Назад | Перейти на главную страницу

Использование SSL для шифрования запросов LDAP - Windows 2008 R2

Я пытаюсь защитить наш домен, чтобы, когда запросы LDAP выполняются с другого компьютера, они зашифровываются с помощью SSL.

Я следил за этим руководство даже думал, что использую Windows 2008 R2.

Я добавил Службы сертификации Active Directory роль с в основном настройками по умолчанию, убедитесь, что это Enterprise Root CA (как предлагает руководство)

Я вхожу на компьютер с Windows 7 (все брандмауэры отключены) и использую приложение на основе Java JXplorer (есть ли что-нибудь лучше?), Выполняя некоторые запросы LDAP (или пытаюсь, по крайней мере,), проблема в том, что я не могу подключиться к серверу, используя что-либо, кроме GSSAPI (даже не знаю, что это такое), я пробовал другие варианты, но не подключается.

В руководство не упоминает ничего, кроме установки CA на сервере, мне интересно, есть ли какие-либо другие конфигурации, которые необходимо выполнить, чтобы принудительно использовать SSL для запросов LDAP.

Большое спасибо.

На самом деле вы никогда не говорите, что используете Active Directory на 2008 R2, но я предполагаю, что это так.

Во-первых, вам не нужно устанавливать службы сертификации на контроллер домена или делать его центром сертификации. Вашему DC просто нужен один «действительный» SSL-сертификат, назначенный ему, которому ваш LDAP-клиент «доверяет».

Есть несколько способов получить сертификат для вашего DC. Установка центра сертификации (например, службы сертификации AD) и использование его для создания сертификата «контроллера домена» - это один из способов, но не единственный. И вообще считается неразумным делать контроллер домена центром сертификации. Вместо этого поместите его на выделенную машину.

Вы также можете получить сертификат от стороннего центра сертификации, как и для веб-сервера. Это немного сложнее, потому что сертификат контроллера домена имеет разные атрибуты, необходимые для того, чтобы быть «действительным». Вот ссылка от Microsoft на эту тему: Как включить LDAP через SSL с помощью стороннего центра сертификации

Требования к сертификату LDAPS

Чтобы включить LDAPS, необходимо установить сертификат, отвечающий следующим требованиям:

  • Сертификат LDAPS находится в хранилище личных сертификатов локального компьютера (которое программно называется хранилищем сертификатов MY компьютера).
  • Закрытый ключ, соответствующий сертификату, присутствует в хранилище локального компьютера и правильно связан с сертификатом. Для закрытого ключа не должна быть включена сильная защита закрытого ключа.
  • Расширение Enhanced Key Usage включает идентификатор объекта Server Authentication (1.3.6.1.5.5.7.3.1) (также известный как OID).
  • Полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно появиться в одном из следующих мест:
    • Общее имя (CN) в поле «Тема».
    • Запись DNS в расширении альтернативного имени субъекта.
  • Сертификат был выдан центром сертификации, которому доверяют контроллер домена и клиенты LDAPS. Доверие устанавливается путем настройки клиентов и сервера на доверие корневому ЦС, к которому ведет цепочка выдающего ЦС.
  • Для создания ключа необходимо использовать поставщика службы шифрования (CSP) Schannel.

После того, как ваш сертификат установлен и работает на DC, вы сможете указать своему LDAP-клиенту на порт 636 или 3269 (для подключения к GC), и все готово.