如何啟用 SSL 上的 LDAP 與第三方憑證授權單位

文章翻譯 文章翻譯
文章編號: 321051 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

若要使用 「 輕量型目錄存取通訊協定 (LDAP)讀取和寫入到 Active Directory。根據預設,是 LDAP 傳輸傳輸不安全。可以讓 LDAP 傳輸機密且安全的使用安全通訊端層 (SSL) / 傳輸層安全性 (TLS) 技術。您可以啟用 LDAP 透過 SSL (LDAPS) 藉由安裝正確的格式從任一個 Microsoft 憑證授權單位 (CA) 的憑證 (含)非 Microsoft CA 根據這份文件中的指導方針。

其他相關資訊

沒有設定 LDAPS 的使用者介面。網域控制站上安裝有效的憑證可允許的 LDAP 服務要接聽,並且自動接受 SSL 連線是否為這兩種 LDAP 和通用類別目錄的流量。

「 LDAPS 憑證需求

若要啟用 LDAPS,您必須安裝符合的憑證下列需求:
  • LDAPS 憑證位於本機電腦的(程式定義為電腦的我的個人憑證存放區憑證存放區)。
  • 符合憑證的私密金鑰是出現在本機電腦的儲存,並與憑證正確相關。私密金鑰千萬能啟用增強式私密金鑰保護。
  • 增強金鑰使用方法延伸包含伺服器驗證 (1.3.6.1.5.5.7.3.1) (也就是物件辨識符號OID)。
  • Active Directory 完全符合規定的網域名稱網域控制站 (比方說,DC01。DOMAIN.COM) 必須出現在其中一項下列位置:
    • 一般名稱 (CN) 在 [主旨] 欄位中。
    • 在 [主體替代名稱的 DNS 項目延伸模組。
  • 如果 ca 憑證的網域控制站 」 和 「 LDAPS 用戶端信任。建立信任關係是藉由設定用戶端和伺服器到信任的根 CA 所發行的 CA 鏈結。
  • 您必須使用 Schannel 密碼編譯服務提供者 (CSP) 來產生金鑰。
如需有關建立信任的憑證,請參閱"原則,以建立信任的根憑證授權單位 」 主題在 Windows 2000 伺服器說明。

建立憑證要求

任何公用程式或應用程式,會建立有效的 pkcs # #10 要求可用來形成 SSL 憑證要求。使用 Certreq 來形成要求。

附註這份文件中所使用的命令會依賴 Certreq 的 2003年版本。若要以 Windows 2000 伺服器上的這份文件中的步驟,請複製 certreq.exe 和 certcli.dll 從 Windows 2003 伺服器到 Windows 2000 伺服器上的暫存目錄。

Certreq.exe 需要產生文字的指令檔適當的網域控制站的 X.509 憑證要求。您可以建立這個檔案使用您常用的 ASCII 文字編輯器中。將檔案儲存為.inf在您硬碟上的任何資料夾檔案。

若要要求伺服器驗證憑證可以適用於 LDAPS,? ? ? ?
  1. 建立.inf 檔案。以下是範例.inf可用來建立憑證要求的檔案。
    ;---request.inf---

    [版本]

    簽章 ="$Windows NT$

    [] NewRequest

    主旨 ="CN =<DC fqdn="">"。取代為 DC 的 FQDN。
    KeySpec = 1
    KeyLength = 1024年
    ;可以是 1024,2048年、 4096、 8192,或 16384。
    ;較大的金鑰大小更安全,但有
    ;對效能產生影響。
    可匯出 = TRUE
    MachineKeySet = TRUE
    SMIME =
    PrivateKeyArchive =
    UserProtected =
    UseExistingKeySet =
    ProviderName ="Microsoft RSA SChannel 密碼編譯提供者"
    提供者類型 = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [] EnhancedKeyUsageExtension

    OID=1.3.6.1.5.5.7.3.1 ;這是伺服器驗證

    ;-----------------------------------------------</DC>
    剪下並貼入新的文字檔名為 Request.inf 的範例檔案。提供的網域控制站的完整的 DNS 名稱要求。

