我有一台 Windows 2008 Server(Base2)机器。
在服务器管理器 > 角色中,我可以看到:
1. Active Directory 域服务
2. DNS 服务器
3. Active Directory 证书服务。
在 Active Directory 证书服务 > mydomain > 已颁发证书 下,我看到列出了一个证书。如果我“打开”此证书,其用途列为“私钥存档”
我想让我的 Active Directory 在 SSL(端口 636)中工作。
当我使用 ldp.exe(ldap 客户端)连接到启用了 SSL 复选框的端口 636 时,出现错误(“无法打开连接”),这对于默认的 389 端口来说工作正常。
我是 Windows 服务器管理/证书的新手。
我还需要设置什么?
答案1
您希望让您的 DC 支持通过 LDAPS 进行 BIND。为此,您需要将满足以下要求的证书添加到域控制器的个人证书存储中。此证书可以来自本地证书颁发机构或第三方颁发机构。
- LDAPS 证书位于本地计算机的个人证书存储中(在编程中称为计算机的 MY 证书存储)。
- 与证书匹配的私钥存在于本地计算机的存储中,并且与证书正确关联。
- 私钥一定不能启用强私钥保护。
- 增强密钥使用扩展包括服务器身份验证 (1.3.6.1.5.5.7.3.1) 对象标识符(也称为 OID)。
- 域控制器的 Active Directory 完全限定域名(例如,DC01.DOMAIN.COM)必须出现在以下位置之一:主题字段中的通用名称 (CN)。主题备用名称扩展中的 DNS 条目。
- 该证书由域控制器和 LDAPS 客户端信任的 CA 颁发。通过将客户端和服务器配置为信任颁发 CA 所链接的根 CA,可以建立信任。
- 您必须使用 Schannel 加密服务提供商 (CSP) 来生成密钥。
以上内容摘自 KB321051:如何使用第三方证书颁发机构启用 LDAP over SSL。
有关如何设置本地 CA 以使用 LDAPS 的其他信息,请参阅以下文章:LDAP over SSL (LDAPS) 证书
一旦您的 DC 安装了正确的证书,LDAPS 通信就会自动启用。您可以ldp.exe像尝试做的那样验证这一点。