Windows Server: Secure Lightweight Directory Access Protocol (LDAPS) inschakelen op een Active Directory Domain-controller

LDAP (Lightweight Directory Access Protocol) is een van de kernprotocollen van Active Directory Domain Services. Secure LDAP (LDAPS of LDAP via SSL of TLS) is een manier om LDAP-communicatie te beveiligen door middel van versleuteling.
 
Er moet een geschikt certificaat worden gegenereerd en geïnstalleerd op een DC om ervoor te zorgen dat de DC LDAPS kan gebruiken. Het volgende kan worden gebruikt als sjabloon voor de certificaataanvraag:

 

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC_fqdn>" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Larger key sizes (2048, 4096, 8192, or 16384)
; can also be used. They are more secure but larger
; sizes have a greater performance impact.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; Server Authentication

;-----------------------------------------------

Als u een LDAPS-certificaat wilt genereren, kopieert u de bovenstaande tekst naar Kladblok. Wijzig <DC_fqdn> in de onderwerpregel naar de volledig gekwalificeerde domeinnaam van de DC waar het certificaat is geïnstalleerd (bijvoorbeeld dc1.ad.domain.com).

Afhankelijk van de certificeringsinstantie (CA) kan ook de volgende informatie vereist zijn:

• E-mailadres (E)
• Organisatorische eenheid (OU)
• Organisatie (O)
• Stad of plaats (L)
• Staat of provincie (S)
• Land of regio (C)

Al deze informatie kan worden toegevoegd aan de onderwerpregel , zoals in dit voorbeeld:

Subject="E=user@domain.com, CN=dc1.ad.domain.com, OU=Information Technology, O=Company, L=Anywhere, S=Kansas, C=US"

Sla het tekstbestand op als request.inf en voer het uit certreq -new request.inf request.req via een opdrachtprompt. Dit genereert een certificaataanvraag met de naam request.req met behulp van de informatie die in het tekstbestand wordt opgegeven.

Zodra de aanvraag is gegenereerd, moet deze worden ingediend bij de certificeringsinstantie. De indieningsprocedure kan hier niet worden gedocumenteerd, omdat deze afhankelijk is van de CA.

De CA genereert het certificaat, dat naar de DC moet worden gedownload. De downloadprocedure varieert ook, maar het certificaat moet worden gecodeerd als base64.

Sla het certificaat op de DC op als ldaps.cer en voer het uit: certreq -accept ldaps.cer om de lopende aanvraag te voltooien en het certificaat te installeren. Standaard wordt het certificaat geïnstalleerd in het persoonlijke archief van de DC. de MMC-module Certificaten kan worden gebruikt om dit te bevestigen.

De DC moet nu opnieuw worden opgestart. Wanneer de DC weer opstart in Windows, wordt LDAPS automatisch gebruikt voor LDAP-communicatie; Er is geen verdere configuratie vereist.

Het uitvoeren van de netstat commando op een DC geeft aan dat het lsass.exe-proces luistert op TCP-poorten 389 en 636, ongeacht of de bovenstaande procedure is gevolgd. LDAPS kan echter pas worden gebruikt als het juiste certificaat is geïnstalleerd.

De ADSI Edit tool kan worden gebruikt om te bevestigen dat LDAPS in gebruik is:

1. Start ADSI Edit (adsiedit.msc).
2. Klik in het linkerdeelvenster met de rechtermuisknop op ADSI Edit en selecteer Verbinden met... .
3. Selecteer een naamgevingscontext in het vervolgkeuzemenu.
4. Vink Gebruik SSL-gebaseerde versleuteling aan.
5. Klik op Geavanceerd... .
6. Voer 636 in voor het poortnummer en klik op OK.
7. Poort 636 zou moeten verschijnen in het veld Pad boven aan het venster. Klik op OK om verbinding te maken.
8. Als de verbinding tot stand is gebracht, is LDAPS in gebruik.

PowerEdge FC640, PowerEdge M640, PowerEdge M640 (for PE VRTX), PowerEdge MX5016s, PowerEdge MX740C, PowerEdge MX750c, PowerEdge MX760c, PowerEdge MX840C, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360 , PowerEdge R440, PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640 ... View More View Less