วิธีการเปิดใช้งาน LDAP ผ่าน SSL กับบริษัทรับรอง

หมายเลขบทความ (Article ID): 321051 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
แปลโดยคอมพิวเตอร์คลิกที่นี่เพื่อดูข้อจำกัดความรับผิดชอบของ KB ที่แปลโดยคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

Lightweight ไดเรกทอรีการเข้าถึงโพรโทคอล (LDAP) ถูกใช้ในการอ่านจาก และเขียนไปยัง Active Directory โดยค่าเริ่มต้น การรับส่งข้อมูล LDAP มีส่งไม่ปลอดภัย คุณสามารถทำ LDAP traffic เป็นความลับ และการรักษาความปลอดภัย โดยการใช้ความปลอดภัย Sockets Layer (SSL) / เทคโนโลยีการขนส่งเลเยอร์ความปลอดภัย (TLS) ได้ คุณสามารถเปิดใช้งาน LDAP ผ่าน SSL (LDAPS) ด้วยการติดตั้งใบรับรองที่จัดรูปแบบอย่างถูกต้องจาก Microsoft รับรอง (CA) หรือไม่ - Microsoft CA ตามการคำแนะนำในบทความนี้
กลับไปด้านบน | ให้ข้อเสนอแนะ

ข้อมูลเพิ่มเติม

ไม่มีอินเทอร์เฟซสำหรับผู้ใช้สำหรับการตั้งค่าคอนฟิก LDAPS การติดตั้งใบรับรองที่ถูกต้องบนตัวควบคุมโดเมนช่วยให้บริการ LDAP เพื่อรับ และยอม รับโดยอัตโนมัติ การเชื่อมต่อ SSL LDAP และปริมาณการใช้งานแค็ตตาล็อกส่วนกลาง

ข้อกำหนดของใบรับรอง LDAPS

เมื่อต้องการเปิดการใช้งาน LDAPS คุณต้องติดตั้งใบรับรองที่เป็นไปตามข้อกำหนดต่อไปนี้:
  • ใบรับรอง LDAPS อยู่ในของคอมพิวเตอร์เฉพาะที่เก็บใบรับรองส่วนบุคคล (โดยทางโปรแกรมรู้จักกับคอมพิวเตอร์ของ MY เก็บใบรับรอง)
  • คีย์ส่วนตัวที่ตรงกับใบรับรองมีอยู่ในที่เก็บของคอมพิวเตอร์ภายใน และเชื่อมโยงกับใบรับรองได้อย่างถูกต้อง ต้องคีย์ส่วนตัวไม่รัดกุมป้องกันคีย์ส่วนตัวการเปิดใช้งานได้
  • ส่วนขยายการใช้คีย์ขั้นสูงมีตัวระบุวัตถุการรับรองเซิร์ฟเวอร์ (1.3.6.1.5.5.7.3.1) (นอกจากนี้เรียกว่า OID)
  • ชื่อโดเมน Active Directory ของตัวควบคุมโดเมน (ตัวอย่างเช่น DC01.DOMAIN.COM) ต้องปรากฏในสถานที่ต่อไปนี้อย่างใดอย่างหนึ่ง:
    • การทั่วไปชื่อ (CN) ในฟิลด์ชื่อเรื่อง
    • รายการ DNS ในชื่อสำรองของชื่อเรื่องส่วนขยาย
  • มีออกใบรับรองตามที่ CA ที่ตัวควบคุมโดเมนและไคลเอนต์ LDAPS เชื่อถือ สร้างการเชื่อถือ โดยการตั้งค่าคอนฟิกไคลเอนต์และเซิร์ฟเวอร์ที่เชื่อถือ root CA ที่ chains CA ออก
  • คุณต้องใช้ตัวให้บริการการเข้ารหัสลับ Schannel (CSP) ในการสร้างคีย์
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดความน่าเชื่อถือใบรับรอง ให้ดูที่หัวข้อ "นโยบายเพื่อสร้างความน่าเชื่อถือของหลักการรับรอง" ในวิธีใช้เซิร์ฟเวอร์ของ Windows 2000

