Для создания ключа необходимо использовать поставщик службы криптографии (CSP) Schannel.
Дополнительные сведения об установке доверительных отношений для сертификатов см. в разделе справки Windows 2000 Server «Политика установки доверительных отношений корневых центров сертификации».

Создание запроса на сертификат

Для создания запроса на сертификат SSL можно использовать любую служебную программу или приложение, которые создают действительный запрос PKCS #10. Для создания запроса воспользуйтесь программой Certreq.

Примечание Команды, используемые в этой статье, относятся к версии Certreq 2003. Чтобы выполнить действия из этой статьи на сервере Windows 2000, скопируйте файлы certreq.exe и certcli.dll с сервера Windows 2003 во временный каталог на сервере Windows 2000.

Чтобы генерировать соответствующий запрос сертификата X.509 для контроллера домена, программе Certreq.exe необходим текстовый файл команд. Данный файл можно создать с помощью любого текстового редактора в формате ASCII. Сохраните созданный файл с расширением .inf в любой папке на жестком диске.

Для создания запроса на получение подходящего для LDAPS сертификата проверки подлинности сервера выполните следующие действия:
  1. Создайте файл с расширением .inf. Далее приведен пример INF-файла, который может быть использован для создания запроса сертификата.
    ----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$"

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; replace with the FQDN of the DC
    KeySpec = 1
    KeyLength = 1024
    ; Can be 1024, 2048, 4096, 8192, or 16384.
    ; Larger key sizes are more secure, but have
    ; a greater impact on performance.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    Скопируйте и вставьте данный пример в новый текстовый файл с именем Request.inf. В запросе укажите полное DNS-имя контроллера домена.

    Примечание. Для некоторых независимых центров сертификации может понадобиться указание дополнительных сведений в параметре «Subject». К подобным сведениям относятся электронный адрес (E), подразделение (OU), организация (O), местность или город (L), область или штат (S) и страна (C). Данные сведения можно добавить к параметру «Общее имя» (CN) в файле Request.inf. Например: Subject = "E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Создание файла запроса. В командную строку введите команду
    certreq -new request.inf request.req
    и нажмите клавишу ВВОД. Будет создан новый файл с именем Request.req. Это файл запроса, зашифрованный Base64.
  3. Отправьте запрос либо в центр сертификации Майкрософт, либо в независимый центр сертификации.
  4. Загрузите выданный сертификат и сохраните его в виде файла Certnew.cer в папке, где хранится файл запроса. Для этого выполните следующие действия:
    1. Создайте новый файл с именем Certnew.cer.
    2. Откройте файл в программе «Блокнот», вставьте в него зашифрованный сертификат и сохраните файл.
    Примечание. Сохраненный сертификат должен быть зашифрован в Base64-формате. Некоторые независимые центры сертификации направляют запрашивающей стороне выданный сертификат, зашифрованный в Base64-формате, электронным сообщением.
  5. Примите выданный сертификат. Для этого в командной строке введите следующую команду и нажмите клавишу ВВОД:
    certreq -accept certnew.cer
    .
  6. Убедитесь, что сертификат был установлен в хранилище личного сертификата компьютера. Для этого выполните следующие действия:
    1. Запустите консоль управления (MMC).
    2. Добавьте оснастку диспетчера сертификатов, который управляет сертификатами на локальном компьютере.
    3. Последовательно разверните узлы Сертификаты (Локальный компьютер), Личные и Сертификаты.
    В личном хранилище должен быть новый сертификат. В диалоговом окне Свойства сертификата будет указано назначение сертификата Проверка подлинности сервера. Этот сертификат выдан для полного имени компьютера.
  7. Перезагрузите контроллер домена.
Дополнительные сведения о создании запроса на сертификат см. в официальной публикации «Подача заявок на сертификаты и управление сертификатами» (Advanced Certificate Enrollment and Management) на следующей странице веб-узла корпорации Майкрософт:
http://technet.microsoft.com/ru-ru/library/cc782583.aspx

Проверка подключения LDAPS

После установки сертификата выполните следующие действия, чтобы проверить, активирован ли LDAPS.
  1. Запустите средство администрирования Active Directory (Ldp.exe).

