web-dev-qa-db-ja.com

Active DirectoryのSSLを設定するにはどうすればよいですか?

私はWindows2008 Server(Base2)マシンを持っています。

サーバーマネージャー>ロールで、次のように表示されます:
1。 ActiveDirectoryドメインサービス
2。 DNSサーバー
3。 ActiveDirectory証明書サービス。

ActiveDirectory証明書サービス> mydomain>発行済み証明書の下に、証明書が表示されます。この証明書を「開く」と、その目的は「秘密鍵アーカイブ」としてリストされます。

Active DirectoryをSSL(ポート636)で動作させたい

Ldp.exe(LDAPクライアント)を使用してSSLチェックボックスを有効にしてポート636に接続すると、エラー(「接続を開くことができません」)が発生します。これはデフォルトの389ポートで正常に機能します。

WindowsServerの管理/証明書は初めてです。
他に何を設定する必要がありますか?

2
Jasper

あなたはあなたのDCがLDAPSを介してBINDをサポートするようにしようとしています。これを行うには、次の要件を満たす証明書をドメインコントローラーの個人証明書ストアに追加する必要があります。この証明書は、ローカルに収容されている認証局またはサードパーティの認証局からのものである可能性があります。

  • LDAPS証明書は、ローカルコンピューターの個人証明書ストア(プログラムではコンピューターのMY証明書ストアと呼ばれます)にあります。
  • 証明書と一致する秘密鍵がローカルコンピューターのストアに存在し、証明書に正しく関連付けられています。
  • 秘密鍵では、強力な秘密鍵保護を有効にしないでください。
  • 拡張キー使用法拡張機能には、サーバー認証(1.3.6.1.5.5.7.3.1)オブジェクト識別子(OIDとも呼ばれます)が含まれています。
  • ドメインコントローラーのActiveDirectory完全修飾ドメイン名(たとえば、DC01.DOMAIN.COM)は、次のいずれかの場所に表示される必要があります。[件名]フィールドの共通名(CN)。サブジェクト代替名拡張子のDNSエントリ。
  • 証明書は、ドメインコントローラーとLDAPSクライアントが信頼するCAによって発行されました。信頼は、発行元のCAがチェーンするルートCAを信頼するようにクライアントとサーバーを構成することによって確立されます。
  • キーを生成するには、Schannel暗号化サービスプロバイダー(CSP)を使用する必要があります。

上記はKB321051から抜粋したものです: サードパーティの認証局でLDAP over SSLを有効にする方法

LDAPSを使用するためのローカルCAのセットアップ方法に関する追加情報は、次の記事にあります。 LDAP over SSL(LDAPS)証明書

DCに適切な証明書がインストールされると、LDAPS通信が自動的に有効になります。これをldp.exeで確認できます。

1
HostBits