Aktivieren des Lightweight Directory Access Protocol (LDAP) über SSL (Secure Sockets Layer) - Windows Server (2024)

Table of Contents
In diesem Artikel Zusammenfassung Voraussetzungen für ein LDAPS-Zertifikat Erstellen der Zertifikatanforderung Überprüfen einer LDAPS-Verbindung Mögliche Probleme Verbesserungen
  • Artikel

In diesem Artikel wird beschrieben, wie Lightweight Directory Access Protocol (LDAP) über SSL (Secure Sockets Layer) mit einer Zertifizierungsstelle eines Drittanbieters aktiviert wird.

Ursprüngliche KB-Nummer: 321051

Zusammenfassung

Das Lightweight Directory Access Protocol (LDAP) wird zum Schreiben und Lesen von und aus dem Active Directory verwendet. Standardmäßig findet der LDAP-Datenverkehr ungesichert statt. Sie können den LDAP-Verkehr vertraulich und sicher gestalten, indem Sie die SSL-/TSL-Technologie nutzen (SSL = Secure Sockets Layer; TSL = Transport Layer Security). Sie können LDAP über SSL (LDAPS) aktivieren, indem Sie anhand der Angaben in diesem Artikel ein entsprechend formatiertes Zertifikat von einer Microsoft-Zertifizierungsstelle oder einer anderen Zertifizierungsstelle installieren.

Es gibt keine Benutzeroberfläche zum Konfigurieren von LDAPS. Durch die Installation eines gültigen Zertifikats auf einem Domänencontroller kann der LDAP-Dienst auf SSL-Verbindungen für LDAP-Verkehr und Verkehr mit globalen Katalogen warten und diesen automatisch akzeptieren.

Voraussetzungen für ein LDAPS-Zertifikat

Sie müssen ein Zertifikat installieren, das folgende Voraussetzungen erfüllt, um LDAPS aktivieren zu können:

  • Das LDAPS-Zertifikat befindet sich im persönlichen Zertifikatsspeicher des lokalen Computers (im Programm der Zertifikatsspeicher MY).

    Hinweis

    Wenn im NTDS-Speicher (NT Directory Services) ein Zertifikat vorhanden ist, verwendet DC stattdessen das Zertifikat im NTDs-Speicher.

  • Ein privater Schlüssel, der dem Zertifikat entspricht, ist im Speicher des lokalen Computers vorhanden und wird korrekt mit dem Zertifikat verknüpft. Für den privaten Schlüssel darf keine verstärkte Sicherheit aktiviert sein.

  • Die Erweiterung "Erweiterte Schlüsselverwendung" enthält die Objektkennung (OID) der Serverauthentifizierung (1.3.6.1.5.5.7.3.1).

  • Der voll qualifizierte Domänenname des Domänencontrollers im Active Directory (zum Beispiel dc01.contoso.com) muss an einer der folgenden Stellen erscheinen:

    • Allgemeiner Name (CN = Common Name) im Antragstellerfeld.
    • DNS-Eintrag in der Erweiterung "Alternativer Antragstellername".

  • Das Zertifikat wurde von einer Zertifizierungsstelle ausgestellt, der der Domänencontroller und die LDAPS-Clients vertrauen. Die Vertrauensstellung wird eingerichtet, indem Clients und Server so konfiguriert werden, dass sie der Stammzertifizierungsstelle vertrauen, der die ausstellende Zertifizierungsstelle untergeordnet ist.

    See Also
    Was ist LDAP-Authentifizierung (Lightweight Directory Access Protocol)?LDAP vs. LDAPS: Securing Auth to Legacy AppsSo nutzen Sie LDAP over SSL in Active DirectoryWas ist LDAP: Definition und Erklärung

  • Sie müssen den Schannel Cryptographic Service Provider (CSP) zur Erstellung des Schlüssels verwenden.

Erstellen der Zertifikatanforderung

Jedes Dienstprogramm oder jede Anwendung, die eine gültige PKCS #10-Anforderung erstellt, kann zur Erstellung der SSL-Zertifikatsanforderung verwendet werden. Verwenden Sie „Certreq“ zur Erstellung der Anforderung.