    Примечание. Эта программа установлена в средствах поддержки Windows 2000.
  2. В меню Подключение выберите команду Подключить.
  3. Введите имя контроллера домена, к которому необходимо подключиться.
  4. Введите номер порта 636.
  5. Нажмите кнопку ОК.

    На правой панели должны отображаться сведения RootDSE, сообщающие об успешном подключении.

Возможные проблемы

  • Расширенный запрос «Start TLS»
    Связь LDAPS устанавливается через TCP-порт 636. Связь LDAPS с сервером глобального каталога устанавливается через TCP-порт 3269. При подключении к портам 636 или 3269 согласование протокола SSL/TLS выполняется до того, как происходит обмен трафика LDAP. Операционная система Windows 2000 не поддерживает функцию расширенного запроса «Start TLS».
  • Несколько SSL-сертификатов
    Schannel (поставщик SSL для корпорации Майкрософт) выбирает первый действующий сертификат, который он находит в хранилище компьютера. Если в хранилище локального компьютера хранится несколько действующих сертификатов, то Schannel может выбрать неподходящий сертификат.
  • Ошибка кэширования SSL-сертификата, возникающая в системе без пакета обновления 3 (SP3)
    При изменении существующего сертификата LDAPS (либо из-за замены старого на новый, либо из-за изменения центра сертификации) необходимо перезагрузить сервер, чтобы Schannel мог использовать новый сертификат. В Windows 2000 поставщик SSL кэширует сертификат LDAPS и не сможет выявить изменения до тех пор, пока не будет выполнена перезагрузка домена. Эта проблема была устранена в пакете обновления 3 (SP3) для Windows 2000.

Усовершенствования Windows Server 2008

Изначально в этой статье рекомендовалось помещать сертификаты в личное хранилище сертификатов локального компьютера. Хотя эта возможность по-прежнему поддерживается, сертификаты также можно помещать в личное хранилище сертификатов службы NTDS в ОС Windows Server 2008 и в более поздних версиях доменных служб Active Directory. Дополнительные сведения о добавлении сертификата в личное хранилище сертификатов службы NTDS см. на веб-сайте Microsoft TechNet по следующему адресу:
http://technet.microsoft.com/ru-ru/library/dd941846(WS.10).aspx
Доменная служба Active Directory в первую очередь выполняет поиск сертификатов в этом хранилище, а не в хранилище локального компьютера. Таким образом проще настроить доменную службу Active Directory для использования необходимого сертификата. Это связано с тем, что в личном хранилище сертификатов локального компьютера может быть несколько сертификатов, и трудно предугадать, какой из них выбран.

Доменная служба Active Directory определяет появление нового сертификата в своем хранилище и обновляет сертификат SSL без перезапуска доменной службы или контроллера домена.

Чтобы вручную запустить обновление сертификатов SSL доменной службой Active Directory без перезапуска самой службы или контроллера домена, можно использовать новую операцию rootDse, которая называется renewServerCertificate. Этот атрибут можно обновить с помощью команды adsiedit.msc или путем импорта изменений в файл формата обмена данными LDAP (LDIF), используя команду ldifde.exe. Подробнее об использовании LDIF-файла для обновления этого атрибута см. на веб-сайте Microsoft MSDN:
http://msdn.microsoft.com/ru-ru/library/cc223311.aspx
Если контроллер домена ОС Windows Server 2008 или более поздней версии обнаружит в своем хранилище несколько сертификатов, он автоматически выберет сертификат с наиболее продолжительным сроком действия. Затем, если срок действия текущего сертификата заканчивается, в хранилище можно поместить заменяющий сертификат — служба доменов Active Directory автоматически будет использовать его.

Все эти действия применимы к службе доменов Active Directory в ОС Windows Server 2008 и службе Active Directory облегченного доступа к каталогам 2008 (AD LDS). В службе AD LDS поместите сертификаты в личное хранилище сертификатов для службы, соответствующей экземпляру службы AD LDS, а не для службы NTDS.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 321051 - Последний отзыв: 26 февраля 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbproductlink kbinfo KB321051

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com