Wachtwoord vergeten?

Wachtwoord vergeten
Vul hier uw email adres in. U ontvangt dan een nieuw wachtwoord.

Top5 Dynamics

Top1 Dynamics CRM 2013

LDAP via SSL inschakelen via een certificeringsinstantie van derden

Gepost op 12-06-2007 - Windows NT en 2000 - 0 reacties

De informatie in dit artikel is van toepassing op:

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server

Samenvatting

LDAP (Lightweight Directory Access Protocol) wordt gebruikt om te lezen van en schrijven naar Active Directory. LDAP-verkeer wordt standaard onbeveiligd verzonden. Door gebruik te maken van SSL/TLS-technologie (Secure Sockets Layer/Transport Layer Security) kan LDAP-verkeer veilig worden gemaakt, zodat het geschikt is voor vertrouwelijke informatie. LDAP via SSL (LDAPS) kan worden ingeschakeld door een certificaat met de juiste indeling te installeren van een Microsoft-certificeringsinstantie of een niet-Microsoft-certificeringsinstantie. Gebruik hiervoor de richtlijnen in dit artikel.

Meer informatie

Er is geen gebruikersinterface voor het configureren van LDAPS. Door een geldig certificaat te installeren op een domeincontroller kan de LDAP-service controleren op SSL-verbindingen voor zowel LDAP-verkeer als verkeer voor de globale catalogus, en deze automatisch accepteren.

Vereisten voor een LDAPS-certificaat

Als u LDAPS wilt inschakelen, moet u een certificaat installeren dat voldoet aan de volgende vereisten:
  • Het LDAPS-certificaat bevindt zich in het archief voor persoonlijke certificaten van de lokale computer (in programmering wordt hiernaar verwezen als het certificaatarchief 'My' op de computer).
  • Een persoonlijke sleutel die overeenkomt met het certificaat is aanwezig in het archief van de lokale computer en is op de juiste manier gekoppeld aan het certificaat. Voor de persoonlijke sleutel mag geen hoog beveiligingsniveau zijn ingeschakeld.
  • De extensie Uitgebreid sleutelgebruik bevat de object-id (ook wel OID genoemd) voor serververificatie (1.3.6.1.5.5.7.3.1).
  • De FQDN-naam (volledige domeinnaam) in Active Directory van de domeincontroller (bijvoorbeeld, DC01.DOMEIN.COM) moet op een van de volgende locaties voorkomen:
    • De algemene naam (CN) in het veld Onderwerp.
    • DNS-vermelding in de extensie Alternatieve naam voor onderwerp.
  • Het certificaat is uitgegeven door een certificeringsinstantie die door de domeincontroller en de LDAPS-clients wordt vertrouwd. De vertrouwensrelatie wordt ingesteld door in de configuratie van de clients en de server op te geven dat de basiscertificeringsinstantie moet worden vertrouwd waarnaar de keten van de uitgevende certificeringsinstantie leidt.
  • Voor het genereren van de sleutel moet de cryptografieprovider (CSP) Schannel worden gebruikt.
Zie het onderwerp 'Beleid voor het opbouwen van vertrouwen in basiscertificeringsinstanties' in de Help van Windows 2000 Server voor meer informatie over het instellen van een vertrouwensrelatie voor certificaten.

De certificaataanvraag maken

Voor het opstellen van de SSL-certificaataanvraag kan elk hulpprogramma of elke toepassing worden gebruikt waarmee een geldige PKCS nr. 10-aanvraag kan worden gemaakt. In dit artikel wordt Certreq gebruikt om de aanvraag op te stellen.

Opmerking De opdrachten die in dit artikel worden gebruikt, zijn gebaseerd op de 2003-versie van Certreq. Als u de stappen in dit artikel wilt gebruiken op een Windows 2000-server, kopieert u certreq.exe en certcli.dll van een Windows 2003-server naar een tijdelijke map op de Windows 2000-server.

Certreq.exe heeft een tekstbestand met instructies nodig om een geldige X.509-certificaataanvraag voor een domeincontroller te genereren. U kunt dit bestand maken in de ASCII-teksteditor van uw voorkeur. Sla het bestand op als INF-bestand naar een willekeurige map op de vaste schijf.

Ga als volgt te werk om een certificaat voor serververificatie aan te vragen dat geschikt is voor LDAPS:
  1. Maak het INF-bestand. Hieronder volgt een voorbeeld van een INF-bestand dat kan worden gebruikt om de certificaataanvraag te maken.

    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$"

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; vervang deze waarde door de FQDN (volledige naam) van de DC
    KeySpec = 1
    KeyLength = 1024
    ; Mogelijke waarden zijn 1024, 2048, 4096, 8192 en 16384.
    ; Grotere sleutelwaarden zijn veiliger, maar de
    ; prestaties worden hierdoor wel beïnvloed.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; deze id wordt gebruikt voor serververificatie

    ;-----------------------------------------------

    Knip en plak het voorbeeldbestand in een nieuw tekstbestand met de naam Request.inf. Geef in de aanvraag de volledige DNS-naam van de domeincontroller op.