    附註某些第三方憑證法律文件索引可能需要在主體參數中的其他資訊。這類資訊包括電子郵件地址 (E),組織單位 (OU),組織 (O)、 位置或城市 (L)、 狀態或省 (S) 和國家 (地區) 或地區 (C)。您可以將這項資訊附加到主體名稱 (CN)在Request.inf 檔案。例如: Subject="E=admin@contoso.com、 CN =<DC fqdn="">,OU = 伺服器、 O = [康得股份有限公司 L = 台北市,S = 美國華盛頓州 C = 美國。" </DC>
  2. 建立要求檔案。要這樣做,請鍵入下列文字在命令提示字元] 指令,然後按 ENTER 鍵:
    certreq-新的 request.inf request.req
    會建立一個叫做 Request.req 的新檔案。這是base64 編碼的要求檔案。
  3. 將要求提交給 CA。您可以將要求提交給Microsoft CA 或協力廠商 CA。
  4. 擷取憑證,便會發出,並儲存憑證才能夠成為 Certnew.cer 的要求檔案所在的資料夾中。來達成相同目地。請依照下列步驟執行:
    1. 建立一個叫做 Certnew.cer 的新檔案。
    2. 在 「 記事本 」 開啟檔案、 貼上編碼的憑證到檔案中,然後再儲存檔案。
    附註必須以 base64 編碼的已儲存的憑證。某些協力廠商Ca 傳回給要求者所發出的憑證,以 base64 編碼中的文字電子郵件訊息。
  5. 接受發行的憑證。若要這樣做,請鍵入下列命令在命令提示字元,然後按 ENTER 鍵:
    certreq-接受 certnew.cer
  6. 檢查憑證已安裝的電腦] 中個人存放區。若要這樣做,請依照下列步驟執行:
    1. 啟動 Microsoft 管理主控台 (MMC)。
    2. 新增 [憑證] 嵌入式管理單元管理憑證在 [本機電腦上。
    3. 展開 憑證 (本機電腦),展開 個人然後展開 憑證.
    新的憑證必須存在於個人存放區。在憑證內容 對話方塊中,使用的目的是顯示 伺服器驗證.這個認証為電腦的完全符合規定的主機名稱。
  7. 重新啟動網域控制站。
如需有關建立憑證要求,請參閱下列進階憑證註冊和管理白皮書。若要檢視這份白皮書,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/cc782583.aspx

正在確認 LDAPS 連接

安裝了憑證之後,請依照下列步驟確認LDAPS 是否已啟用:
  1. 啟動使用中目錄的系統管理工具(Ldp.exe)。

    附註此程式會安裝在 Windows 2000 支援工具。
  2. 在上 連線 功能表中,按一下連線.
  3. 請輸入您想要的網域控制站名稱連線。
  4. 型別 636 為連接埠數字。
  5. 按一下 [確定].

    進行 RootDSE 資訊應列印在右邊窗格中,指出成功的連線。

可能的問題

  • 啟動 TLS 延伸要求
    LDAPS 通訊都會經由連接埠 TCP 636。LDAPS通用類別目錄伺服器的通訊會透過 TCP 3269。連線時任何 LDAP 傳輸之前,SSL/TLS 交涉 636 或 3269 的連接埠,交換。Windows 2000 不支援啟動 TLS 延伸要求功能。
  • 多個 SSL 憑證
    Schannel,Microsoft SSL 提供者,會選取第一個在本機電腦存放區中找到的有效憑證。如果沒有多個有效的憑證可使用本機電腦存放區中,可能會 Schannel選取正確的憑證。
  • 快取問題的 SP3 之前的 SSL 憑證
    如果已有的 LDAPS 憑證取代另一個透過更新程序的憑證,或發行的 CA變更,伺服器必須重新啟動 Schannel 若要使用新的憑證。在 Windows 2000 中的 SSL 提供者會快取 LDAPS 憑證,並不會偵測的變更,直到重新啟動網域控制站。這只是在 Windows 2000 Service Pack 3 中修正。

Windows Server 2008 的改進

這份文件中原始的建議事項,是將本機電腦的個人存放區中的憑證。雖然支援這個選項,則您也可以使憑證 NTDS 服務的個人憑證存放區中的 Active Directory 網域服務 (AD DS) 更高版本和 Windows Server 2008 上。如需有關如何將憑證添加至 NTDS 服務的個人憑證存放區的詳細資訊,請造訪下列 Microsoft TechNet 網站:
http://technet.microsoft.com/en-us/library/dd941846 (WS.10).aspx
AD DS 優先地尋找此儲存區中的憑證上的本機電腦存放區。因此很容易設定 AD DS 以使用您要使用的憑證。這是因為在本機電腦個人存放區中,可能有多個憑證,就很難預測哪一個已選取。

當新的憑證放入其憑證存放區,然後觸發 SSL 憑證更新時不需要重新啟動 AD DS 或重新啟動網域控制站,會偵測到 AD DS。

名為renewServerCertificate的新進行 rootDse 作業可以用來以手動方式觸發程序來更新它的 SSL 憑證,而不必重新啟動 AD DS 或重新啟動網域控制站的 AD DS 中。這個屬性可以使用adsiedit.msc,來更新,或藉由匯入的變更在 [LDAP 目錄交換格式 (LDIF) 使用ldifde.exe。如需有關如何使用 LDIF 來更新這個屬性的詳細資訊,請造訪下列 Microsoft MSDN 網站:
http://msdn.microsoft.com/en-us/library/cc223311 (v=PROT.10).aspx
最後,如果 Windows Server 2008 或較新版本的網域控制站找到多個憑證存放區中時,它會自動選取其有效期限是本期在將來的憑證。如果您目前的憑證已接近到期日,您可以在存放區中,卸除的替代憑證然後 AD DS 會自動切換成使用它。

所有這些容器可為 Windows Server 2008 AD DS 及 2008 Active Directory 輕量型目錄服務 (AD LDS)。AD LDS 中,請將憑證放入所對應的服務的個人憑證存放區,而不是 「 NTDS 服務 AD LDS 執行個體。

屬性

文章編號: 321051 - 上次校閱: 2013年6月7日 - 版次: 21.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
關鍵字:?
kbproductlink kbinfo kbmt KB321051 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:321051
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com