วิธีการเปิดใช้งาน LDAP ผ่าน SSL กับหน่วยงานใบรับรองของบริษัทอื่น

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 321051 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

น้ำหนักเบาและไดเรกทอรีการเข้าถึงโพรโทคอล (LDAP) ถูกใช้ในการ อ่านจาก และเขียนไปยังไดเรกทอรีที่ใช้งานอยู่ โดยค่าเริ่มต้น การรับส่งข้อมูล LDAP คือ ส่งข้อมูลการรักษาความปลอดภัย คุณสามารถทำการ LDAP traffic เป็นความลับ และความปลอดภัยด้วย ใช้ การรักษาความปลอดภัย Secure Sockets Layer (SSL) / เทคโนโลยีการขนส่งเลเยอร์ความปลอดภัย (TLS) คุณสามารถเปิดใช้งาน LDAP ผ่าน SSL (LDAPS) ด้วยการติดตั้งรูปแบบอย่างถูกต้อง ใบรับรองจาก Microsoft รับรอง (CA) หรือ ไม่ใช่ - Microsoft CA ตามคำแนะนำในบทความนี้

ข้อมูลเพิ่มเติม

ไม่มีอินเทอร์เฟซสำหรับผู้ใช้สำหรับการตั้งค่าคอนฟิก LDAPS อยู่ การติดตั้งใบรับรองที่ถูกต้องบนตัวควบคุมโดเมนช่วยให้บริการ LDAP เมื่อต้องการฟัง และยอม รับโดยอัตโนมัติ การเชื่อมต่อ SSL สำหรับ LDAP ทั้ง และ ปริมาณการใช้งานแค็ตตาล็อกส่วนกลาง

ข้อกำหนดสำหรับใบรับรอง LDAPS

เมื่อต้องการเปิดใช้งาน LDAPS คุณต้องติดตั้งใบรับรองที่เป็นไปตาม ข้อกำหนดต่อไปนี้:
  • ใบรับรอง LDAPS อยู่ในคอมพิวเตอร์ ที่เก็บใบรับรองส่วนบุคคล (โดยทางโปรแกรมเรียกว่า MY ของคอมพิวเตอร์ ที่เก็บใบรับรอง)
  • คีย์ส่วนตัวที่ตรงกับใบรับรองมีอยู่ใน คอมพิวเตอร์จัดเก็บ และเชื่อมโยงกับใบรับรองอย่างถูกต้อง คีย์ส่วนตัวต้องไม่มีการคาดเดาส่วนตัวป้องกันคีย์การเปิดใช้งาน
  • ส่วนขยายสนับสนุนการใช้งานคีย์รวมเซิร์ฟเวอร์ การรับรองความถูกต้อง (1.3.6.1.5.5.7.3.1) วัตถุตัวระบุ (เรียกอีกอย่างว่า OID)
  • ไดเรกทอรีที่ใช้งานอยู่เต็มชื่อโดเมนของการ ตัวควบคุมโดเมน (ตัวอย่างเช่น DC01DOMAIN.COM) ต้องปรากฏในหนึ่งตัว ตำแหน่งต่อไปนี้:
    • ทั่วไปชื่อ (CN) ในฟิลด์ชื่อเรื่อง
    • รายการ DNS ในชื่อเรื่องอื่น เบอร์ต่อภายใน
  • ใบรับรองที่ออก โดย CA ที่โดเมน ตัวควบคุมและไคลเอนต์ LDAPS เชื่อถือ ความน่าเชื่อถือที่กำหนด โดยการตั้งค่าคอนฟิก ไคลเอนต์และเซิร์ฟเวอร์ที่เชื่อถือ root CA ที่ห่วงโซ่ของ CA ออกเอกสารนั้น
  • คุณต้องใช้ตัวให้บริการการเข้ารหัสลับ Schannel (CSP) เมื่อต้องการสร้างคีย์
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างความน่าเชื่อถือใบรับรอง ดูหัวข้อ "นโยบายการสร้างความน่าเชื่อถือของรากใบรับรอง" ในวิธีใช้ Windows 2000 Server

สร้างคำขอใบรับรอง

โปรแกรมอรรถประโยชน์ใด ๆ หรือแอพลิเคชันที่สร้างแบบ PKCS #10 ถูกต้องร้องขอสามารถใช้แบบฟอร์มคำขอใบรับรอง SSL ได้ ใช้ Certreq เพื่อสร้างการร้องขอ