    Opmerking Sommige certificeringsinstanties van derden verlangen mogelijk extra informatie bij de parameter Subject. Het kan bijvoorbeeld gaan om een e-mailadres (E), organisatie-eenheid (OU), organisatie (O), plaats of stad (L), staat of provincie (S), of land of regio (C). Dergelijke informatie kunt u toevoegen aan de Subject-naam (CN) in het bestand Request.inf. Bijvoorbeeld: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Maak het aanvraagbestand. Hiertoe typt u de volgende opdracht bij de opdrachtprompt en drukt u vervolgens op Enter:

    certreq -new request.inf request.req

    Een nieuw bestand met de naam Request.req wordt gemaakt. Dit is het aanvraagbestand in base64-codering.
  3. Dien de aanvraag in bij een certificeringsinstantie. U kunt de aanvraag indienen bij een Microsoft-certificeringsinstantie of bij een certificeringsinstantie van derden.
  4. Haal het verleende certificaat op en sla dit op als Certnew.cer in dezelfde map als die van het aanvraagbestand. Hiertoe gaat u als volgt te werk:
    1. Maak een nieuw bestand met de naam Certnew.cer.
    2. Open het bestand in Kladblok, plak het gecodeerde certificaat in het bestand en sla dit vervolgens op.
    Opmerking Het opgeslagen certificaat moet de base64-codering hebben. Sommige certificeringsinstanties van derden sturen het verleende certificaat terug naar de aanvrager als tekst met base64-codering in een e-mailbericht.
  5. Accepteer het verleende certificaat. Hiertoe typt u de volgende opdracht bij de opdrachtprompt en drukt u vervolgens op Enter:

    certreq -accept certnew.cer

  6. Controleer of het certificaat is geïnstalleerd in het persoonlijke archief van de computer. Hiertoe gaat u als volgt te werk:
    1. Start Microsoft Management Console (MMC).
    2. Voeg de module Certificaten toe waarmee certificaten op de lokale computer kunnen worden beheerd.
    3. Vouw achtereenvolgens Certificaten (Lokale computer), Persoonlijk en Certificaten uit.
    In het archief Persoonlijk moet een nieuw certificaat staan. In het dialoogvenster Eigenschappen voor certificaat is Verificatie van de server aangegeven als beoogd certificaatdoeleinde. Dit certificaat wordt verleend aan de volledige hostnaam van de computer.
  7. Start de domeincontroller opnieuw.
Raadpleeg het artikel 'Advanced Certificate Enrollment and Management' voor meer informatie over het maken van de certificaataanvraag. U vindt dit artikel op de volgende website van Microsoft:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/advcert.mspx

Een LDAPS-verbinding verifiëren

Voer na het installeren van een certificaat de volgende stappen uit om te verifiëren of LDAPS is ingeschakeld:
  1. Start het Active Directory-beheerprogramma (Ldp.exe).

    Opmerking Dit programma wordt geïnstalleerd met de ondersteuningsprogramma's van Windows 2000.
  2. Klik op Connect in het menu Connection.
  3. Typ de naam van de domeincontroller waarmee u een verbinding tot stand wilt brengen.
  4. Typ de waarde 636 voor het poortnummer.
  5. Klik op OK.

    In het rechterdeelvenster moeten RootDSE-gegevens worden vermeld, waarmee een geslaagde verbinding wordt aangegeven.

Mogelijke problemen

  • Uitgebreide aanvraag Start TLS
    De LDAPS-communicatie vindt plaats via poort TCP 636. De LDAPS-communicatie met een GC-server (globale catalogus) vindt plaats via poort TCP 3269. Wanneer een verbinding tot stand wordt gebracht met poort 636 of 3269, vindt SSL/TLS-onderhandeling plaats voordat enig LDAP-verkeer wordt uitgewisseld. Windows 2000 biedt geen ondersteuning voor de functionaliteit voor de uitgebreide aanvraag Start TLS.
  • Meerdere SSL-certificaten
    Schannel, de SSL-provider van Microsoft, selecteert het eerste geldige certificaat dat wordt aangetroffen in het archief van de lokale computer. Als het archief van de lokale computer meer geldige certificaten bevat, is het mogelijk dat Schannel niet het juiste certificaat selecteert.
  • Probleem van vöör SP3 met in cache opslaan van certificaat door SSL-provider
    Als een bestaand LDAPS-certificaat wordt vervangen door een ander certificaat (via een vernieuwingsproces of omdat de verlenende certificeringsinstantie is gewijzigd), kan Schannel het nieuwe certificaat pas gebruiken als de server opnieuw is opgestart. De SSL-provider in Windows 2000 slaat het LDAPS-certificaat op in de cache en bemerkt de wijziging pas wanneer de domeincontroller opnieuw is gestart. Dit probleem is gecorrigeerd in Service Pack 3 voor Windows 2000.

PrintPrint RSS reactiesRSS reacties BookmarkBookmark

Relevante artikelen

Gekoppelde tags

32-bit, Access, Cache, DLL, Service Pack, SSL, Windows 2000, Windows NT, Windows Server 2003

Reacties
Nog geen reacties geplaatst.

Winkelmandje

Het winkelmandje is leeg

Inloggen
Als u hierboven op de knop 'bestellen' klikt krijgt u een overzicht van de door uw gewenste producten. Indien het overzicht compleet en correct is kunt via de wizard de verdere gegevens invullen en uw bestelling afronden. In het bestelproces kunt u altijd op 'vorige' drukken om terug te gaan in het proces. Bij Perrit staan vertrouwen, privacy en veiligheid op de eerste plaats, wij zullen uw gegevens dan ook met uiterste zorgvuldigheid behandelen en nooit doorgeven aan derden.
  • Sherwood Rangers 29
  • 7551 KW Hengelo
  • T: +31 74 750 12 20
  • nl
    en

Perrit.nl Sherwood Rangers 29 Hengelo

Perrit.nl telefoon: +31 74 750 12 20

Kenniscentrum - LDAP via SSL inschakelen via een certificeringsinstantie van derden
Perrit Kenniscentrum - LDAP via SSL inschakelen via een certificeringsinstantie van derden