"Certreq.exe" erfordert eine Datei mit Textanweisungen, um eine ordnungsgemäße X.509-Zertifikatanforderung für einen Domänencontroller zu erstellen. Sie können diese Datei mit Ihrem bevorzugten ASCII-Texteditor erstellen. Speichern Sie die Datei als INF-Datei in einen beliebigen Ordner auf Ihrer Festplatte.

Gehen Sie folgendermaßen vor, um ein für LDAPS geeignetes Serverauthentifizierungszertifikat anzufordern:

  1. Erstellen Sie die INF-Datei. Die folgende INF-Beispieldatei kann verwendet werden, um die Zertifikatsanforderung zu erstellen.

    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$

    [NewRequest]

    Antragsteller = „CN=<DC fqdn>“; durch den FQDN des DC ersetzen
    KeySpec = 1
    KeyLength = 1024
    ; Kann 1024, 2048, 4096, 8192 oder 16384 sein.
    ; Ene größere Schlüsselgröße ist sicherer, wirkt sich jedoch
    ; stark auf die Leistung aus.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; dient zur Serverauthentifizierung

    ;-----------------------------------------------

    Kopieren Sie die Beispieldatei in eine neue Textdatei mit dem Namen Request.inf. Geben Sie in der Anforderung den vollqualifizierten DNS-Namen des Domänencontrollers ein.

    Hinweis: Einige Zertifizierungsstellen von Drittanbietern erfordern u.U. zusätzliche Informationen im Parameter „Subject“. Diese Informationen beinhalten beispielsweise Emailadresse (E), Organisationseinheit (OU), Organisation oder Firma (O), Stadt oder Ort (L), Bundesstaat oder Bundesland (S) und Land oder Region (C). Sie können diese Information an den Betreffnamen (CN) der Datei "Request.inf" anhängen. Beispiel:

    See Also
    Step by Step Guide to Setup LDAPS on Windows Server

    Antragsteller=„E=admin@contoso.com; CN=<DC fqdn>, OU=Server, O=Contoso, L=Redmond, S=Washington, C=US.“

  2. Erstellen Sie die Anforderungsdatei, indem Sie den folgenden Befehl in der Eingabeaufforderung ausführen:

    certreq -new request.inf request.req

    Es wird eine neue Datei mit dem Namen Request.req erstellt. Dies ist die Base64-codierte Anforderungsdatei.

  3. Senden Sie die Anforderung an eine Zertifizierungsstelle. Sie können die Anforderung an eine Microsoft- oder an eine Fremdanbieter-Zertifizierungsstelle senden.

  4. Holen Sie das ausgegebene Zertifikat ab und speichern Sie dieses dann unter dem Namen „Certnew.cer“ im selben Ordner wie die Anforderungsdatei.

    1. Erstellen Sie eine neue Datei mit dem Namen Certnew.cer.
    2. Öffnen Sie die Datei im Editor, fügen Sie das codierte Zertifikat in die Datei ein, und speichern Sie anschließend die Datei.

    Hinweis

    Hinweis: Das gespeicherte Zertifikat muss base64-codiert sein. Einige Fremdanbieter-Zertifizierungsstellen senden das ausgestellte Zertifikat in Form eines Base64-codierten Texts in einer E-Mail-Nachricht an den Anforderer.

  5. Akzeptieren Sie das ausgestellte Zertifikat, indem Sie den folgenden Befehl in der Eingabeaufforderung ausführen:

    certreq -accept certnew.cer

  6. Überprüfen Sie, ob das Zertifikat im privaten Informationsspeicher des Computers installiert wurde.

    1. Starten Sie die Microsoft Management Console (MMC).
    2. Fügen Sie der Konsole das Zertifikate-Snap-In hinzu, das auf dem lokalen Computer die Zertifikate verwaltet
    3. Erweitern Sie nacheinander Zertifikate - Lokaler Computer, Persönlich und Zertifikate. Im privaten Informationsspeicher müsste jetzt ein neues Zertifikat vorhanden sein. Im Dialogfeld Zertifikateigenschaften wird der beabsichtigte Zweck Serverauthentifizierung angezeigt. Das Zertifikat wird auf den vollqualifizierten Hostnamen des Computers ausgestellt.

