如何启用 ssl 的 LDAP,与第三方证书颁发机构

文章翻译 文章翻译
文章编号: 321051 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

概要

轻量目录访问协议 (LDAP) 将用来读取和写入到当前目录。默认情况下,是 LDAP 通信传输不安全。可以使 LDAP 通信保密和安全的使用安全套接字层 (SSL) / 传输层安全 (TLS) 技术。您可以启用 LDAP 通过 SSL (LDAPS) 通过安装正确的格式从 Microsoft 证书颁发机构 (CA) 证书或非 Microsoft CA 根据这篇文章中的指导原则。

更多信息

没有配置 LDAPS 的用户界面。在域控制器上安装一个有效的证书允许 LDAP 服务以侦听,并自动接受这两个 LDAP 的 SSL 连接和全局编录通讯。

对一个 LDAPS 的证书要求

若要启用 LDAPS,必须安装证书,以满足以下要求:
  • LDAPS 证书位于本地计算机(以编程方式称为 MY 计算机的个人证书存储区证书存储区)。
  • 与证书匹配的私钥已存在于本地计算机的存储,并正确地关联的证书。专用密钥必须具有启用强私钥保护。
  • 增强型密钥用法扩展包括服务器(1.3.6.1.5.5.7.3.1) 的身份验证 (也称为对象标识符OID)。
  • 活动目录的完全合格的域名称域控制器 (例如,DC01。域) 都必须显示在其中一个以下位置:
    • 在主题字段中公用名 (CN)。
    • 在使用者备用名称的 DNS 条目扩展。
  • 证书已由 CA 颁发的域控制器和 LDAPS 客户端信任。通过配置来建立信任关系客户端和服务器信任的根 CA 的颁发 CA 链。
  • 您必须使用 Schannel 加密服务提供程序 (CSP) 生成密钥。
有关建立信任的证书,详细信息请参阅"策略,以建立信任的根证书颁发机构"主题在 Windows 2000 服务器帮助。

创建证书申请

任何实用程序或创建有效的 pkcs # #10 应用程序请求可用于窗体的 SSL 证书申请。使用 certreq 中形成该请求。

注意在本文中使用的命令依赖于 2003年版的 certreq。若要使用在 Windows 2000 服务器上的这篇文章中的步骤,将从 Windows 2003 服务器 certreq.exe 和颁发复制到 Windows 2000 服务器上的临时目录。

Certreq.exe 的要求生成的文本说明文件相应的域控制器的 X.509 证书申请。您可以创建该文件使用您首选的 ASCII 文本编辑器。将该文件另存为.inf到任何文件夹在您的硬盘上的文件。

若要请求服务器身份验证证书,适用于 LDAPS,请执行以下步骤:
  1. 创建.inf 文件。下面是示例.inf可用于创建证书申请的文件。
    ;---request.inf--

    [版本]

    签名 ="$Windows NT$

    [] NewRequest

    主题 ="CN =<DC fqdn="">";替换为 DC 的 FQDN。
    KeySpec = 1
    KeyLength = 1024年
    ;可以是 1024、 2048年、 4096、 8192 或 16384。
    ;更大的密钥大小更安全,但有
    ;对性能影响最大。
    可导出 = TRUE
    MachineKeySet = TRUE
    SMIME = 假
    PrivateKeyArchive 属性为 FALSE
    UserProtected 属性为 FALSE
    UseExistingKeySet 属性为 FALSE
    提供程序名称 ="Microsoft RSA SChannel 加密提供程序"
    提供程序类型 = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [] EnhancedKeyUsageExtension

    OID=1.3.6.1.5.5.7.3.1 ;这是用于服务器身份验证

    ;-----------------------------------------------</DC>
    剪切并粘贴到一个名为 Request.inf 的新文本文件的示例文件。提供了在域控制器的完全限定的 DNS 名称请求。