หมายเหตุ คำสั่งที่ใช้ในบทความนี้อาศัย Certreq เวอร์ชั่น 2003 เพื่อที่จะใช้ขั้นตอนในบทความนี้บนเซิร์ฟเวอร์ Windows 2000 คัด certreq.exe และ certcli.dll จากเซิร์ฟเวอร์ Windows 2003 ลงในไดเรกทอรีชั่วคราวบนเซิร์ฟเวอร์ Windows 2000

Certreq.exe จำเป็นต้องใช้แฟ้มข้อความคำแนะนำในการสร้างการ ขอการรับรอง X.509 ที่เหมาะสมสำหรับตัวควบคุมโดเมน คุณสามารถสร้าง แฟ้มนี้ โดยใช้ตัวแก้ไขข้อความ ASCII ที่ต้องการของคุณ บันทึกแฟ้มเป็น.inf ผิด แฟ้มไปยังโฟลเดอร์ใด ๆ บนฮาร์ดไดรฟ์ของคุณ

การร้องขอที่เซิร์ฟเวอร์ ใบรับรองการรับรองความถูกต้องที่เหมาะสมสำหรับ LDAPS ให้ทำตามขั้นตอนเหล่านี้:
  1. สร้างแฟ้ม.inf ต่อไปนี้เป็น.inf เป็นตัวอย่าง แฟ้มที่คุณสามารถใช้เพื่อสร้างคำขอใบรับรอง
    ; ---request.inf---

    [Version]

    ลายเซ็น = "$ $Windows NT

    [NewRequest]

    เรื่อง = " CN =<DC fqdn="">"; แทนที่ ด้วย FQDN ของ DC
    KeySpec = 1
    KeyLength = 1024
    ; อาจเป็น 1024, 2048, 4096, 8192 หรือ 16384 ครั้ง
    ; ขนาดใหญ่ที่สำคัญมีความปลอดภัยมากขึ้น แต่มี
    ; ผลกระทบที่มากกว่าประสิทธิภาพการทำงาน
    สามารถส่งออก = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel เข้ารหัสลับบริการ"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; นี่คือการรับรองความถูกต้องของเซิร์ฟเวอร์

    ;-----------------------------------------------</DC>
    ตัด และวางแฟ้มตัวอย่างลงในแฟ้มข้อความใหม่ที่ชื่อ Request.inf ใส่ชื่อ DNS ที่ครบถ้วนของตัวควบคุมโดเมนในการ การร้องขอ

    หมายเหตุ ใบรับรองของบริษัทอื่นบางอย่าง หน่วยงานอาจต้องการข้อมูลเพิ่มเติมในเรื่องพารามิเตอร์ ดังกล่าว ข้อมูลประกอบด้วยอยู่อีเมล์ (E), หน่วยองค์กร (OU), องค์กร (O), ส่วนภายใน หรือเมือง (L), รัฐ หรือจังหวัด (S), และประเทศ หรือ ภูมิภาค (C) คุณสามารถผนวกข้อมูลนี้เป็นชื่อเรื่อง (CN) ใน แฟ้ม Request.inf ตัวอย่าง: Subject="E=admin@contoso.com, CN =<DC fqdn="">, OU =เซิร์ฟเวอร์ O = Contoso, L = Redmond, S =วอชิงตัน C =สหรัฐอเมริกา" </DC>
  2. สร้างแฟ้มร้องขอ เมื่อต้องการทำเช่นนี้ พิมพ์ต่อไปนี้ คำสั่งที่พร้อมท์คำสั่ง และจากนั้น กด ENTER:
    certreq-request.req request.inf ใหม่
    มีสร้างแฟ้มใหม่ที่ชื่อว่า Request.req นี่คือการ แฟ้มการร้องขอการเข้ารหัส base64
  3. ส่งคำขอไปยัง CA คุณสามารถส่งคำขอไปยัง Microsoft CA หรือ CA ของบริษัทอื่น
  4. เรียกข้อมูลใบรับรองที่ถูกนำออกใช้ และจากนั้น บันทึกการ ใบรับรองเป็น Certnew.cer ในโฟลเดอร์เดียวกับแฟ้มร้องขอ เมื่อต้องการทำเช่นนี้ ทำตามขั้นตอนเหล่านี้:
    1. สร้างแฟ้มใหม่ที่ชื่อว่า Certnew.cer
    2. เปิดแฟ้มใน Notepad วางใบรับรองการเข้ารหัส ไปยังแฟ้ม และจากนั้น บันทึกแฟ้ม
    หมายเหตุ ใบรับรองบันทึกไว้ต้องถูกเข้ารหัสเป็น base64 บางอย่างของบริษัทอื่น CAs กลับใบรับรองที่ออกไป requestor ที่เป็นข้อความที่เข้ารหัส base64 ในการ ข้อความอีเมล
  5. ยอมรับใบรับรองออกใช้ เมื่อต้องการทำเช่นนี้ พิมพ์คำ คำสั่งที่พร้อมท์คำสั่งต่อไปนี้ และจากนั้น กด ENTER:
    certreq-certnew.cer การยอมรับ
  6. ตรวจสอบว่า มีการติดตั้งใบรับรองในเครื่องคอมพิวเตอร์ ร้านค้าส่วนบุคคล ในการดำเนินการดังกล่าว ให้ทำตามขั้นตอนต่อไปนี้
    1. เริ่ม Microsoft Management Console (MMC)
    2. เพิ่มใบรับรองสแนปอินที่จัดการใบรับรอง บนเครื่องคอมพิวเตอร์
    3. ขยาย ใบรับรอง (ภายในเครื่องคอมพิวเตอร์), ขยาย ส่วนบุคคลแล้ว ขยาย ใบรับรอง.
    ใบรับรองใหม่ควรมีอยู่ในเก็บส่วนบุคคล ในการคุณสมบัติของใบรับรอง กล่องโต้ตอบ วัตถุประสงค์กำหนดไว้ แสดงเป็น เซิร์ฟเวอร์การรับรองความถูกต้อง. มีออกใบรับรองนี้ เมื่อต้องการชื่อโฮสต์ที่ครบถ้วนของคอมพิวเตอร์
  7. เริ่มต้นตัวควบคุมโดเมนใหม่
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการสร้างคำขอใบรับรอง ดูคำต่อไปนี้ขั้นสูงการลงทะเบียนใบรับรองและการจัดการเอกสารทางเทคนิค เมื่อต้องการดูเอกสารทางเทคนิคนี้ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet.microsoft.com/en-us/library/cc782583.aspx