  7. Starten Sie den Domänencontroller neu.

Weitere Informationen zum Erstellen einer Zertifikatsanforderung finden Sie im folgenden Whitepaper "Advanced Certificate Enrollment and Management/ Erweiterte Zertifikatsanforderung und -verwaltung": Zum Anzeigen dieses Whitepapers siehe Erweiterte Zertifikatregistrierung und -verwaltung.

Überprüfen einer LDAPS-Verbindung

Gehen Sie nach der Installation eines Zertifikats folgendermaßen vor, um sicherzustellen, dass LDAPS aktiviert ist:

  1. Starten Sie das Verwaltungsprogramm für das Active Directory (ldp.exe).

  2. Klicken Sie im Menü Verbindung auf Verbinden.

  3. Geben Sie den Namen des Domänencontrollers an, zu dem eine Verbindung hergestellt werden soll.

  4. Geben Sie 636 als Portnummer an.

  5. Klicken Sie auf OK.

    Im rechten Fenster sollten RootDSE-Informationen ausgegeben werden und eine erfolgreich hergestellte Verbindung anzeigen.

Mögliche Probleme

  • Erweiterte Anforderung „Start TLS“

    Die LDAPS-Kommunikation findet über Port "TCP 636" statt. Die LDAPS-Kommunikation mit einem globalen Katalogserver findet über TCP 3269 statt. Wenn die Verbindung zu den Ports 636 oder 3269 hergestellt wird, wird SSL/TLS ausgehandelt, bevor irgendwelcher LDAP-Verkehr ausgetauscht wird.

  • Mehrere SSL-Zertifikate

    Schannel (Microsoft-SSL-Anbieter) wählt das erste gültige Zertifikat aus, das im Speicher des lokalen Computers gefunden wird. Wenn es mehrere gültige Zertifikate im Speicher des lokalen Computers gibt, wählt Schannel möglicherweise nicht das richtige Zertifikat aus.

  • Problem beim Zwischenspeichern von SSL-Zertifikaten in Versionen vor SP3

    Wenn ein vorhandenes LDAPS-Zertifikat durch ein anderes Zertifikat ersetzt wird, weil ein neues Zertifikat verwendet werden soll oder sich die ausstellende Zertifizierungsstelle geändert hat, muss der Server neu gestartet werden, damit Schannel das neue Zertifikat verwendet.

Verbesserungen

Ursprünglich wurde in diesem Artikel empfohlen, Zertifikate im persönlichen Speicher des Computers lokal zu speichern. Diese Option wird zwar noch unterstützt, Sie können die Zertifikate aber auch im persönlichen Zertifikatspeicher des NTDS-Diensts in Windows Server 2008 und höheren Versionen von Active Directory Domain Services (AD DS) ablegen. Weitere Informationen dazu, wie Sie das Zertifikat dem persönlichen NTDS-Zertifikatsspeicher des Computers hinzufügen können, finden Sie unter Ereignis-ID 1220 - LDAP über SSL.

ADDS sucht vorwiegend in diesem Speicher nach Zertifikaten statt im Speicher unter „Lokaler Computer“. Daher lässt sich in AD DS einfacher konfigurieren, welche Zertifikate verwendet werden sollen. Dies ist so, weil im persönlichen Speicher des lokalen Computer mehrere Zertifikate gespeichert sein können und sich schwer vorhersagen lässt, welches Zertifikat ausgewählt wird.

AD DS erkennt, wenn ein neues Zertifikat im Zertifikatspeicher abgelegt wird und löst dann eine SSL-Zertifikataktualisierung aus, ohne einen Neustart von AD DS oder des Domänencontrollers zu erfordern.

Mit dem neuen rootDse-Befehl namens renewServerCertificate kann ADDS manuell gezwungen werden, seine SSL-Zertifikate zu aktualisieren, ohne dass ein Neustart von ADDS oder des Domänencontrollers erforderlich ist. Dieses Attribut kann mit adsiedit.msc oder durch Importieren der Änderung im LDIF-Format (LDAP Directory Interchange Format) mit ldifde.exe aktualisiert werden. Weitere Informationen zur Verwendung von LDIF zum Aktualisieren dieses Attributs finden Sie unter renewServerCertificate.

