Windows Server：如何在 Active Directory 網域控制站上啟用安全的輕量型目錄存取通訊協定 （LDAPS）

輕量型目錄存取通訊協定 （LDAP） 是 Active Directory Domain Services 的核心通訊協定之一。Secure LDAP （LDAPS 或 LDAP over SSL 或 TLS） 提供透過加密保護 LDAP 通訊的方法。
 
必須在 DC 上產生並安裝適當的憑證，才能讓 DC 使用 LDAPS。下列項目可作為憑證申請的範本：

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

若要產生 LDAPS 憑證，請將以上文字複製到記事本中。將「消費者」行中的DC_fqdn>更改為<安裝證書的DC的完全限定功能變數名稱（例如，dc1.ad.domain.com）。

根據證書頒發機構 （CA） 的不同，可能還需要以下部分或全部資訊：

• 電子郵件位址 （E）
• 組織單位 （OU）
• 組織 （O）
• 城市或地區 （L）
• 州或省 （S）
• 國家或地區 （C）

所有這些資訊都可以添加到 主題 行，如以下範例所示：

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

將文字檔儲存為 request.inf，然後執行 certreq -new request.inf request.req 從命令提示符。這會使用文字檔案中提供的資訊，產生名為 request.req 的憑證要求。

生成請求后，必須將其提交給 CA。提交過程不能在此處記錄，因為它取決於 CA。

CA 將生成證書，該證書必須下載到 DC。下載過程也有所不同， 但證書必須編碼為base64。

將憑證儲存在 DC 上作為 ldaps.cer， 然後執行 certreq -accept ldaps.cer 以完成待處理的請求並安裝證書。默認情況下，證書安裝在DC的個人存儲中;可以使用憑證 MMC 管理單元來確認這一點。

現在必須重新啟動 DC。當 DC 開機回到 Windows 時，LDAPS 會自動用於 LDAP 通訊;不需要進一步的配置。

執行 netstat 命令顯示 lsass.exe 進程偵聽 TCP 連接埠 389 和 636，無論是否遵循上述過程。但是，在安裝適當的證書之前，無法使用 LDAPS。

ADSI 編輯工具可用來確認 LDAPS 正在使用中：

1. 啟動 ADSI 編輯 （adsiedit.msc)。
2. 在左窗格中，右鍵按下「 ADSI 編輯 」，然後選擇「 連接到...。
3. 從下拉式功能表中選取命名背景關係。
4. 勾選 使用 SSL 型加密。
5. 按 一下「進階...」。
6. 輸入 636 作為埠號，然後按兩下 確定。
7. 埠 636 應顯示在窗口頂部附近的 「路徑 」欄位中。按一下 確定 進行連線。
8. 如果連線成功，表示 LDAPS 正在使用中。

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less