Назад | Перейти на главную страницу

Как настроить SSL для Active Directory?

У меня есть машина с Windows 2008 Server (Base2).

В Диспетчере серверов> Роли я вижу:
1. Доменные службы Active Directory
2. DNS-сервер
3. Службы сертификации Active Directory.

В разделе «Службы сертификатов Active Directory»> «Мой домен»> «Выпущенные сертификаты» я вижу указанный сертификат. Если я «открою» этот сертификат, его цель будет указана как «Архивирование закрытого ключа».

Я хочу, чтобы моя Active Directory работала в SSL (порт 636).

Когда я использую ldp.exe (клиент ldap), чтобы подключиться к порту 636 с включенным флажком SSL, я получаю сообщение об ошибке («Не удается открыть соединение»), это отлично работает для порта 389 по умолчанию.

Я новичок в администрировании / сертификатах Windows Server.
Что еще мне нужно для настройки?

Вы хотите, чтобы ваши контроллеры домена поддерживали BIND через LDAPS. Для этого вам необходимо добавить сертификат в хранилище личных сертификатов контроллеров домена, который соответствует следующим требованиям. Этот сертификат может быть получен от локального центра сертификации или от стороннего центра.

  • Сертификат LDAPS находится в хранилище личных сертификатов локального компьютера (которое программно называется хранилищем сертификатов MY компьютера).
  • Закрытый ключ, соответствующий сертификату, присутствует в хранилище локального компьютера и правильно связан с сертификатом.
  • Для закрытого ключа не должна быть включена сильная защита закрытого ключа.
  • Расширение Enhanced Key Usage включает идентификатор объекта Server Authentication (1.3.6.1.5.5.7.3.1) (также известный как OID).
  • Полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно появиться в одном из следующих мест: Общее имя (CN) в поле Тема. Запись DNS в расширении альтернативного имени субъекта.
  • Сертификат был выдан центром сертификации, которому доверяют контроллер домена и клиенты LDAPS. Доверие устанавливается путем настройки клиентов и сервера на доверие корневому ЦС, к которому ведет цепочка выдающего ЦС.
  • Для создания ключа необходимо использовать поставщика службы шифрования (CSP) Schannel.

Это было взято из KB321051: Как включить LDAP через SSL с помощью стороннего центра сертификации.

Дополнительную информацию о том, как настроить локальный центр сертификации для использования LDAPS, можно найти в следующей статье: Сертификат LDAP через SSL (LDAPS)

Как только на ваших контроллерах домена будет установлен соответствующий сертификат, связь LDAPS должна быть включена автоматически. Вы можете проверить это с помощью ldp.exe как вы пытались сделать.