Skip to content
Natuurondernemer
    Dicembre 30, 2020 by admin

    Abilitare LDAP su SSL con un’autorità di certificazionedi terze parti

    Abilitare LDAP su SSL con un’autorità di certificazionedi terze parti
    Dicembre 30, 2020 by admin
    • 09/08/2020
    • 6 minuti da leggere
      • D
      • M
      • s

    Questo articolo descrive come abilitare il Lightweight Directory Access Protocol (LDAP) su Secure Sockets Layer (SSL) con un’autorità di certificazione di terzi.autorità di certificazione di terze parti.

    Versione originale del prodotto: Windows Server 2012 R2
    Numero originale KB: 321051

    Sommario

    L’LDAP è usato per leggere e scrivere su Active Directory. Per default, il traffico LDAP è trasmesso non protetto. Puoi rendere il traffico LDAP riservato e sicuro usando la tecnologia SSL/Transport Layer Security (TLS). Puoi abilitare LDAP su SSL (LDAPS) installando un certificato correttamente formattato da un’autorità di certificazione (CA) Microsoft o da una CA non-Microsoft secondo le linee guida di questo articolo.

    Non esiste un’interfaccia utente per configurare LDAPS. L’installazione di un certificato valido su un controller di dominio permette al servizio LDAP di ascoltare e accettare automaticamente le connessioni SSL sia per il traffico LDAP che per il catalogo globale.

    Requisiti per un certificato LDAPS

    Per abilitare LDAPS, devi installare un certificato che soddisfi i seguenti requisiti:

    • Il certificato LDAPS si trova nel negozio dei certificati personali del computer locale (programmaticamente noto come negozio dei certificati MY del computer).

    • Una chiave privata che corrisponde al certificato è presente nel negozio del computer locale ed è correttamente associata al certificato. La chiave privata non deve avere una protezione forte della chiave privata abilitata.

    • L’estensione Enhanced Key Usage include il Server Authentication (1.3.6.1.5.5.7.3.1) object identifier (noto anche come OID).

    • Il nome di dominio Active Directory pienamente qualificato del controller di dominio (per esempio, DC01.DOMAIN.COM) deve apparire in uno dei seguenti posti:

      • Il Common Name (CN) nel campo Subject.
      • La voce DNS nell’estensione Subject Alternative Name.

    • Il certificato è stato rilasciato da una CA di cui il controller di dominio e i client LDAPS si fidano. La fiducia è stabilita configurando i client e il server per fidarsi della CA radice a cui la CA emittente fa riferimento.

    • Utilizza il fornitore di servizi crittografici (CSP) Schannel per generare la chiave.

    Crea la richiesta del certificato

    Qualunque utility o applicazione che crea una richiesta PKCS #10 valida può essere usata per formare la richiesta del certificato SSL. Usa Certreq per formare la richiesta.

    Certreq.exe richiede un file di istruzioni di testo per generare una richiesta di certificato X.509 appropriata per un controller di dominio. Puoi creare questo file usando il tuo editor di testo ASCII preferito. Salva il file come file .inf in una qualsiasi cartella del tuo disco rigido.

    Per richiedere un certificato di autenticazione del server che sia adatto a LDAPS, segui questi passi:

    Per maggiori informazioni sulla creazione della richiesta del certificato, vedi il seguente white paper Advanced Certificate Enrollment and Management. Per visualizzare questo white paper, vedi Advanced Certificate Enrollment and Management.

    Verificare una connessione LDAPS

    Dopo aver installato un certificato, segui questi passi per verificare che LDAPS sia abilitato:

    1. Avvia l’Active Directory Administration Tool (Ldp.exe).

    2. Sul menu Connessione, clicca su Connetti.

    3. Digitare il nome del controller di dominio a cui ci si vuole connettere.

    4. Digitare 636 come numero di porta.

    5. Cliccare OK.

      Le informazioni di RootDSE dovrebbero essere stampate nel pannello di destra, indicando una connessione riuscita.

