使用SSLencryptionLDAP查询 – Windows 2008 R2
我试图保护我们的域名,所以当从另一台计算机进行LDAP查询时,他们使用SSLencryption。
我按照这个指南甚至认为我正在使用Windows 2008 R2。
我添加了大多数默认设置的Active Directory证书服务angular色,确保它是Enterprise Root CA(如指南所示)
我login到Windows 7计算机(所有防火墙禁用),并使用基于Java的应用程序JXplorer(有什么更好的吗?)做一些LDAP查询(或尝试,至less),问题是我似乎无法连接到服务器使用除GSSAPI以外的任何东西(甚至不知道这是什么),我尝试了其他选项,但没有连接。
- MySQL查询执行时间太长
- 嵌套/连接的SQL查询从Cisco UCM数据库提取电话数据
- OpenLDAP和范围属性
- 查询SCCM服务器以获取特定计算机的“添加/删除程序”列表
- apache – 查询string重写规则将条件附加到URL
除了在服务器上安装CA之外,本指南没有提到任何其他内容,我想知道是否还有其他需要执行的configuration来强制SSL进行LDAP查询。
非常感谢。
你从来没有真正说过你在2008 R2上运行Active Directory,但我会认为是这样的。
首先,您不需要在域控制器上安装证书服务,也不需要将其设为证书颁发机构。 您的DC只需要分配给您的LDAP客户端“信任”的单个“有效”SSL证书。
有许多方法可以为您的DC获得证书。 安装证书颁发机构(如AD证书服务)并使用它来生成“域控制器”证书是一种方法,但不是唯一的方法。 通常认为使您的域控制器成为authentication机构是不明智的。 把它放在专用的机器上。
您也可以从第三方CA获取证书,就像您在Web服务器上一样。 这有点复杂,因为一个域控制器证书有不同的属性,它需要“有效”。 以下是Microsoft关于此主题的链接: 如何使用第三方证书颁发机构启用LDAP over SSL
LDAPS证书的要求
要启用LDAPS,您必须安装符合以下要求的证书:
- LDAPS证书位于本地计算机的个人证书存储区(编程方式称为计算机的“我的证书存储区”)。
- 本地计算机存储中存在与证书相匹配的私钥,并且与证书正确关联。 私钥不能有强私钥保护启用。
- 增强型密钥使用扩展包括服务器身份validation(1.3.6.1.5.5.7.3.1)对象标识符(也称为OID)。
- 域控制器的Active Directory完全限定的域名(例如,DC01.DOMAIN.COM)必须出现在以下位置之一:
- 主题字段中的通用名称(CN)。
- “主题备用名称”扩展名中的DNS条目。
- 证书由域控制器和LDAPS客户端信任的CA颁发。 通过将客户端和服务器configuration为信任颁发CA链接的根CA来build立信任。
- 您必须使用Schannelencryption服务提供程序(CSP)来生成密钥。
一旦您安装了证书并在DC上工作,您应该能够将您的LDAP客户端指向端口636或3269(用于GC连接),并且可以继续工作。