การสร้างการร้องขอใบรับรอง

โปรแกรมอรรถประโยชน์ใด ๆ หรือโปรแกรมประยุกต์ที่สร้างการร้องขอ PKCS #10 ถูกต้องสามารถใช้แบบฟอร์มการร้องขอใบรับรอง SSL ใช้ Certreq ฟอร์มร้องขอ

หมายเหตุ:คำสั่งที่ใช้ในบทความนี้อาศัยอยู่กับ Certreq รุ่น 2003 คัดเพื่อที่จะใช้ขั้นตอนต่าง ๆ ในบทความนี้บนเซิร์ฟเวอร์ใน Windows 2000 ลอก certreq.exe และ certcli.dll จากเซิร์ฟเวอร์ Windows 2003 ลงในไดเรกตอรีชั่วคราวบนเซิร์ฟเวอร์ของ Windows 2000

Certreq.exe จำเป็นต้องใช้แฟ้มข้อความคำแนะนำในการสร้างเหมาะสม x.509 แบบใบรับรองการร้องขอตัวควบคุมโดเมน คุณสามารถสร้างแฟ้มนี้ โดยใช้ ASCII ของคุณที่ต้องการแก้ไขข้อความ บันทึกแฟ้มเป็นแฟ้ม.inf ไปยังโฟลเดอร์ใด ๆ บนฮาร์ดไดรฟ์ของคุณ

เซิร์ฟเวอร์การร้องขอใบรับรองการรับรองความถูกต้องที่เหมาะสมสำหรับ LDAPS ทำตามขั้นตอนเหล่านี้:
  1. สร้างแฟ้ม.inf ต่อไปนี้คือ แฟ้ม.inf มีตัวอย่างที่สามารถใช้เพื่อสร้างการร้องขอใบรับรอง
    ; -----------------request.inf-----------------

    [version]

    ลายเซ็น = "$ Windows NT $

    [NewRequest]

    เรื่อง = " CN = <dc fqdn="">"; แทนที่ ด้วย FQDN ของ DC แบบ</dc>
    KeySpec =% 1
    KeyLength = 1024
    สามารถ 1024, 2048, 4096, 8192 หรือ 16384 ได้
    ขนาดคีย์ใหญ่ขึ้นจะเพิ่มความปลอดภัย แต่ได้
    ผลกระทบที่มีประสิทธิภาพการทำงาน
    สามารถส่งออก = TRUE
    MachineKeySet = TRUE
    SMIME =เท็จ
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel ผู้ให้บริการการเข้ารหัสลับ"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    ตัด และ วาง แฟ้ม ตัว อย่าง ลง ใน แฟ้ม ข้อ ความ ใหม่ ที่ ชื่อ Request.inf ใส่ ชื่อ DNS ที่ ครบถ้วน ของ ตัว ควบคุม โด เมน ใน การ ร้อง ขอ ได้

