Windows Server: Aktivieren von LDAPS (Secure Lightweight Directory Access Protocol) auf einem Active Directory Domain Controller

LDAP (Lightweight Directory Access Protocol) ist eines der Kernprotokolle von Active Directory Domain Services. Sicheres LDAP (LDAPS oder LDAP über SSL oder TLS) bietet eine Möglichkeit, die LDAP-Kommunikation durch Verschlüsselung zu sichern.
 
Ein entsprechendes Zertifikat muss auf einem DC erzeugt und installiert werden, damit der DC LDAPS verwenden kann. Folgendes kann als Vorlage für die Zertifikatsanforderung verwendet werden:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Um ein LDAPS-Zertifikat zu erstellen, kopieren Sie den obigen Text in Notepad. Ändern Sie <DC_fqdn> in der Betreffzeile in den vollständig qualifizierten Domänennamen des Domänencontrollers, auf dem das Zertifikat installiert ist (z. B. dc1.ad.domain.com).

Je nach Zertifizierungsstelle (Certification Authority, CA) sind möglicherweise auch einige oder alle der folgenden Informationen erforderlich:

• E-Mail-Adresse (E)
• Organisationseinheit (OU)
• Organisation (O)
• Stadt oder Ort (L)
• Bundesland oder Kanton (S)
• Land oder Region (C)

Alle diese Informationen können der Betreffzeile hinzugefügt werden, wie in diesem Beispiel:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Speichern Sie die Textdatei als request.inf und führen Sie sie aus certreq -new request.inf request.req über eine Eingabeaufforderung aus. Dadurch wird eine Zertifikatsanforderung mit dem Namen request.req unter Verwendung der in der Textdatei bereitgestellten Informationen generiert.

Sobald die Anforderung erzeugt wurde, muss sie an die Zertifizierungsstelle übermittelt werden. Das Einreichungsverfahren kann hier nicht dokumentiert werden, da es von der CA abhängt.

Die Zertifizierungsstelle erzeugt das Zertifikat, das auf den DC heruntergeladen werden muss. Das Download-Verfahren variiert ebenfalls, aber das Zertifikat muss als Base64 kodiert sein.

Speichern Sie das Zertifikat auf dem DC als ldaps.cer und führen Sie Folgendes aus: certreq -accept ldaps.cer , um die ausstehende Anforderung abzuschließen und das Zertifikat zu installieren. Standardmäßig wird das Zertifikat im persönlichen Speicher des DC installiert. Das MMC-Snap-In "Zertifikate" kann verwendet werden, um dies zu bestätigen.

Der DC muss jetzt neu gestartet werden. Wenn der DC wieder in Windows startet, wird LDAPS automatisch für die LDAP-Kommunikation verwendet. Es ist keine weitere Konfiguration erforderlich.

Das Ausführen des Befehls netstat Befehl auf einem DC zeigt, dass der lsass.exe-Prozess die TCP-Ports 389 und 636 überwacht, unabhängig davon, ob das obige Verfahren befolgt wurde. LDAPS kann jedoch erst verwendet werden, wenn ein entsprechendes Zertifikat installiert ist.

Mit dem ADSI-Bearbeitungstool kann bestätigt werden, dass LDAPS verwendet wird:

1. ADSI-Bearbeitung starten (adsiedit.msc).
2. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf ADSI Edit und wählen Sie Connect mit... aus. .
3. Wählen Sie einen Namenskontext aus dem Dropdown-Menü aus.
4. Aktivieren Sie SSL-basierte Verschlüsselung verwenden.
5. Klicken Sie auf Erweitert... .
6. Geben Sie 636 als Portnummer ein und klicken Sie auf OK.
7. Port 636 sollte im Feld Path im oberen Bereich des Fensters angezeigt werden. Klicken Sie zum Herstellen einer Verbindung auf OK .
8. Wenn die Verbindung erfolgreich ist, wird LDAPS verwendet.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less