LDAP über SSL mit einer Drittanbieter-Zertifizierungsstelle aktivierenZertifizierungsstelle eines Drittanbieters

• 09/08/2020
• 6 Minuten zu lesen
• • D
  • M
  • s

Dieser Artikel beschreibt, wie Sie Lightweight Directory Access Protocol (LDAP) über Secure Sockets Layer (SSL) mit einerZertifizierungsstelle eines Drittanbieters.

Originalproduktversion: Windows Server 2012 R2
Original-KB-Nummer: 321051

Zusammenfassung

Das LDAP wird zum Lesen aus und Schreiben in Active Directory verwendet. Standardmäßig wird der LDAP-Verkehr ungesichert übertragen. Sie können den LDAP-Verkehr vertraulich und sicher machen, indem Sie die SSL/Transport Layer Security (TLS) Technologie verwenden. Sie können LDAP über SSL (LDAPS) aktivieren, indem Sie ein ordnungsgemäß formatiertes Zertifikat entweder von einer Microsoft-Zertifizierungsstelle (CA) oder einer Nicht-Microsoft-CA gemäß den Richtlinien in diesem Artikel installieren.

Es gibt keine Benutzeroberfläche für die Konfiguration von LDAPS. Die Installation eines gültigen Zertifikats auf einem Domänencontroller ermöglicht es dem LDAP-Dienst, auf SSL-Verbindungen für den LDAP- und globalen Katalogverkehr zu warten und diese automatisch zu akzeptieren.

Anforderungen an ein LDAPS-Zertifikat

Um LDAPS zu aktivieren, müssen Sie ein Zertifikat installieren, das die folgenden Anforderungen erfüllt:

• Das LDAPS-Zertifikat befindet sich im persönlichen Zertifikatspeicher des lokalen Computers (programmatisch als MY-Zertifikatspeicher des Computers bezeichnet).

• Ein privater Schlüssel, der zum Zertifikat passt, ist im Speicher des lokalen Computers vorhanden und korrekt mit dem Zertifikat verknüpft. Für den privaten Schlüssel darf kein starker Schutz des privaten Schlüssels aktiviert sein.

• Die Erweiterung für die erweiterte Schlüsselverwendung enthält den Objektbezeichner für die Serverauthentifizierung (1.3.6.1.5.5.7.3.1) (auch als OID bezeichnet).

• Der voll qualifizierte Active Directory-Domänenname des Domänencontrollers (z. B. DC01.DOMAIN.COM) muss an einer der folgenden Stellen erscheinen:

  • Der Common Name (CN) im Feld Subject.
  • DNS-Eintrag in der Erweiterung Subject Alternative Name.

• Das Zertifikat wurde von einer CA ausgestellt, der der Domain Controller und die LDAPS-Clients vertrauen. Das Vertrauen wird hergestellt, indem die Clients und der Server so konfiguriert werden, dass sie der Root-CA vertrauen, an die sich die ausstellende CA kettet.

• Verwenden Sie den Schannel Cryptographic Service Provider (CSP), um den Schlüssel zu generieren.

Erstellen Sie die Zertifikatsanforderung

Jedes Dienstprogramm oder jede Anwendung, die eine gültige PKCS #10-Anforderung erstellt, kann zur Erstellung der SSL-Zertifikatsanforderung verwendet werden. Verwenden Sie Certreq, um die Anforderung zu erstellen.

Certreq.exe benötigt eine Textanweisungsdatei, um eine geeignete X.509-Zertifikatsanforderung für einen Domänencontroller zu erzeugen. Sie können diese Datei mit einem ASCII-Texteditor Ihrer Wahl erstellen. Speichern Sie die Datei als .inf-Datei in einem beliebigen Ordner auf Ihrer Festplatte.

Um ein Server-Authentifizierungszertifikat anzufordern, das für LDAPS geeignet ist, führen Sie die folgenden Schritte aus:

Weitere Informationen zum Erstellen der Zertifikatsanforderung finden Sie im folgenden Whitepaper Advanced Certificate Enrollment and Management. Dieses Whitepaper finden Sie unter Erweiterte Zertifikatsregistrierung und -verwaltung.

