Activer LDAP sur SSL avec une autorité de certification tierce.autorité de certification tierce

• 09/08/2020
• 6 minutes de lecture
• • D
  • M
  • . s

Cet article décrit comment activer Lightweight Directory Access Protocol (LDAP) sur Secure Sockets Layer (SSL) avec une autorité de certification tierce.autorité de certification tierce.

Version originale du produit : Windows Server 2012 R2
Numéro de KB d’origine : 321051

Summary

Le LDAP est utilisé pour lire et écrire dans Active Directory. Par défaut, le trafic LDAP est transmis de manière non sécurisée. Vous pouvez rendre le trafic LDAP confidentiel et sécurisé en utilisant la technologie SSL/Transport Layer Security (TLS). Vous pouvez activer LDAP sur SSL (LDAPS) en installant un certificat correctement formaté provenant soit d’une autorité de certification (CA) Microsoft, soit d’une CA non-Microsoft, conformément aux directives de cet article.

Il n’y a pas d’interface utilisateur pour configurer LDAPS. L’installation d’un certificat valide sur un contrôleur de domaine permet au service LDAP d’écouter et d’accepter automatiquement les connexions SSL pour le trafic LDAP et le catalogue global.

Conditions requises pour un certificat LDAPS

Pour activer LDAPS, vous devez installer un certificat qui répond aux conditions suivantes :

• Le certificat LDAPS est situé dans le magasin de certificats personnel de l’ordinateur local (appelé par programmation le magasin de certificats MY de l’ordinateur).

• Une clé privée qui correspond au certificat est présente dans le magasin de l’Ordinateur local et est correctement associée au certificat. La protection forte de la clé privée ne doit pas être activée pour la clé privée.

• L’extension Enhanced Key Usage inclut l’identifiant d’objet (également appelé OID) Server Authentication (1.3.6.1.5.5.7.3.1).

• Le nom de domaine entièrement qualifié Active Directory du contrôleur de domaine (par exemple, DC01.DOMAIN.COM) doit apparaître à l’un des endroits suivants :

  • Le nom commun (CN) dans le champ Subject.
  • L’entrée DNS dans l’extension Subject Alternative Name.

• Le certificat a été émis par une autorité de certification à laquelle le contrôleur de domaine et les clients LDAPS font confiance. La confiance est établie en configurant les clients et le serveur pour qu’ils fassent confiance à l’AC racine à laquelle l’AC émettrice est enchaînée.

• Utiliser le fournisseur de services cryptographiques (CSP) Schannel pour générer la clé.

Créer la demande de certificat

Tout utilitaire ou application qui crée une demande PKCS #10 valide peut être utilisé pour former la demande de certificat SSL. Utilisez Certreq pour former la demande.

Certreq.exe nécessite un fichier d’instructions textuelles pour générer une demande de certificat X.509 appropriée pour un contrôleur de domaine. Vous pouvez créer ce fichier en utilisant votre éditeur de texte ASCII préféré. Enregistrez le fichier en tant que fichier .inf dans n’importe quel dossier de votre disque dur.

Pour demander un certificat d’authentification de serveur adapté à LDAPS, procédez comme suit :

Pour plus d’informations sur la création de la demande de certificat, consultez le livre blanc suivant sur l’inscription et la gestion avancées des certificats. Pour consulter ce livre blanc, voir Inscription et gestion avancées des certificats.

Vérifier une connexion LDAPS

Après l’installation d’un certificat, suivez ces étapes pour vérifier que LDAPS est activé :

1. Démarrer l’outil d’administration Active Directory (Ldp.exe).

2. Dans le menu Connexion, cliquez sur Connecter.

3. Tapez le nom du contrôleur de domaine auquel vous voulez vous connecter.

4. Tapez 636 comme numéro de port.

5. Cliquez sur OK.

   Les informations de RootsDSE doivent s’imprimer dans le volet de droite, indiquant une connexion réussie.

Problèmes possibles

• Démarrer la demande étendue TLS

  La communication LDAPS se produit sur le port TCP 636. La communication LDAPS vers un serveur de catalogue global se produit sur le port TCP 3269. Lors de la connexion aux ports 636 ou 3269, SSL/TLS est négocié avant tout échange de trafic LDAP.

• Multiples certificats SSL

  Schannel, le fournisseur SSL de Microsoft, sélectionne le premier certificat valide qu’il trouve dans le magasin de l’ordinateur local. Si plusieurs certificats valides sont disponibles dans le magasin d’ordinateurs locaux, Schannel peut ne pas sélectionner le bon certificat.

• Pre-SP3 SSL certificate caching issue

  Si un certificat LDAPS existant est remplacé par un autre certificat, soit par un processus de renouvellement, soit parce que l’AC émettrice a changé, le serveur doit être redémarré pour que Schannel utilise le nouveau certificat.

Améliorations

La recommandation initiale de cet article était de mettre les certificats dans le magasin personnel de la machine locale. Bien que cette option soit prise en charge, vous pouvez également mettre les certificats dans le magasin de certificats personnel du service NTDS dans Windows Server 2008 et dans les versions ultérieures d’Active Directory Domain Services (AD DS). Pour plus d’informations sur la façon d’ajouter le certificat au magasin de certificats personnel du service NTDS, consultez l’événement ID 1220 – LDAP sur SSL.

AD DS recherche de préférence les certificats dans ce magasin plutôt que dans celui de la machine locale. Cela facilite la configuration d’AD DS pour qu’il utilise le certificat que vous voulez qu’il utilise. En effet, il pourrait y avoir plusieurs certificats dans le magasin Personnel des machines locales, et il peut être difficile de prévoir lequel est sélectionné.

AD DS détecte lorsqu’un nouveau certificat est déposé dans son magasin de certificats, puis déclenche une mise à jour du certificat SSL sans avoir à redémarrer AD DS ou le contrôleur de domaine.

Une nouvelle opération rootDse qui est nommée renewServerCertificate peut être utilisée pour déclencher manuellement AD DS pour mettre à jour ses certificats SSL sans avoir à redémarrer AD DS ou le contrôleur de domaine. Cet attribut peut être mis à jour à l’aide de adsiedit.msc, ou en important la modification dans LDAP Directory Interchange Format (LDIF) à l’aide de ldifde.exe. Pour plus d’informations sur l’utilisation de LDIF pour mettre à jour cet attribut, voir renewServerCertificate.

Enfin, si un contrôleur de domaine Windows Server 2008 ou une version ultérieure trouve plusieurs certificats dans son magasin, il sélectionne automatiquement le certificat dont la date d’expiration est la plus éloignée dans le futur. Ensuite, si votre certificat actuel approche de sa date d’expiration, vous pouvez déposer le certificat de remplacement dans le magasin, et AD DS bascule automatiquement pour l’utiliser.

.