    注意某些第三方认证主管机构可能要求中的主题参数的其他信息。此类信息包括电子邮件地址 (E),组织单位 (OU),组织 (O)、 所在地或城市 (L)、 州或省 (S) 和国家/地区或(C) 区域中。可以将此信息追加到的使用者名称 (CN)在中Request.inf 文件中。例如: Subject="E=admin@contoso.com、 CN =<DC fqdn="">,OU = 服务器,O = Contoso,L = Redmond,S = 华盛顿州 C = 美国。" </DC>
  2. 创建请求文件。要这样做,请键入以下内容在命令提示符下的命令,然后按 enter 键:
    certreq -new request.inf request.req
    创建名为 Request.req 的新文件。这是base64 编码的申请文件。
  3. 将请求提交到 CA。您可以提交的请求Microsoft CA 或第三方 CA。
  4. 检索证书的颁发,并保存形式的申请文件所在的文件夹中的 Certnew.cer 证书。为此:请按照下列步骤操作:
    1. 创建名为 Certnew.cer 的新文件。
    2. 在记事本中打开该文件,再粘贴编码的证书到文件中,然后保存该文件。
    注意必须为 base64 编码保存的证书。某些第三方CAs base64 编码文本的形式向请求者返回已颁发的证书电子邮件消息。
  5. 接受颁发的证书。若要执行此操作,请键入下面的命令在命令提示符下,然后按 enter 键:
    certreq 中的接受 certnew.cer
  6. 验证证书已安装到计算机中个人存储区。若要执行此操作,请执行以下步骤:
    1. 开始 Microsoft 管理控制台 (MMC)。
    2. 添加证书管理单元管理证书在本地计算机上。
    3. 展开 证书 (本地计算机),展开 个人然后展开 证书.
    新的证书应在个人存储区中存在。在中证书属性 对话框中,预期目的显示为 服务器身份验证.颁发该证书对计算机的完全合格的主机名。
  7. 重新启动域控制器。
有关创建证书申请,详细信息请参见下面的高级证书注册和管理白皮书。若要查看这份白皮书,请访问下面的 Microsoft Web 站点:
http://technet.microsoft.com/en-us/library/cc782583.aspx

验证 LDAPS 连接

安装证书后,请按照下列步骤来验证启用了 LDAPS:
  1. 启动活动目录管理工具(Ldp.exe)。

    注意该程序安装在 Windows 2000 支持工具。
  2. 在上 连接 菜单上,单击连接.
  3. 键入要向其中的域控制器的名称连接。
  4. 键入 636 为端口数。
  5. 单击 确定.

    RootDSE 信息应打印在右窗格中,指示成功建立连接。

可能出现的问题

  • 启动扩展请求的 TLS
    通过端口 TCP 636 会发生 LDAPS 通信。LDAPS与全局编录服务器的通信是通过 TCP 3269。在连接时到端口 636 或 3269,SSL/TLS 协商之前所有 LDAP 通信交换。Windows 2000 不支持启动 TLS 扩展请求功能。
  • 多个 SSL 证书
    频道,Microsoft SSL 提供程序中,选择第一个它在本地计算机存储区中找到的有效证书。如果有多个有效的证书可用的本地计算机存储区中,Schannel 可能未选择正确的证书。
  • SP3 之前的 SSL 证书缓存问题
    如果现有 LDAPS 证书替换为另一个通过续订过程的证书,或者因为颁发 CA 有发生更改时,该服务器必须重新启动 Schannel,若要使用新的证书。在 Windows 2000 中的 SSL 提供程序缓存 LDAPS 证书并不检测到更改,直到域控制器重新启动。这一问题已在 Windows 2000 Service Pack 3 中更正。

Windows Server 2008 的改进

在这篇文章的原建议是将证书放入本地计算机的个人存储区。虽然支持此选项,您还可以使证书 NTDS 服务的个人证书存储区中 Windows Server 2008 和更高版本的 活动目录(AD) 域服务 (AD DS) 上。有关如何将证书添加到该 NTDS 服务的个人证书存储区的详细信息,请访问下面的 Microsoft TechNet Web 站点:
http://technet.microsoft.com/en-us/library/dd941846 (WS.10).aspx
AD DS 优先寻找此存储中的证书在本地计算机存储区。这使得更容易地配置 AD DS,若要使用您要使用的证书。这是因为在本地计算机个人存储中,可能是多个证书,很难预测哪一种选择。

在一个新的证书被放入其证书存储区,然后触发的 SSL 证书更新,而无需重新启动 AD DS 或重新启动域控制器时,会检测到 AD DS。

名为renewServerCertificate的新 rootDse 操作可用于手动触发 AD DS 来更新其 SSL 证书,而无需重新启动 AD DS 或重新启动域控制器。可使用adsiedit.msc,对此属性进行更新,或者通过导入更改在 LDAP 目录交换格式 (LDIF) 使用ldifde.exe。使用 LDIF 更新此属性的详细信息,请访问下面的 Microsoft MSDN Web 站点:
http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10).aspx
最后,如果 Windows Server 2008 或更高版本的域控制器在其存储库中找到多个证书,则它会自动选择的证书的到期日期是将来远。如果您当前的证书即将过期,可以替换证书放在存储区中,然后,AD DS 自动切换为使用它。

所有这些工作为 Windows 服务器 2008 AD DS 和 2008 活动目录(AD) 轻型目录服务 (AD LDS)。AD lds 到 AD LDS 实例,而不是为 NTDS 服务将证书放入对应的服务的个人证书存储区。

属性

文章编号: 321051 - 最后修改: 2013年6月7日 - 修订: 21.0
这篇文章中的信息适用于:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbproductlink kbinfo kbmt KB321051 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 321051
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com