Überprüfen einer LDAPS-Verbindung

Nach der Installation eines Zertifikats führen Sie die folgenden Schritte aus, um zu überprüfen, ob LDAPS aktiviert ist:

1. Starten Sie das Active Directory Administration Tool (Ldp.exe).

2. Klicken Sie im Menü Verbindung auf Verbinden.

3. Geben Sie den Namen des Domänencontrollers ein, mit dem Sie eine Verbindung herstellen möchten.

4. Geben Sie 636 als Portnummer ein.

5. Klicken Sie auf OK.

   RootDSE-Informationen sollten im rechten Bereich gedruckt werden, was eine erfolgreiche Verbindung anzeigt.

Mögliche Probleme

• Starten Sie die erweiterte TLS-Anfrage

  Die LDAPS-Kommunikation erfolgt über Port TCP 636. Die LDAPS-Kommunikation zu einem globalen Katalogserver erfolgt über TCP 3269. Bei Verbindungen zu den Ports 636 oder 3269 wird SSL/TLS ausgehandelt, bevor jeglicher LDAP-Datenverkehr ausgetauscht wird.

• Mehrere SSL-Zertifikate

  Schannel, der Microsoft SSL-Anbieter, wählt das erste gültige Zertifikat aus, das er im lokalen Computerspeicher findet. Wenn mehrere gültige Zertifikate im lokalen Computerspeicher vorhanden sind, wählt Schannel möglicherweise nicht das richtige Zertifikat aus.

• Pre-SP3 SSL-Zertifikat-Caching-Problem

  Wenn ein vorhandenes LDAPS-Zertifikat durch ein anderes Zertifikat ersetzt wird, entweder durch einen Erneuerungsprozess oder weil sich die ausstellende CA geändert hat, muss der Server neu gestartet werden, damit Schannel das neue Zertifikat verwendet.

Verbesserungen

Die ursprüngliche Empfehlung in diesem Artikel war, Zertifikate im persönlichen Speicher des lokalen Rechners abzulegen. Obwohl diese Option unterstützt wird, können Sie in Windows Server 2008 und in späteren Versionen der Active Directory-Domänendienste (AD DS) auch Zertifikate in den persönlichen Zertifikatspeicher des NTDS-Dienstes legen. Weitere Informationen zum Hinzufügen des Zertifikats zum persönlichen Zertifikatspeicher des NTDS-Dienstes finden Sie unter Ereignis-ID 1220 – LDAP über SSL.

AD DS sucht bevorzugt nach Zertifikaten in diesem Speicher gegenüber dem Speicher des lokalen Computers. Das macht es einfacher, AD DS so zu konfigurieren, dass es das gewünschte Zertifikat verwendet. Denn es können mehrere Zertifikate im persönlichen Speicher der lokalen Maschine vorhanden sein, und es kann schwierig sein, vorherzusagen, welches ausgewählt wird.

AD DS erkennt, wenn ein neues Zertifikat in seinen Zertifikatspeicher gelegt wird, und löst dann eine Aktualisierung der SSL-Zertifikate aus, ohne dass AD DS oder der Domänencontroller neu gestartet werden müssen.

Ein neuer RootDse-Vorgang mit dem Namen renewServerCertificate kann verwendet werden, um AD DS manuell zu veranlassen, seine SSL-Zertifikate zu aktualisieren, ohne AD DS oder den Domänencontroller neu starten zu müssen. Dieses Attribut kann mit adsiedit.msc aktualisiert werden, oder durch Importieren der Änderung im LDAP Directory Interchange Format (LDIF) mit ldifde.exe. Weitere Informationen zur Verwendung von LDIF zum Aktualisieren dieses Attributs finden Sie unter renewServerCertificate.

Wenn schließlich ein Domänencontroller mit Windows Server 2008 oder einer neueren Version mehrere Zertifikate in seinem Speicher findet, wählt er automatisch das Zertifikat aus, dessen Ablaufdatum am weitesten in der Zukunft liegt. Wenn sich Ihr aktuelles Zertifikat dem Ablaufdatum nähert, können Sie das Ersatzzertifikat im Speicher ablegen, und AD DS schaltet automatisch um, um es zu verwenden.