Üçüncü taraf sertifika yetkilisi ile SSL üzerinden LDAP etkinleştirme

Makale çevirileri Makale çevirileri
Makale numarası: 321051 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Basit Dizin Erişim Protokolü (LDAP) için kullanılır Okuma ve Active Directory'ye yazma. Varsayılan olarak, LDAP trafiği. Güvenli olmayan aktarılır. Gizli ve güvenli olarak LDAP trafiği yapabilirsiniz. Güvenli Yuva Katmanı (SSL) kullanarak / Aktarım Katmanı Güvenliği (TLS) teknoloji. Düzgün biçimlendirilmiş yükleyerek (LDAPS) SSL üzerinden LDAP etkinleştirebilirsiniz bir Microsoft sertifika yetkilisi (CA) sertifika herhangi birinden veya bir Microsoft dışı CA bu makaledeki yönergelere göre.

Daha fazla bilgi

LDAPS yapılandırma kullanıcı arabirimi yoktur. LDAP hizmeti veren geçerli bir sertifika bir etki alanı denetleyicisinde yükleme dinlemek ve otomatik olarak kabul et, hem LDAP SSL bağlantıları için ve Genel katalog trafiğine.

LDAPS sertifika gereksinimleri

LDAPS etkinleştirmek için uygun bir sertifika yüklemeniz gerekir aşağıdaki gereksinimleri:
  • LDAPS sertifikayı yerel bilgisayarın içinde bulunur. Kişisel sertifika deposuna (programlı olarak bilgisayarın MY bilinir Sertifika Deposu).
  • Eşleşen sertifikanın özel anahtarı bulunur Yerel bilgisayarın depolamak ve doğru sertifika ile ilişkilendirilir. Özel anahtarı gerekir değil güçlü özel anahtar koruması etkin olan.
  • Gelişmiş anahtar kullanımı uzantısı Server içerir Nesne tanımlayıcısı (olarak da bilinen kimlik doğrulama (1.3.6.1.5.5.7.3.1) OID).
  • Active Directory etki alanı adı tam olarak etki alanı denetleyicisi (örneğin, DC01.ETKİALANI.com) birinde görünmelidir Aşağıdaki yerler:
    • Ortak ad (CN) konu alanında.
    • Konu diğer adı DNS girişi uzantısı.
  • Sertifika CA tarafından verilmiş, etki alanı Denetleyici ve LDAPS istemcilerin güven. Güven yapılandırarak oluşturulur İstemci ve sunucu için kök CA'ya güvenmek için sertifika veren CA zincirleri.
  • Anahtar üretmek için Schannel şifreleme hizmeti sağlayıcısı (CSP) kullanmanız gerekir.
Sertifika güven oluşturma hakkında daha fazla bilgi için "Sertifika yetkilileri için güven oluşturacak ilkeler kök" konusuna bakın Windows 2000 Server Yardımı'nda.

Sertifika isteği oluşturma

Herhangi bir hizmet programı veya geçerli PKCS #10 oluşturan uygulama isteği SSL sertifika isteği oluşturmak için kullanılabilir. Certreq isteğini oluşturmak için kullanın.

Not Bu makalede kullanılan komutları Certreq 2003 sürümünü kullanır. Windows 2000 Server'da, bu makaledeki adımları kullanmak için CertReq.exe'yi ve certcli.dll bir Windows 2003 sunucusu Windows 2000 server üzerinde geçici bir dizine kopyalayın.

CertReq.exe'yi oluşturmak için bir metin yönerge dosyası gerektiren bir bir etki alanı denetleyicisi için uygun X.509 sertifika isteği. Oluşturabileceğiniz tercih edilen ASCII metin düzenleyicinizi kullanarak bu dosyayı. Bir .inf dosyayı kaydedin Sabit diskinizdeki dosya herhangi bir klasör.

Bir sunucu istemek için LDAPS için uygun kimlik doğrulama sertifikası şu adımları izleyin:
  1. .İnf dosyası oluşturun. Aşağıdaki örnek .inf gibidir. Sertifika isteği oluşturmak için kullanılan dosya.
    ;---request.inf---

    [Sürüm]

    İmza = "$Windows NT$

    [NewRequest]

    Konu = "CN =<DC fqdn="">"; DC FQDN'sini değiştirme
    KeySpec = 1
    KeyLength = 1024
    ; Olarak 1024, 2048, 4096, 8192 veya 16384.
    ; Büyük anahtar boyutları daha güvenlidir, ancak var.
    ; performans üzerinde büyük bir etkisi.
    Verilebilir = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Şifreleme Sağlayıcısı"
    Sağlayıcı türü = 12
    RequestType PKCS10 =
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; Sunucu kimlik doğrulaması için budur.

