Τρόπος ενεργοποίησης του LDAP στο SSL με μια αρχή έκδοσης πιστοποιητικών άλλου κατασκευαστή

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

Περίληψη
Το πρωτόκολλο LDAP (Lightweight Directory Access Protocol) χρησιμοποιείται για ανάγνωση και εγγραφή στην υπηρεσία καταλόγου Active Directory. Από προεπιλογή η κυκλοφορία LDAP μεταδίδεται χωρίς ασφάλεια. Μπορείτε να κάνετε την κυκλοφορία LDAP εμπιστευτική και ασφαλή, χρησιμοποιώντας την τεχνολογία SSL (Secure Sockets Layer) / TLS (Transport Layer Security). Μπορείτε να ενεργοποιήσετε το πρωτόκολλο LDAP στο SSL (LDAPS), εγκαθιστώντας ένα κατάλληλα διαμορφωμένο πιστοποιητικό είτε από μια αρχή έκδοσης πιστοποιητικών της Microsoft (CA) είτε από μια CA που δεν ανήκει στη Microsoft, σύμφωνα με τις οδηγίες αυτού του άρθρου.
Περισσότερες πληροφορίες
Δεν υπάρχει περιβάλλον εργασίας χρήστη για τη ρύθμιση των παραμέτρων του LDAPS. Η εγκατάσταση ενός έγκυρου πιστοποιητικού σε έναν ελεγκτή τομέα επιτρέπει στην υπηρεσία LDAP να κάνει ακρόαση και να αποδέχεται αυτόματα συνδέσεις SSL, τόσο για κυκλοφορία LDAP όσο και για κυκλοφορία καθολικού καταλόγου.

Απαιτήσεις για πιστοποιητικό LDAPS

Για να ενεργοποιήσετε το LDAPS, πρέπει να εγκατααστήσετε ένα πιστοποιητικό το οποίο να πληρεί τις ακόλουθες απαιτήσεις:
 • Το πιστοποιητικό LDAPS βρίσκεται στο χώρο αποθήκευσης προσωπικών πιστοποιητικών του τοπικού υπολογιστή (γνωστός μέσω προγραμματισμού ως ο χώρος αποθήκευσης πιστοποιητικών MY του υπολογιστή).
 • Ένα ιδιωτικό κλειδί που ταιριάζει με το πιστοποιητικό υπάρχει στο χώρο απθήκευσης του τοπικού υπολογιστή και είναι σωστά συσχετισμένο με το πιστοποιητικό. Το ιδιωτικό κλειδί δεν πρέπει να διαθέτει ισχυρή προστασία ιδιωτικού κλειδιού.
 • Η επέκταση "Εμπλουτισμένη χρήση κλειδιών" (Enhanced Key Usage) περιλαμβάνει το αναγνωριστικό αντικειμένου ελέγχου ταυτότητας (Server Authentication) διακομιστή (1.3.6.1.5.5.7.3.1) (γνωστό επίσης ως OID).
 • Το έγκυρο όνομα τομέα της υπηρεσίας καταλόγου Active Directory του ελεγκτή τομέα (για παράδειγμα, DC01.DOMAIN.COM) πρέπει να εμφανίζεται σε μία από τις ακόλουθες θέσεις:
  • Το "Κοινό όνομα" (Common Name - CN) στο πεδίο "Θέμα" (Subject).
  • Η καταχώρηση DNS στην επέκταση του εναλλακτικού ονόματος θέματος (Subject Alternative Name).
 • Το πιστοποιητικό εκδόθηκε από την CA, την οποία θεωρούν αξιόπιστη ο ελεγκτής τομέα και οι υπολογιστές-πελάτες LDAPS. Η σχέση αξιοπιστίας δημιουργείται με τη ρύθμιση των παραμέτρων των υπολογιστών-πελατών και του διακομιστή, έτσι ώστε να θεωρούν αξιόπιστη τη ρίζα CA με την οποία συνδέεται η αρχή έκδοσης CA.
 • Για να δημιουργήσετε το κλειδί πρέπει να χρησιμοποιήσετε την υπηρεσία παροχής κρυπτογράφησης (CSP) Schannel.
Για περισσότερες πληροφορίες σχετικά με τη δημιουργία σχέσεων αξιοπιστίας για πιστοποιητικά, ανατρέξτε στο θέμα "Πολιτικές για τη δημιουργία σχέσεων αξιοπιστίας για τις αρχές έκδοσης πιστοποιητικών ρίζας" στη "Βοήθεια" (Help) του Windows 2000 Server .

Δημιουργία της αίτησης πιστοποιητικού

Κάθε πρόγραμμα ή εφαρμογή που δημιουργεί μια έγκυρη αίτηση PKCS #10 μπορεί να χρησιμοποιηθεί για τη διαμόρφωση της αίτησης πιστοποιητικού SSL. Χρησιμοποιήστε το Certreq για τη διαμόρφωση της αίτησης.