    หมายเหตุ:หน่วย งาน จัด เก็บ ใบ รับรอง ของ บริษัท อื่น บาง อย่าง อาจ ต้อง การ ข้อมูล เพิ่ม เติม ใน เรื่อง พารามิเตอร์ รวม ข้อมูล เช่น ที่ อยู่ อี เมล์ (E), หน่วย องค์กร (OU), องค์กร (O), ส่วน ภาย ใน หรือ เมือง (L), รัฐ หรือ จังหวัด (S) และ ประเทศ หรือ ภูมิภาค (C) คุณ สามารถ ผนวก ข้อมูล นี้ กับ ชื่อ เรื่อง (CN) ใน แฟ้ม Request.inf ตัว อย่าง เช่น: Subject="E=admin@contoso.com, CN = <dc fqdn="">, OU = เซิร์ฟเวอร์, O = ขายกระเป๋า, L = เรดม อนด์, S = Washington, C = us"</dc>
  2. สร้าง แฟ้ม ที่ ร้อง ขอ ได้ โดย การ พิมพ์ คำ สั่ง ต่อ ไป นี้ ที่ พร อมต์ คำ สั่ง แล้ว กด enter:
    certreq - request.req request.inf ใหม่
    มี การ สร้าง แฟ้ม ใหม่ ที่ เรียก ว่า Request.req แฟ้ม ที่ ร้อง ขอ การ เข้า รหัส base64 อยู่
  3. ส่ง การ ร้อง ขอ CA คุณ สามารถ ส่ง คำ ร้อง ขอ เพื่อ Microsoft CA หรือ CA ของ บริษัท อื่น
  4. เรียก ข้อมูล ใบ รับรอง ที่ ออก และ จาก นั้น ให้ บันทึก ใบ รับรอง ที่ เป็น Certnew.cer ใน โฟลเดอร์ เดียว กับ แฟ้ม ที่ ร้อง ขอ โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. สร้าง แฟ้ม ใหม่ ที่ เรียก ว่า Certnew.cer ได้
    2. เปิด แฟ้ม ใน Notepad วาง ใบ รับรอง การ เข้า รหัส ไว้ ใน แฟ้ม และ จาก นั้น ให้ บันทึก แฟ้ม
    หมายเหตุ:ใบ รับรอง ที่ บันทึก ไว้ ต้อง มี การ เข้า รหัส เป็น base64 Ca ของ บริษัท อื่น บาง กลับ ใบ รับรอง ที่ ออก ไป requestor ที่ เป็น ข้อ ความ ที่ เข้า รหัส base64 ใน ข้อ ความ อี เมล
  5. ยอม รับ การ ออก ใบ รับรอง โดย การ พิมพ์ คำ สั่ง ต่อ ไป นี้ ที่ พร อมต์ คำ สั่ง แล้ว กด enter:
    certreq - certnew.cer การ ยอม รับ
  6. ตรวจ สอบ ว่า มี การ ติด ตั้ง ใบ รับรอง ใน การ เก็บ ส่วน ตัว ของ คอมพิวเตอร์ โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. การ เริ่ม ต้น การ คอนโซล การ จัดการ ของ Microsoft (MMC)
    2. เพิ่ม ใบ รับรอง สแนป อิน ที่ จัดการ ใบ รับรอง ของ เครื่อง คอมพิวเตอร์
    3. ขยายใบ รับรอง (ภาย ใน เครื่อง คอมพิวเตอร์), ขยายส่วน บุคคลแล้ว ขยายใบรับรอง.
    ใบ รับรอง ใหม่ ควร มี อยู่ ใน ที่ เก็บ ส่วน ตัว ในการคุณสมบัติ ของ ใบ รับรองกล่อง โต้ ตอบ แสดง วัตถุ ประสงค์ เป้าหมาย คือการ รับรอง ความ ถูก ต้อง ของ เซิร์ฟเวอร์. ออก ใบ รับรอง นี้ ชื่อ โฮสต์ ที่ ครบถ้วน ของ คอมพิวเตอร์
  7. เริ่มต้นตัวควบคุมโดเมน
สำหรับ ข้อมูล เพิ่ม เติม เกี่ยวกับ การ สร้าง การ ร้อง ขอ ใบ รับรอง ให้ ดู ที่ ต่อ ไป นี้ ลง ทะเบียน ใบ รับรอง การ ขั้น สูง และ การ จัดการ เอกสาร ทาง เทคนิค เมื่อต้องการดูเอกสารทางเทคนิคนี้ โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft::
http://technet.microsoft.com/en-us/library/cc782583.aspx
(http://technet.microsoft.com/en-us/library/cc782583.aspx)

การ ตรวจ สอบ การ เชื่อม ต่อ LDAPS

หลัง จาก ติด ตั้ง ใบ รับรอง ให้ ทำ ตาม ขั้น ตอน การ ตรวจ สอบ ว่า LDAPS ถูก เปิด ใช้ งาน:
  1. Start the Active Directory Administration Tool (Ldp.exe).

    หมายเหตุ:This program is installed in the Windows 2000 Support Tools.
  2. ในการเชื่อมต่อเมนู คลิกเชื่อมต่อ.
  3. Type the name of the domain controller to which you want to connect.
  4. ประเภท:636as the port number.
  5. คลิกตกลง.

    RootDSE information should print in the right pane, indicating a successful connection.