การตรวจสอบการเชื่อมต่อ LDAPS

หลังจากที่มีการติดตั้งใบรับรอง ให้ทำตามขั้นตอนเหล่านี้เพื่อตรวจสอบ ว่า LDAPS ถูกเปิดใช้งาน:
  1. เริ่มใช้เครื่องมือการดูแลระบบไดเรกทอรีที่ใช้งานอยู่ (Ldp.exe)

    หมายเหตุ มีการติดตั้งโปรแกรมนี้ในการสนับสนุน 2000 Windows เครื่องมือ
  2. ในการ การเชื่อมต่อ เมนู คลิกเชื่อมต่อ.
  3. พิมพ์ชื่อของตัวควบคุมโดเมนที่คุณต้องการ เชื่อมต่อ
  4. ชนิด 636 เป็นท่าเรือ หมายเลข
  5. คลิก ตกลง.

    ข้อมูล RootDSE ควรพิมพ์ในบานหน้าต่างด้านขวา เพื่อแสดงการเชื่อมต่อสำเร็จ

การตัดสินค้าจากคลังที่เป็นไปได้

  • TLS ขยายการร้องขอการเริ่มต้น
    LDAPS การสื่อสารที่เกิดขึ้นผ่านพอร์ต TCP 636 LDAPS การสื่อสารกับเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่เกิดขึ้นผ่าน TCP 3269 เมื่อเชื่อมต่อ เจรจาต่อกับพอร์ต 636 หรือ 3269, SSL/TLS เป็นรองก่อนที่จะรับส่งข้อมูล LDAP ใด ๆ แลกเปลี่ยน Windows 2000 ไม่สนับสนุนการ TLS เริ่มขยายขอ ฟังก์ชันการทำงาน
  • ใบรับรอง SSL หลาย
    Schannel ตัวให้บริการ Microsoft SSL เลือกรายการแรก ใบรับรองที่ถูกต้องที่พบในเก็บภายในเครื่องคอมพิวเตอร์ ถ้ามี Schannel อาจหลายถูกต้องรับรองพร้อมใช้งานในเก็บภายในเครื่องคอมพิวเตอร์ ไม่ต้องเลือกใบรับรองถูกต้อง
  • ใบรับรอง SSL SP3 ก่อนแคการตัดสินค้าจากคลัง
    ถ้าใบรับรอง LDAPS ที่มีอยู่จะถูกแทนที่ ด้วยอีก ใบรับรอง อย่างใดอย่างหนึ่งขั้นตอนการต่ออายุหรือได้เนื่อง จากมี CA ออกเอกสาร ทรานซิสชั่นท์ เซิร์ฟเวอร์ต้องเริ่มต้นสำหรับ Schannel การใช้ใบรับรองใหม่ ตัวให้บริการ SSL ใน Windows 2000 ที่เก็บใบรับรอง LDAPS และไม่มี ตรวจพบการเปลี่ยนแปลงจนกว่ามีการเริ่มระบบใหม่ตัวควบคุมโดเมน ซึ่งได้รับ ถูกแก้ไขใน Service Pack ที่ 3 สำหรับ Windows 2000