Σημείωση Οι εντολές που χρησιμοποιούνται σε αυτό το άρθρο βασίζονται στην έκδοση 2003 του Certreq. Για να χρησιμοποιήσετε τα βήματα αυτού του άρθρου σε ένα διακομιστή με Windows 2000, αντιγράψτε το certreq.exe και το certcli.dll από ένα διακομιστή με Windows 2003 σε έναν προσωρινό κατάλογο στο διακομιστή με Windows 2000.

Το Certreq.exe απαιτεί ένα αρχείο οδηγιών κειμένου για τη δημιουργία μιας κατάλληλης αίτησης πιστοποιητικού X.509 για έναν ελεγκτή τομέα. Αυτό το αρχείο μπορείτε να το δημιουργήσετε χρησιμοποιώντας το πρόγραμμα επεξεργασίας κειμένου ASCII που προτιμάτε. Αποθηκεύστε το αρχείο ως αρχείο .inf σε οποιονδήποτε φάκελο του σκληρού σας δίσκου.

Για να ζητήσετε ένα πιστοποιητικό ελέγχου ταυτότητας διακομιστή (Server Authentication) κατάλληλο για LDAPS, ακολουθήστε τα εξής βήματα:
 1. Δημιουργήστε το αρχείο .inf. Ακολουθεί ένα παράδειγμα αρχείου .inf το οποίο μπορεί να χρησιμοποιηθεί για τη δημιουργία της αίτησης πιστοποιητικού.
  ;----------------- request.inf -----------------

  [Version]

  Signature="$Windows NT$

  [NewRequest]

  Subject = "CN=<DC fqdn>" ; replace with the FQDN of the DC
  KeySpec = 1
  KeyLength = 1024
  ; Can be 1024, 2048, 4096, 8192, or 16384.
  ; Larger key sizes are more secure, but have
  ; a greater impact on performance.
  Exportable = TRUE
  MachineKeySet = TRUE
  SMIME = False
  PrivateKeyArchive = FALSE
  UserProtected = FALSE
  UseExistingKeySet = FALSE
  ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
  ProviderType = 12
  RequestType = PKCS10
  KeyUsage = 0xa0

  [EnhancedKeyUsageExtension]

  OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

  ;-----------------------------------------------
  Κάντε αποκοπή και επικόλληση του δείγματος αρχείου σε ένα νέο αρχείο κειμένου με το όνομα Request.inf. Καταχωρήστε στην αίτηση το έγκυρο όνομα DNS του ελεγκτή τομέα.

  Σημείωση Ορισμένες αρχές έκδοσης πιστοποιητικών άλλων κατασκευαστών ενδέχεται να ζητούν πρόσθετες πληροφορίες στην παράμετρο "Θέμα" (Subject). Σε αυτές τις πληροφορίες περιλαμβάνονται η διεύθυνση ηλεκτρονικού ταχυδρομείου (E), η οργανική μονάδα (OU), η εταιρεία (O), η περιοχή ή η πόλη (L), ο νομός ή η επαρχία (S) και η χώρα ή η περιοχή (C). Μπορείτε να προσαρτήσετε αυτές τις πληροφορίες στο όνομα θέματος (CN) του αρχείου Request.inf. Για παράδειγμα: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
 2. Δημιουργήστε το αρχείο αίτησης. Για να το κάνετε αυτό, πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών και, στη συνέχεια, πιέστε ENTER:
  certreq -new request.inf request.req
  Δημιουργείται ένα νέο αρχείο που ονομάζεται Request.req. Αυτό είναι το αρχείο αίτησης με κωδικοποίηση base64.
 3. Υποβάλλετε την αίτηση στην αρχή έκδοσης πιστοποιητικών (CA). Μπορείτε να υποβάλλετε την αίτηση σε μια αρχή έκδοσης πιστοποιητικών (CA) της Microsoft ή άλλου κατασκευαστή.
 4. Ανακτήστε το πιστοποιητικό που εκδόθηκε και, στη συνέχεια, αποθηκεύστε το ως Certnew.cer, στον ίδιο φάκελο όπου βρίσκεται το αρχείοι αίτησης. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  • Δημιουργήστε ένα νέο αρχείο με το όνομα Certnew.cer.
  • Ανοίξτε το αρχείο στο "Σημειωματάριο" (Notepad), επικολλήστε το κωδικοποιημένο πιστοποιητικό στο αρχείο και, στη συνέχεια, αποθηκεύστε το αρχείο.
  Σημείωση Το αποθηκευμένο πιστοποιητικό πρέπει να έχει κωδικοποίηση base64. Ορισμένες αρχές έκδοσης πιστοποιητικών (CA) επιστρέφουν το πιστοποιητικό που εκδόθηκε στο πρόγραμμα αίτησης με τη μορφή κειμένου με κωδικοποίηση base64 σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
 5. Αποδοχή του πιστοποιητικού που εκδόθηκε. Για να το κάνετε αυτό, πληκτρολογήστε την εξής εντολή στη γραμμή εντολών και κατόπιν πιέστε το πλήκτρο ENTER:
  certreq -accept certnew.cer
 6. Βεβαιωθείτε ότι το πιστοποιητικό έχει εγκατασταθεί στον προσωπικό χώρο αποθήκευσης του υπολογιστή. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  • Ξεκινήστε το MMC (Microsoft Management Console).
  • Προσθέστε το συμπληρωματικό πρόγραμμα Certificates, το οποίο διαχειρίζεται πιστοποιητικά στον τοπικό υπολογιστή.
  • Αναπτύξτε το στοιχείο Πιστοποιητικά (Τοπικός υπολογιστής) (Certificates (Local Computer)), έπειτα το στοιχείο Προσωπικό (Personal) και, στη συνέχεια, το στοιχείο Πιστοποιητικά (Certificates).
  Πρέπει να υπάρχει ένα νέο πιστοποιητικό στον προσωπικό χώρο αποθήκευσης (Personal). Στο παράθυρο διαλόγου Ιδιότητες πιστοποιητικού (Certificate Properties), ο επιδιωκόμενος σκοπός που εμφανίζεται είναι ο Έλεγχος ταυτότητας διακομιστή (Server Authentication). Αυτό το πιστοποιητικό εκδίδεται στο έγκυρο όνομα κεντρικού υπολογιστή του υπολογιστή.
 7. Κάντε επανεκκίνηση του ελεγκτή τομέα.
Για περισσότερες πληροφορίες σχετικά με τη δημιουργία της αίτησης πιστοποιητικού, ανατρέξτε στην ακόλουθη λευκή βίβλο "Προηγμένη εγγραφή και διαχείριση πιστοποιητικού" (Advanced Certificate Enrollment and Management). Για να προβάλετε αυτήν τη λευκή βίβλο, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):