Zuletzt ist Folgendes zu beachten: Wenn ein Domänencontroller unter WindowsServer2008 oder neuer mehrere Zertifikate in einem Speicher findet, wählt er zufällig eines dieser Zertifikate aus.

Alle diese Verfahren sind in Windows Server 2008 AD DS und für 2008 Active Directory Lightweight Directory Services (AD LDS) einsetzbar. Bei AD LDS legen Sie die Zertifikate im persönlichen Zertifikatspeicher für den Dienst ab, welcher der AD LDS-Instanz entspricht, statt dem Speicher für den NTDS-Dienst.

Aktivieren des Lightweight Directory Access Protocol (LDAP) über SSL (Secure Sockets Layer) - Windows Server (2024)
Top Articles
Florida Lottery (FL) - Winning Numbers & Results
Florida (FL) Lottery Results and Winning Numbers
Mvd Eagle Ranch Appointment
Health Stream Kaiser
Csuf Mail
Zavvi Discount Code → 55% Off in September 2024
Shadle Park big-play combo of Hooper-to-Boston too much for Mt. Spokane in 20-16 win
Lifestyle | Stewartstown-Fawn Grove Daily Voice
Steve Wallis Wife Age
Promiseb Discontinued
24/7 Walmarts Near Me
Seth Juszkiewicz Obituary
Kathy Carrack
Dr Paul Memorial Medical Center
Fy23 Ssg Evaluation Board Fully Qualified List
Seafood Restaurants Open Late Near Me
Kinoprogramm für Berlin und Umland
Northwell.myexperience
Free Cities Mopoga
The Obscure Spring Watch Online Free
Test Nvidia GeForce GTX 1660 Ti, la carte graphique parfaite pour le jeu en 1080p
ZQuiet Review | My Wife and I Both Tried ZQuiet for Snoring
Gargoyle Name Generator
Krunker.io - Play Krunker io on Kevin Games
Staar English 2 2022 Answer Key
Pair sentenced for May 2023 murder of Roger Driesel
My Eschedule Greatpeople Me
Leonards Truck Caps
Pillowtalk Leaked
Ulta Pigeon Forge
Preventice Learnworlds
Slim Thug’s Wealth and Wellness: A Journey Beyond Music
Woude's Bay Bar Photos
Family Violence Prevention Program - YWCA Wheeling
No Compromise in Maneuverability and Effectiveness
Sallisaw Bin Store
Savannah Schultz Leaked
"Lebst du noch?" Roma organisieren Hilfe für die Ukraine – DW – 05.03.2022
Www Texaslottery Com
Middletown Pa Craigslist
Section 212 Metlife Stadium
Filmy4 Web Xyz.com
Okeeheelee Park Pavilion Rental Prices
Beacon Schneider La Porte
Bn9 Weather Radar
358 Edgewood Drive Denver Colorado Zillow
Cafepharma Message Boards
Gwcc Salvage
Water Temperature Robert Moses
4215 Tapper Rd Norton Oh 44203
3220 Nevada Terrace Ottawa Ks 66067
Only Partly Forgotten Wotlk
Latest Posts
Walker Mortuary Ltd Obituaries
About the Florida Lottery
Article information

Author: Prof. An Powlowski

Last Updated:

Views: 6004

Rating: 4.3 / 5 (44 voted)

Reviews: 91% of readers found this page helpful

Author information

Name: Prof. An Powlowski

Birthday: 1992-09-29

Address: Apt. 994 8891 Orval Hill, Brittnyburgh, AZ 41023-0398

Phone: +26417467956738

Job: District Marketing Strategist

Hobby: Embroidery, Bodybuilding, Motor sports, Amateur radio, Wood carving, Whittling, Air sports

Introduction: My name is Prof. An Powlowski, I am a charming, helpful, attractive, good, graceful, thoughtful, vast person who loves writing and wants to share my knowledge and understanding with you.