    Problemi possibili

    • Richiesta estesa TLS

      La comunicazione LDAPS avviene sulla porta TCP 636. La comunicazione LDAPS verso un server di catalogo globale avviene su TCP 3269. Quando ci si connette alle porte 636 o 3269, SSL/TLS viene negoziato prima che qualsiasi traffico LDAP venga scambiato.

    • Certificati SSL multipli

      Schannel, il provider SSL di Microsoft, seleziona il primo certificato valido che trova nel negozio locale del computer. Se ci sono più certificati validi disponibili nel negozio locale del computer, Schannel potrebbe non selezionare il certificato corretto.

    • Pre-SP3 SSL certificate caching issue

      Se un certificato LDAPS esistente viene sostituito con un altro certificato, sia attraverso un processo di rinnovo o perché la CA emittente è cambiata, il server deve essere riavviato perché Schannel usi il nuovo certificato.

    Miglioramenti

    La raccomandazione originale in questo articolo era di mettere i certificati nel negozio personale della macchina locale. Sebbene questa opzione sia supportata, puoi anche mettere i certificati nell’archivio personale dei certificati del servizio NTDS in Windows Server 2008 e nelle versioni successive di Active Directory Domain Services (AD DS). Per maggiori informazioni su come aggiungere il certificato all’archivio dei certificati personali del servizio NTDS, vedi l’evento ID 1220 – LDAP su SSL.

    AD DS cerca preferibilmente i certificati in questo archivio piuttosto che in quello della macchina locale. Questo rende più facile configurare AD DS per usare il certificato che vuoi che usi. Questo perché potrebbero esserci più certificati nel negozio personale della macchina locale, e può essere difficile prevedere quale venga selezionato.

    AD DS rileva quando un nuovo certificato viene inserito nel suo negozio di certificati e quindi avvia un aggiornamento del certificato SSL senza dover riavviare AD DS o riavviare il controller di dominio.

    Una nuova operazione di rootDse che si chiama renewServerCertificate può essere usata per attivare manualmente AD DS per aggiornare i suoi certificati SSL senza dover riavviare AD DS o il controller di dominio. Questo attributo può essere aggiornato usando adsiedit.msc, o importando la modifica in LDAP Directory Interchange Format (LDIF) usando ldifde.exe. Per maggiori informazioni sull’uso di LDIF per aggiornare questo attributo, vedi renewServerCertificate.

    Infine, se un controller di dominio Windows Server 2008 o una versione successiva trova più certificati nel suo negozio, seleziona automaticamente il certificato la cui data di scadenza è più lontana nel futuro. Quindi, se il vostro certificato attuale si sta avvicinando alla data di scadenza, potete rilasciare il certificato sostitutivo nel negozio, e AD DS passa automaticamente ad utilizzarlo.

    Previous articleI serpenti Ringneck sono velenosi?Next article Che cosa sono le abilità cognitive?

    Lascia un commento Annulla risposta

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Articoli recenti

    • Trovare se stessi (e gli altri…) negli annuari online
    • Come impostare un bitcoin ASIC miner
    • Cos’è un sito Superfund?
    • I vermi sanguigni con esca da pesca hanno morsi di api
    • Ecolalia: I fatti oltre il “parlare a pappagallo”, lo scripting e l’eco
    • Citazioni del Signore delle Mosche
    • A Beginner’s Guide to Pegging
    • 42 ricette sane di zuppa Crockpot
    • 3 rischi sorprendenti della cattiva postura
    • Pesce Betta femmina

    Archivi

    • Aprile 2021
    • Marzo 2021
    • Febbraio 2021
    • Gennaio 2021
    • Dicembre 2020
    • Novembre 2020
    • Ottobre 2020
    • Settembre 2020
    • Agosto 2020
    • Luglio 2020
    • Giugno 2020
    • Maggio 2020
    • Aprile 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Accedi
    • Feed dei contenuti
    • Feed dei commenti
    • WordPress.org
    Posterity WordPress Theme