Επαλήθευση μιας σύνδεσης LDAPS

Μετά την εγκατάσταση ενός πιστοποιητικού, ακολουθήστε τα παρακάτω βήματα για να βεβαιωθείτε ότι το LDAPS είναι ενεργοποιημένο:
 1. Ξεκινήστε το εργαλείο διαχείρισης της υπηρεσίας καταλόγου Active Directory (Ldp.exe).

  Σημείωση Αυτό το πρόγραμμα είναι εγκατεστημένο στα "Εργαλεία υποστήριξης των Windows 2000" (Support Tools).
 2. Από το μενού Σύνδεση (Connection), κάντε κλικ στην εντολή Σύνδεση (Connect).
 3. Πληκτρολογήστε το όνομα του ελεγκτή τομέα με τον οποίο θέλετε να συνδεθείτε.
 4. Πληκτρολογήστε 636 ως αριθμό θύρας.
 5. Κάντε κλικ στο κουμπί ΟΚ.

  Οι πληροφορίες του RootDSE πρέπει να είναι εκτυπωμένες στο δεξιό παράθυρο, υποδηλώνοντας την επιτυχία της σύνδεσης.

Πιθανά ζητήματα

 • Εκκίνηση της εκτεταμένης αίτησης TLS
  Η επικοινωνία LDAPS διενεργείται μέσω της θύρας TCP 636. Η επικοινωνία LDAPS με ένα διακομιστή καθολικού καταλόγου διενεργείται μέσω της θύρας TCP 3269. Κατά τη σύνδεση με τις θύρες 636 ή 3269, το SSL/TLS τίθεται σε διαπραγμάτευση πριν από την ανταλλαγή οποιασδήποτε κυκλοφορίας LDAP. Τα Windows 2000 δεν υποστηρίζουν τη λειτουργία εκκίνησης εκτεταμένης αίτησης TLS.
 • Πολλά πιστοποιητικά SSL
  Το Schannel, η υπηρεσία παροχής SSL της Microsoft, επιλέγει το πρώτο έγκυρο πιστοποιητικό που εντοπίζει στο χώρο αποθήκευσης του τοπικού υπολογιστή. Εάν υπάρχουν διαθέσιμα πολλά έγκυρα πιστοποιητικά στο χώρο αποθήκευσης του τοπικού υπολογιστή, το Schannel ενδέχεται να μην επιλέξει το σωστό πιστοποιητικό.
 • Ζήτημα προσωρινής αποθήκευσης πιστοποιητικών SSL πριν από το SP3
  Εάν ένα υπάρχον πιστοποιητικό LDAPS αντικατασταθεί από ένα άλλο πιστοποιητικό, είτε μέσω μιας διαδικασίας ανανέωσης ή λόγω αλλαγής της αρχής έκδοσης πιστοποιητικών (CA), πρέπει να γίνει επανεκκίνηση του διακομιστή για να χρησιμοποιηθεί το νέο πιστοποιητικό από το Schannel. Η υπηρεσία παροχής SSL των Windows 2000 αποθηκεύει προσωρινά το πιστοποιητικό LDAPS και δεν εντοπίζει την αλλαγή μέχρι να γίνει επανεκκίνηση του ελεγκτή τομέα. Αυτό το ζήτημα έχει διορθωθεί στο Service Pack 3 για Windows 2000.
Ιδιότητες

Αναγνωριστικό άρθρου: 321051 - Τελευταία αναθεώρηση: 10/29/2007 18:04:00 - Αναθεώρηση: 19.4

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Advanced Server

 • kbinfo kbproductlink KB321051
Σχόλια