Possible issues

  • Start TLS extended request
    LDAPS communication occurs over port TCP 636. LDAPS communication to a global catalog server occurs over TCP 3269. When connecting to ports 636 or 3269, SSL/TLS is negotiated before any LDAP traffic is exchanged. Windows 2000 does not support the Start TLS extended-request functionality.
  • Multiple SSL certificates
    Schannel, the Microsoft SSL provider, selects the first valid certificate that it finds in the local computer store. If there are multiple valid certificates available in the local computer store, Schannel may not select the correct certificate.
  • Pre-SP3 SSL certificate caching issue
    If an existing LDAPS certificate is replaced with another certificate, either through a renewal process or because the issuing CA has changed, the server must be restarted for Schannel to use the new certificate. The SSL provider in Windows 2000 caches the LDAPS certificate and does not detect the change until the domain controller is restarted. This has been corrected in Service Pack 3 for Windows 2000.

Windows Server 2008 improvements

The original recommendation in this article was to put certificates in the Local Machine's Personal store. Although this option is supported, you can also put certificates in the NTDS Service's Personal certificate store on Windows Server 2008 and on later versions of Active Directory Domain Services (AD DS). For more information about how to add the certificate to the NTDS service's Personal certificate store, visit the following Microsoft TechNet Web site:
http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx
(http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx)
ad DS preferentially ค้นหาใบรับรองในที่เก็บนี้ผ่านร้านค้าของเครื่องจักรในเครื่อง ซึ่งช่วยได้ง่ายขึ้น DS AD การใช้ใบรับรองที่คุณต้องการให้ใช้การกำหนดค่าคอนฟิก นี่คือเนื่องจากอาจมีใบรับรองหลายในเก็บส่วนตัวเครื่องท้องถิ่น และอาจเป็นเรื่องยาก predict ใดถูกเลือก

AD DS ตรวจ พบ เมื่อ หลุด เข้า ไป ใน ที่ เก็บ ใบ รับรอง ใบ รับรอง ใหม่ และ ทริก เกอร์ การ ปรับ ปรุง ใบ รับรอง SSL โดย ไม่ ต้อง รี สตาร์ AD DS หรือ ตัว ควบคุม โด เมน ที่ เริ่ม ต้น แล้ว

rootDse ดำเนิน การ ใหม่ ที่ ชื่อreviewServerCertificateสามารถ ใช้ ใน การ เรียก ใช้ DS AD เพื่อ ปรับ ปรุง ใบ รับรอง ของ SSL โดย ไม่ ต้อง รี สตาร์ AD DS หรือ ตัว ควบคุม โด เมน ที่ เริ่ม ต้น ใหม่ ด้วย ตน เอง ได้

และ สุด ท้าย หาก Windows Server 2008 หรือ ตัว ควบคุม โด เมน รุ่น ที่ ใหม่ กว่า พบ ใบ รับรอง หลาย ใน ที่ เก็บ ของ ให้ เลือก ดัง กล่าว จะ ใบ รับรอง ที่ มี วัน หมด อายุ จะ furthest ใน อนาคต ได้ โดย อัตโนมัติ ดัง นั้น หาก ใบ รับรอง ปัจจุบัน ของ คุณ กำลัง เริ่ม วัน ที่ หมด อายุ คุณ สามารถ ลบ ใบ รับรอง แทน ที่ ใน ที่ เก็บ และ AD DS การ สลับ ไป ใช้ โดย อัตโนมัติ

ทั้ง หมด เหล่า นี้ ทำ งาน สำหรับ Windows Server 2008 AD DS และ หาบ 2008 Active Directory Lightweight active Directory (AD LDS) สำหรับ LDS AD, วาง ใบ รับรอง ลง ใน ที่ เก็บ ใบ รับรอง ส่วน บุคคล สำหรับ บริการ ที่ สอด คล้อง กับ อิน สแตนซ์ LDS AD แทน สำหรับ บริการ NTDS
กลับไปด้านบน | ให้ข้อเสนอแนะ

คุณสมบัติ

หมายเลขบทความ (Article ID): 321051 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 5.0
ใช้กับ
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbproductlink kbinfo kbmt KB321051 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:321051
(http://support.microsoft.com/kb/321051/en-us/ )
กลับไปด้านบน | ให้ข้อเสนอแนะ

ให้ข้อเสนอแนะ

 
กลับไปด้านบนกลับไปด้านบน