LDAP via SSL inschakelen met een certificeringsinstantie van een derdecertificeringsinstantie

• 09/08/2020
• 6 minuten om te lezen
• • D
  • M
  • s

Dit artikel beschrijft hoe Lightweight Directory Access Protocol (LDAP) via Secure Sockets Layer (SSL) met een certificeringsinstantie van een derde partij kan worden ingeschakeld.certificeringsinstantie van een derde partij.

Oorspronkelijke productversie: Windows Server 2012 R2
Oorspronkelijk KB-nummer: 321051

Samenvatting

De LDAP wordt gebruikt om te lezen van en te schrijven naar Active Directory. Standaard wordt LDAP-verkeer onbeveiligd verzonden. U kunt LDAP-verkeer vertrouwelijk en veilig maken door SSL/Transport Layer Security (TLS)-technologie te gebruiken. U kunt LDAP over SSL (LDAPS) inschakelen door een correct geformatteerd certificaat van een Microsoft-certificeringsinstantie (CA) of een niet-Microsoft-CA te installeren volgens de richtlijnen in dit artikel.

Er is geen gebruikersinterface voor het configureren van LDAPS. Door een geldig certificaat op een domeincontroller te installeren, kan de LDAP-service luisteren naar SSL-verbindingen voor zowel LDAP-verkeer als verkeer naar de globale catalogus, en deze automatisch accepteren.

Eisen voor een LDAPS-certificaat

Om LDAPS in te schakelen, moet u een certificaat installeren dat aan de volgende eisen voldoet:

• Het LDAPS-certificaat bevindt zich in de persoonlijke certificaatopslag van de lokale computer (programmatisch bekend als de MY-certificaatopslag van de computer).

• Een privésleutel die overeenkomt met het certificaat is aanwezig in de winkel van de lokale computer en is correct gekoppeld aan het certificaat. Voor de privésleutel mag geen sterke privésleutelbeveiliging zijn ingeschakeld.

• De uitbreiding voor verbeterd sleutelgebruik bevat de objectidentifier Serverauthenticatie (1.3.6.1.5.7.3.1) (ook bekend als OID).

• De volledig gekwalificeerde Active Directory-domeinnaam van de domeincontroller (bijvoorbeeld DC01.DOMAIN.COM) moet op een van de volgende plaatsen voorkomen:
  • De Common Name (CN) in het veld Subject.
  • DNS-vermelding in de extensie Subject Alternative Name.

• Het certificaat is afgegeven door een CA die de domeincontroller en de LDAPS-clients vertrouwen. Vertrouwen wordt opgebouwd door de clients en de server te configureren om de root-CA te vertrouwen waaraan de CA die het certificaat uitgeeft is gekoppeld.

• Gebruik de cryptografische serviceprovider (CSP) van Schannel om de sleutel te genereren.

Creëer het certificaatverzoek

Elk hulpprogramma of elke toepassing die een geldig PKCS #10-verzoek maakt, kan worden gebruikt om het SSL-certificaatverzoek te maken. Gebruik Certreq om het verzoek te maken.

Certreq.exe heeft een tekstinstructiebestand nodig om een geschikt X.509-certificaatverzoek voor een domeincontroller te genereren. U kunt dit bestand maken met behulp van uw ASCII-teksteditor van voorkeur. Sla het bestand op als een .inf-bestand in een willekeurige map op uw vaste schijf.

Om een Server Authentication-certificaat aan te vragen dat geschikt is voor LDAPS, volgt u deze stappen:

Voor meer informatie over het maken van het certificaatverzoek, raadpleegt u de volgende whitepaper over Advanced Certificate Enrollment and Management. Zie Advanced Certificate Enrollment and Management (Geavanceerde certificaatinschrijving en -beheer) om deze whitepaper te bekijken.

Verifieer een LDAPS-verbinding

Nadat een certificaat is geïnstalleerd, volgt u deze stappen om te controleren of LDAPS is ingeschakeld:

1. Start de Active Directory Administration Tool (Ldp.exe).

2. Klik in het menu Verbinding op Verbinden.

3. Type de naam van de domeincontroller waarmee u verbinding wilt maken.

4. Type 636 als poortnummer.

5. Klik op OK.

   RootDSE-informatie zou in het rechterdeelvenster moeten worden afgedrukt, wat aangeeft dat de verbinding is geslaagd.

Mogelijke problemen

• Start TLS extended request

  LDAPS-communicatie vindt plaats via poort TCP 636. LDAPS-communicatie met een globale catalogusserver vindt plaats over TCP 3269. Wanneer verbinding wordt gemaakt met poort 636 of 3269, wordt over SSL/TLS onderhandeld voordat er LDAP-verkeer wordt uitgewisseld.

• Meerdere SSL-certificaten

  Schannel, de Microsoft SSL-provider, selecteert het eerste geldige certificaat dat het in de lokale computerwinkel vindt. Als er meerdere geldige certificaten beschikbaar zijn in de lokale computerwinkel, kan het zijn dat Schannel niet het juiste certificaat selecteert.

• Pre-SP3 SSL-certificaat caching probleem

  Als een bestaand LDAPS-certificaat wordt vervangen door een ander certificaat, hetzij door een vernieuwingsproces of omdat de uitgevende CA is veranderd, moet de server opnieuw worden opgestart voordat Schannel het nieuwe certificaat kan gebruiken.

verbeteringen

De oorspronkelijke aanbeveling in dit artikel was om certificaten in de Personal store van de Local Machine te plaatsen. Hoewel deze optie wordt ondersteund, kunt u in Windows Server 2008 en in latere versies van Active Directory Domain Services (AD DS) ook certificaten in de Persoonlijke certificatenopslag van de NTDS-service plaatsen. Zie Gebeurtenis-ID 1220 – LDAP over SSL voor meer informatie over het toevoegen van het certificaat aan de Persoonlijke certificatenopslag van de NTDS-service.

AD DS zoekt bij voorkeur naar certificaten in deze opslagruimte in plaats van in de opslagruimte van de lokale machine. Dit maakt het eenvoudiger om AD DS zo in te stellen dat het het certificaat gebruikt dat u wilt gebruiken. De reden hiervoor is dat er meerdere certificaten in de winkel van de Local Machines Personal kunnen zijn, en het kan moeilijk zijn om te voorspellen welke wordt geselecteerd.

AD DS detecteert wanneer een nieuw certificaat in zijn certificaatwinkel wordt gedropt en triggert dan een SSL-certificaat update zonder dat AD DS opnieuw hoeft te worden gestart of de domeincontroller opnieuw hoeft te worden gestart.

Een nieuwe rootDse operatie met de naam renewServerCertificate kan worden gebruikt om AD DS handmatig te triggeren om zijn SSL-certificaten te updaten zonder dat AD DS opnieuw hoeft te worden gestart of de domeincontroller opnieuw hoeft te worden gestart. Dit kenmerk kan worden bijgewerkt met adsiedit.msc, of door de wijziging te importeren in LDAP Directory Interchange Format (LDIF) met ldifde.exe. Zie voor meer informatie over het gebruik van LDIF voor het bijwerken van dit attribuut renewServerCertificate.

Ten slotte, als een Windows Server 2008 of een latere versie domeincontroller meerdere certificaten in zijn opslag vindt, wordt automatisch het certificaat geselecteerd waarvan de vervaldatum het verst in de toekomst ligt. Als uw huidige certificaat bijna verlopen is, kunt u het vervangende certificaat in de store plaatsen, waarna AD DS het automatisch gaat gebruiken.