    ;-----------------------------------------------</DC>
    Kesin ve örnek dosya Request.inf adlı yeni bir metin dosyasına yapıştırın. Etki alanı denetleyicisinin tam DNS adını girin isteği.

    Not Bazı üçüncü taraf sertifika yetkilileri konu parametresinde ek bilgi gerekebilir. Bu tür bilgileri bir e-posta adresi (E), kuruluş birimi (OU) içerir. Kuruluş (O), Yerleşim yeri veya şehir (L), durum veya (S) eyalet ve ülke ya da Bölge (C). Konu adı (CN) bu bilgileri ekleme içinde Request.inf dosyası. Örneğin: Subject="E=admin@contoso.com, CN =<DC fqdn="">, OU sunucuları, O = Contoso, M = İstanbul, S = Washington, C = US." </DC>
  2. İstek dosyası oluşturun. Bunu yapmak için aşağıdaki komutu yazın Komut istemine komutu ve ardından ENTER tuşuna basın:
    certreq-yeni request.inf request.req
    Request.req adlı yeni bir dosya oluşturulur. Bu Base64 ile kodlanmış isteği dosyası.
  3. Bir CA'ya istek gönderin. İstek gönderebilir bir Microsoft CA veya bir üçüncü taraf CA.
  4. Verilen ve kaydedin sertifikayı almak Sertifika İstek dosyası ile aynı klasörde Certnew.cer olarak. Bunu yapmak için şu adımları izleyin:
    1. Certnew.cer adlı yeni bir dosya oluşturun.
    2. Dosyayı Not Defteri'nde açın, kodlanmış sertifikanın yapıştırın dosyasına ve sonra dosyayı kaydedin.
    Not Kaydedilmiş Sertifikayı base64 kodlanmış olmalıdır. Bazı üçüncü taraf CA'ları base64 ile kodlanmış metin olarak istek yapana verilen sertifika dönmek bir e-posta iletisi.
  5. Verilen sertifika kabul edin. Bunu yapmak için yazın aşağıdakileri komut istemine komutu yazın ve ENTER tuşuna basın:
    certreq-certnew.cer kabul
  6. Bilgisayarın içinde sertifika yüklü olduğunu doğrulayın Kişisel depolama. Bunu yapmak için şu adımları izleyin:
    1. Microsoft Yönetim Konsolu (MMC) başlatın.
    2. Sertifikaları yönetir Sertifikalar ek bileşenini ekleme yerel bilgisayarda.
    3. Genişlet Sertifikalar (yerel bilgisayar), Genişlet Kişiselve sonra genişletin Sertifikalar.
    Yeni bir sertifika kişisel depoda mevcut. İçindeSertifika Özellikleri iletişim kutusunda, hedeflenen amaç görüntülenen değil Sunucu kimlik doğrulaması. Bu sertifikayı veren bilgisayarın tam ana bilgisayar adı.
  7. Etki alanı denetleyicisini yeniden başlatın.
Sertifika isteği oluşturma hakkında daha fazla bilgi için Aşağıdaki gelişmiş sertifika kaydı ve Yönetimi teknik incelemesine bakın. Bu teknik incelemeyi görüntülemek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/cc782583.aspx

LDAPS bağlantı doğrulanıyor

Sertifika yüklendikten sonra doğrulamak için şu adımları izleyin LDAPS etkin olduğunu:
  1. Active Directory yönetim aracını Başlat (Ldp.exe).

    Not Bu program Windows 2000 desteği yüklü Araçları.
  2. Üzerinde Bağlantı menüsünde'ı tıklatınBağlan.
  3. Yapmak istediğiniz etki alanı denetleyicisinin adını yazın. bağlayın.
  4. Türü 636 bağlantı noktası olarak numarası.
  5. ' I tıklatın TAMAM.

    RootDSE bilgi sağ bölmede, başarılı bir bağlantı belirten yazdırmanız gerekir.

