服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何为Active Directory设置SSL?
Intereting Posts
我怎样才能find第一次linux机器启动? Grub2在探测/安装时报告没有find物理卷pv0 在PowerShell中获取iis7日志目录 在mdadm中扩展8TB RAID5只显示3.5TB可用 在Linux上的FTP“无法检索目录列表”不是防火墙问题 从Bamboo服务器下载速度很慢,我该如何debugging呢? vhost.conf中的Mass VirtualHost帮助 困惑我在我的apache访问日志中看到什么(想想我可能被黑客攻击)? 当Windows 8客户端连接时,SMBD守护程序在CPU使用率达到100%时会出现峰值 有人可以通过我的网站运行shell命令,我怎样才能阻止它们? 在osx上监视mysql服务器 Server 2008 R2上的远程服务器pipe理工​​具 Windows XP中的任务计划程序是否足够可靠,可以被重要任务信任? Mysql命令不与用户提供的执行 移动运行Windows Server 2003的服务器

如何为Active Directory设置SSL?

我有一台Windows 2008 Server(Base2)机器。

在服务器pipe理器>angular色,我可以看到:
1. Active Directory域服务
2. DNS服务器
3. Active Directory证书服务。

在“Active Directory证书服务”>“mydomain”>“颁发的证书”下,我看到列出的证书。 如果我打开这个证书,它的目的就是“私钥存档”

我想让我的Active Directory在SSL(端口636)中工作。

当我使用ldp.exe(一个ldap客户端),连接到端口636启用SSLcheckbox,我得到一个错误('无法打开连接'),这对于默认的389端口工作正常。

我是Windows服务器pipe理/证书的新手。
还有什么我需要安装?

您正在寻求让您的DC通过LDAPS支持BIND。 为此,您需要将证书添加到您的域控制器的个人证书存储中,以符合以下要求。 该证书可以来自当地的证书颁发机构或第三方机构。

  • LDAPS证书位于本地计算机的个人证书存储区(编程方式称为计算机的“我的证书存储区”)。
  • 本地计算机存储中存在与证书相匹配的私钥,并且与证书正确关联。
  • 私钥不能有强私钥保护启用。
  • 增强型密钥使用扩展包括服务器身份validation(1.3.6.1.5.5.7.3.1)对象标识符(也称为OID)。
  • 域控制器的Active Directory完全限定的域名(例如DC01.DOMAIN.COM)必须出现在以下位置之一:“主题”字段中的“通用名称”(CN)。 “主题备用名称”扩展名中的DNS条目。
  • 证书由域控制器和LDAPS客户端信任的CA颁发。 通过将客户端和服务器configuration为信任颁发CA链接的根CA来build立信任。
  • 您必须使用Schannelencryption服务提供程序(CSP)来生成密钥。

以上内容取自KB321051: 如何使用第三方证书颁发机构启用LDAP over SSL 。

有关如何设置本地CA以使用LDAPS的其他信息,请参见下面的文章: LDAP over SSL(LDAPS)证书

一旦您的DC安装了正确的证书,LDAPS通信应自动启用。 您可以使用ldp.exe来validation这一点,就像您正在尝试的那样。