การปรับปรุงของ Windows Server 2008

ที่เดิมที่แนะนำในบทความนี้ถูกทำให้ใบรับรองในที่เก็บส่วนบุคคลของเครื่องเฉพาะ ถึงแม้ว่าตัวเลือกนี้จะได้รับการสนับสนุน คุณสามารถใช้ใบรับรองในที่เก็บใบรับรองส่วนบุคคลของบริการ NTDS บน Windows Server 2008 และรุ่นที่ใหม่กว่าของบริการการโดเมนไดเรกทอรีที่ใช้งานอยู่ (AD DS) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเพิ่มใบรับรองไปยังที่เก็บใบรับรองส่วนบุคคลของบริการ NTDS แวะไป Microsoft TechNet เว็บไซต์ต่อไปนี้:
http://technet.microsoft.com/en-us/library/dd941846 (WS.10) .aspx
AD DS preferentially ค้นหาใบรับรองในที่เก็บนี้ผ่านร้านค้าของเครื่องจักรเฉพาะที่ นี้ช่วยให้ง่ายต่อการโฆษณา DS จะใช้ใบรับรองที่คุณต้องการให้ใช้การตั้งค่าคอนฟิก ทั้งนี้เนื่องจากอาจมีใบรับรองจำนวนมากในเก็บส่วนบุคคลเครื่องจักรภายใน และอาจเป็นการยากที่จะทำนายว่า ใดถูกเลือกไว้

DS โฆษณาตรวจพบเมื่อใบรับรองใหม่หลุดลงไปในเก็บใบรับรอง และจากนั้น ทริกเกอร์การปรับปรุงใบรับรอง SSL โดยไม่ต้องรีสตาร์ AD DS หรือตัวควบคุมโดเมนเริ่มการทำงาน

RootDse ดำเนินการใหม่ที่ชื่อrenewServerCertificateสามารถใช้เพื่อทริกเกอร์การ DS โฆษณาเมื่อต้องการปรับปรุงใบรับรองของ SSL โดยไม่ต้องรีสตาร์ AD DS หรือตัวควบคุมโดเมนเริ่มการทำงานด้วยตนเอง แอตทริบิวต์นี้สามารถปรับปรุงโดยใช้adsiedit.mscหรือ โดยการนำเข้าการเปลี่ยนแปลงใน LDAP ไดเรกทอรีแลกเปลี่ยนรูปแบบ (LDIF) โดยใช้ldifde.exeได้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการใช้ LDIF สามารถปรับปรุงแอตทริบิวต์นี้ โปรดเยี่ยมชม Microsoft MSDN เว็บไซต์ต่อไปนี้:
.aspx http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10)
ในตอนท้าย ถ้า Windows Server 2008 หรือตัวควบคุมโดเมนรุ่นที่ใหม่กว่าค้นหาใบรับรองจำนวนมากในที่เก็บของ ได้โดยอัตโนมัติเลือกใบรับรองที่มีวันหมดอายุเป็น furthest ในอนาคต แล้ว ถ้ามีกำลังวันหมดอายุของใบรับรองปัจจุบันของคุณ คุณสามารถลบใบรับรองทดแทนในเก็บ และ DS โฆษณาจะสลับไปใช้

ทั้งหมดนี้ทำงาน สำหรับ Windows Server 2008 AD DS และ 2008 ที่ใช้งานน้ำหนักเบาและ บริการ Directory (AD LDS) สำหรับ LDS AD วางใบรับรองในเก็บใบรับรองส่วนบุคคลสำหรับการบริการที่สอดคล้องกับอินสแตนซ์ AD LDS แทนสำหรับบริการ NTDS

คุณสมบัติ

หมายเลขบทความ (Article ID): 321051 - รีวิวครั้งสุดท้าย: 7 มิถุนายน 2556 - Revision: 6.0
ใช้กับ
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbproductlink kbinfo kbmt KB321051 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:321051

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com