Olası sorunlar

  • TLS genişletilmiş isteği Başlat
    LDAPS iletişim TCP 636 numaralı bağlantı noktası üzerinden gerçekleşir. LDAPS iletişim için bir genel katalog sunucusu TCP 3269 oluşur. Bağlanırken herhangi bir LDAP trafiği önce 636 veya 3269 numaralı bağlantı noktalarına, SSL/TLS görüşülür değiş tokuş. Windows 2000 Start TLS genişletilmiş isteği desteklemiyor. işlevselliği.
  • Birden fazla SSL sertifikaları
    Schannel, Microsoft SSL sağlayıcı ilk seçer Yerel bilgisayar deposunda bulduğu geçerli sertifika. Varsa birden fazla geçerli sertifikalar kullanılabilir yerel bilgisayar deposunda, Schannel olabilir doğru sertifikayı seçin.
  • SP3 öncesi SSL sertifikası çıkış önbelleğe alma
    Varolan bir sertifikayı LDAPS başka bir resimle değiştirildiğinde yenileme işlemi yoluyla sertifika veya sertifika veren CA'ın değiştirilmiş, yeni sertifikayı kullanmak üzere Schannel için sunucu başlatılmalıdır. Windows 2000'de SSL sağlayıcı LDAPS sertifikayı önbelleğe alır ve yok etki alanı denetleyicisini yeniden başlatılana kadar değişikliği algılar. Bu olmuştur Windows 2000 Service Pack 3 düzeltildi.

Windows Server 2008 geliştirmeleri

Yerel makinenin kişisel deposundaki sertifikaları koymak için bu makalenin özgün önerisi oldu. Bu seçenek desteklenir, ancak, ayrıca sertifikaları NTDS hizmetin kişisel sertifika deposunda Active Directory etki alanı Hizmetleri (AD DS) sonraki sürümlerinde ve Windows Server 2008 üzerinde koyabilirsiniz. NTDS hizmetinin kişisel sertifika deposuna sertifika ekleme hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesini ziyaret edin:
http://technet.microsoft.com/en-us/library/dd941846 (WS.10) .aspx
AD DS tercihen bu depolama alanındaki sertifikalar yerel makinenin deposunu arar. Bu, AD DS kullanmasını istediğiniz sertifikayı kullanmak üzere yapılandırmak kolaylaştırır. Yerel makine kişisel deposunda birden çok sertifika olabilir ve hangisinin seçilen tahmin etmek zor olabilir çünkü budur.

Yeni bir sertifika, sertifika deposuna bırakılan ve sonra etki alanı denetleyicisini yeniden başlatın ya da AD DS'yi yeniden başlatmak zorunda kalmadan bir SSL sertifikası güncelleştirme tetikler AD DS algılar.

RenewServerCertificate adlı yeni bir rootDse işlemi el ile AD DS etki alanı denetleyicisini yeniden başlatın ya da AD DS'yi yeniden başlatmak zorunda kalmadan kendi SSL sertifikalarını güncelleştirme tetiklemek için kullanılabilir. Bu öznitelik, adsiedit.msc, kullanılarak güncelleştirilebilir veya LDAP Dizin Değişim Biçimi (LDIF) değişiklik alarak ldifde.exekullanma. Bu öznitelik güncelleştirmek için LDIF kullanma hakkında daha fazla bilgi için aşağıdaki Microsoft MSDN Web sitesini ziyaret edin:
http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10) .aspx
Son olarak, birden çok sertifika kendi deposunda bulursa, Windows Server 2008 veya sonraki sürüm etki alanı denetleyicisi otomatik olarak sona erme tarihini gelecekte en ilerideki sertifika seçer. Daha sonra zaman aşımı tarihi geçerli sertifikanızı yaklaştığı, değiştirilen sertifika deposunda bırak ve kullanmak için AD DS otomatik olarak geçiş yapar.

Tüm bunlar, 2008 Active Directory Basit Dizin Hizmetleri (AD LDS) ve Windows Server 2008 AD DS için çalışır. AD LDS için NTDS hizmetinin yerine AD LDS örneğine karşılık gelen hizmet için kişisel sertifika deposuna sertifika yerleştirin.

Özellikler

Makale numarası: 321051 - Last Review: 7 Haziran 2013 Cuma - Gözden geçirme: 21.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Anahtar Kelimeler: 
kbproductlink kbinfo kbmt KB321051 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 321051

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com