Habilitar LDAP sobre SSL con una terceraparty certification authority

• 09/08/2020
• 6 minutos para leer
• • D
  • M
  • s

Este artículo describe cómo habilitar el protocolo ligero de acceso a directorios (LDAP) a través de Secure Sockets Layer (SSL) con una terceraautoridad de certificación de terceros.

Versión original del producto: Windows Server 2012 R2
Número de KB original: 321051

Resumen

El LDAP se utiliza para leer desde y escribir en Active Directory. Por defecto, el tráfico LDAP se transmite sin seguridad. Puede hacer que el tráfico LDAP sea confidencial y seguro utilizando la tecnología SSL/Transport Layer Security (TLS). Puede habilitar LDAP sobre SSL (LDAPS) instalando un certificado con el formato adecuado, ya sea de una autoridad de certificación (CA) de Microsoft o de una CA que no sea de Microsoft, de acuerdo con las directrices de este artículo.

No hay interfaz de usuario para configurar LDAPS. La instalación de un certificado válido en un controlador de dominio permite que el servicio LDAP escuche y acepte automáticamente conexiones SSL tanto para el tráfico de LDAP como para el del catálogo global.

Requisitos de un certificado LDAPS

Para habilitar LDAPS, debe instalar un certificado que cumpla los siguientes requisitos:

• El certificado LDAPS se encuentra en el almacén de certificados personales del equipo local (conocido programáticamente como almacén de certificados MY del equipo).

• Una clave privada que coincida con el certificado está presente en el almacén del Ordenador Local y está correctamente asociada al certificado. La clave privada no debe tener activada la protección de clave privada fuerte.

• La extensión de uso de clave mejorada incluye el identificador de objeto (también conocido como OID) de autenticación de servidor (1.3.6.1.5.7.3.1).

El nombre de dominio completamente cualificado de Active Directory del controlador de dominio (por ejemplo, DC01.DOMAIN.COM) debe aparecer en uno de los siguientes lugares:

• El nombre común (CN) en el campo Subject.
• La entrada DNS en la extensión Subject Alternative Name.

• El certificado fue emitido por una CA en la que confían el controlador de dominio y los clientes LDAPS. La confianza se establece configurando los clientes y el servidor para que confíen en la CA raíz a la que se encadena la CA emisora.

• Utilice el proveedor de servicios criptográficos (CSP) de Schannel para generar la clave.

Crear la solicitud de certificado

Cualquier utilidad o aplicación que cree una solicitud PKCS #10 válida puede utilizarse para formar la solicitud de certificado SSL. Utilice Certreq para formar la solicitud.

Certreq.exe requiere un archivo de instrucciones de texto para generar una solicitud de certificado X.509 adecuada para un controlador de dominio. Puede crear este archivo utilizando su editor de texto ASCII preferido. Guarde el archivo como un archivo .inf en cualquier carpeta de su disco duro.

Para solicitar un certificado de autenticación de servidor que sea adecuado para LDAPS, siga estos pasos:

Para obtener más información sobre la creación de la solicitud de certificado, consulte el siguiente artículo técnico sobre inscripción y gestión avanzada de certificados. Para ver este libro blanco, consulte Advanced Certificate Enrollment and Management.

Verificar una conexión LDAPS

Después de instalar un certificado, siga estos pasos para verificar que LDAPS está habilitado:

1. Inicie la herramienta de administración de Active Directory (Ldp.exe).

2. En el menú Conexión, haga clic en Conectar.

3. Escriba el nombre del controlador de dominio al que desea conectarse.

4. Escriba 636 como número de puerto.

5. Haga clic en Aceptar.

   La información de RootDSE debería imprimirse en el panel derecho, indicando que la conexión se ha realizado con éxito.

Posibles problemas

• Iniciar la solicitud extendida TLS

  La comunicación LDAPS se produce a través del puerto TCP 636. La comunicación LDAPS a un servidor de catálogo global se produce a través de TCP 3269. Cuando se conecta a los puertos 636 o 3269, se negocia SSL/TLS antes de intercambiar cualquier tráfico LDAP.

  Múltiples certificados SSL

  Schannel, el proveedor de SSL de Microsoft, selecciona el primer certificado válido que encuentra en el almacén del equipo local. Si hay varios certificados válidos disponibles en el almacén del equipo local, es posible que Schannel no seleccione el certificado correcto.

• Problema de almacenamiento en caché de certificados SSL anteriores a SP3

  Si un certificado LDAPS existente se sustituye por otro, ya sea mediante un proceso de renovación o porque la CA emisora ha cambiado, el servidor debe reiniciarse para que Schannel utilice el nuevo certificado.

Mejoras

La recomendación original de este artículo era poner los certificados en el almacén Personal de la Máquina Local. Aunque esta opción es compatible, también se pueden poner certificados en el almacén de certificados Personal del Servicio NTDS en Windows Server 2008 y en versiones posteriores de los Servicios de dominio de Active Directory (AD DS). Para obtener más información sobre cómo agregar el certificado al almacén de certificados Personal del servicio NTDS, consulte el ID de evento 1220: LDAP sobre SSL.

AD DS busca preferentemente los certificados en este almacén en lugar del almacén de la Máquina Local. Esto facilita la configuración de AD DS para que utilice el certificado que usted desee. Esto se debe a que puede haber varios certificados en el almacén Personal de las Máquinas Locales y puede ser difícil predecir cuál se selecciona.

AD DS detecta cuando un nuevo certificado cae en su almacén de certificados y, a continuación, desencadena una actualización de certificados SSL sin tener que reiniciar AD DS o reiniciar el controlador de dominio.

Se puede utilizar una nueva operación de rootDse que se denomina renewServerCertificate para desencadenar manualmente AD DS para actualizar sus certificados SSL sin tener que reiniciar AD DS o reiniciar el controlador de dominio. Este atributo se puede actualizar utilizando adsiedit.msc, o importando el cambio en el Formato de Intercambio de Directorios LDAP (LDIF) utilizando ldifde.exe. Para obtener más información sobre el uso de LDIF para actualizar este atributo, consulte renewServerCertificate.

Por último, si un controlador de dominio de Windows Server 2008 o de una versión posterior encuentra varios certificados en su almacén, selecciona automáticamente el certificado cuya fecha de caducidad está más lejos en el futuro. Entonces, si su certificado actual se está acercando a su fecha de caducidad, puede soltar el certificado de reemplazo en el almacén, y AD DS cambia automáticamente para usarlo.