- Voraussetzungen:
- Installieren von AD LDS
- Konfigurieren von AD LDS
- Veröffentlichen eines Zertifikats, das die Serverauthentifizierung unterstützt
- Ausstellen des Zertifikats bei der ausstellenden Zertifizierungsstelle
- Anfordern eines Zertifikats zur Serverauthentifizierung
- Validieren der LDAPS-Verbindung
- Fazit
LDAPS ist eine der wichtigsten Funktionen für den Schutz und die Sicherung von Anmeldeinformationen in Ihrer PKI-Umgebung. Standardmäßig ist die LDAP-Kommunikation zwischen Client- und Serveranwendungen unverschlüsselt. Dies bedeutet, dass die Kommunikation zwischen LDAP-Client- und -Server-Computern mithilfe eines Netzwerküberwachungsgeräts oder einer Netzwerküberwachungssoftware eingesehen werden kann. Dies ist besonders problematisch bei der Verwendung einer einfachen LDAP-Bindung, da die Anmeldeinformationen (Benutzername und Kennwort) unverschlüsselt über das Netzwerk übertragen werden. Dies kann schnell zur Gefährdung der Anmeldeinformationen führen.
Voraussetzungen:
Ein funktionales Microsoft PKI sollte verfügbar und konfiguriert sein. Beim Anzeigen von PKIView.msc sollten keine Fehler auftreten
Wenn Sie Hilfe bei der Bereitstellung Ihrer eigenen PKI benötigen, können Sie sich an Dieser Artikel um Ihre eigene Two Tier PKI aufzubauen
Installieren von AD LDS
Dieser Schritt sollte auf dem LDAP-Server oder auf Domänencontrollern ausgeführt werden, die für das Hosten des LDAPS-Dienstes verantwortlich sind.
- Öffne Server-Manager
- Von verwalten, geöffnet Rollen und Funktionen hinzufügen
- Klicken Sie unter „Bevor Sie beginnen“ auf „Weiter“.
- On Installationstyp, dafür sorgen Rollenbasierte oder funktionsbasierte InstallationUnd klicken Sie auf Weiter
- On Serverauswahl, klicken Weiter.
- On Serverrollen, klicken Active Directory Lightweight Directory ServicesUnd klicken Sie auf Funktionen hinzufügen, Und klicken Sie auf Weiter
- On Eigenschaften, klicken Weiter
- On AD LDS, klicken Weiter
- On Bestätigung, klicken Installieren
- Nach der Installation muss AD LDS konfiguriert werden
Konfigurieren von AD LDS
- Führen Sie AD LDS Setup-Assistent. Klicken Sie auf Weiter auf der ersten Seite.
- Gewährleisten einzigartige Instanz ausgewählt ist, und klicken Sie auf Weiter
- Bereitstellung eines Industriebodens für Lagerbühnen, der extremen Minustemperaturen und schwerem Rollverkehr standhält, kostengünstiger als Beton ist und eine bessere Ergonomie als Gitterroste bietet. Instanzname und BeschreibungUnd klicken Sie auf Weiter
- Verlassen Standardports und klicken auf Weiter
Wenn AD LDS auf dem Domänencontroller installiert ist, ist der LDAP-Port 50000 und der SSL-Port 50001
- On Anwendungsverzeichnispartition, klicken Sie auf Weiter
- On Dateispeicherorte, klicken Weiter
- On Auswahl des Dienstkontos, können Sie es auf der Netzwerkdienstkonto, oder wählen Sie ein bevorzugtes Konto die den LDAPS-Dienst steuern können
- On AD LDS-Administratoren, lassen Sie die aktueller Administratorden Wählen Sie ein anderes Konto aus der Domäne
- Wählen alle LDF-Dateien zu importierenden und klicken Sie auf Weiter
- On Bereit zur Installation, klicken Weiter
- Klicken Sie nach der Installation auf Farbe
Veröffentlichen eines Zertifikats, das die Serverauthentifizierung unterstützt
- Melden Sie sich als Unternehmensadministrator bei der ausstellenden Zertifizierungsstelle an.
- Stellen Sie sicher, dass Sie in Server-Manager
- Von dem Zubehör Menü, öffnen Zertifizierungsstelle
Erweitern Sie die Konsolenstrukturund klicken Sie mit der rechten Maustaste zu Zertifikatvorlagen
- Auswählen Kerberos-Authentifizierung (da es Server-Authentifizierung bereitstellt). Klicken Sie mit der rechten Maustaste und wählen Sie Duplizierte Vorlage. Wir können die Vorlage jetzt anpassen.
- Ändern Anzeigename der Vorlage und Vorlagenname on Allgemein Überprüfen Sie Zertifikat in Active Directory veröffentlichen. Dadurch wird sichergestellt, dass das Zertifikat angezeigt wird, wenn wir Domänencontroller mit dieser Vorlage registrieren
- On Bearbeitung von Anfragen, prüfen Erlauben Sie den Export des privaten Schlüssels.
- Auf dem Registerkarte Sicherheit, zur Verfügung stellen Registrierungsberechtigungen an die entsprechenden Benutzer
- Klicken Sie auf Tragen Sie
Ausstellen des Zertifikats bei der ausstellenden Zertifizierungsstelle
- Melden Sie sich als Unternehmensadministrator bei der ausstellenden Zertifizierungsstelle an.
- Stellen Sie sicher, dass Sie in Server-Manager
- Von dem Zubehör Menü, öffnen Zertifizierungsstelle
Erweitern Sie die KonsolenstrukturUnd klicken Sie auf zu Zertifikatvorlagen
Klicken Sie in der Menüleiste auf Action > New > Auszustellende Zertifikatsvorlage
- Wähle die LDAPS-Zertifikat
- Klicken Sie auf OK und es sollte jetzt in den Zertifikatvorlagen erscheinen
Anfordern eines Zertifikats zur Serverauthentifizierung
- Melden Sie sich beim LDAP-Server oder Domänencontroller an.
- Typ gewinnen+R und Renn mmc
- Klicken Sie auf Reichen Sie das und klicken auf Add / Remove Snap-in
- Wählen Sie Zertifikate und klicken Sie auf Hinzufügen
- Wählen Sie Computerkonto
- Wenn die Schritte auf dem LDAP-Server ausgeführt werden, auf dem AD LDS installiert ist, klicken Sie auf Lokaler Computer oder wählen Sie Anderer Computer und wählen Sie, wo es installiert werden soll
- Erweitern Sie die Konsolenstrukturund innen Personellem, klicken Zertifikate
- Rechtsklick auf Zertifikate und klicken auf Alle Aufgaben und wählen Sie Neues Zertifikat anfordern
- Folgen Sie den Anweisungen, wählen Sie die zuvor herausgegebene LDAPS-Vorlage aus und installieren Sie sie.
- Klicken Sie nach der Installation auf „Fertig stellen“.
- Öffnen Sie das Zertifikat und Registerkarte Details, navigiere zu Verbesserte Schlüsselverwendung sicherstellen Serverauthentifizierung ist anwesend.
Validieren der LDAPS-Verbindung
- Melden Sie sich als Unternehmensadministrator beim LDAP-Server an
- Typ gewinnen+R und Renn ldp.exe
- Klicken Sie im oberen Menü auf Verbindungen und dann auf Verbinden
- Geben Sie auf dem Server den Domänennamen ein, stellen Sie sicher, dass SSL aktiviert ist und der richtige Port angegeben ist, und klicken Sie auf „OK“.
- Es sollten keine Fehler auftreten. Wenn die Verbindung nicht erfolgreich war, kann die folgende Ausgabe erscheinen
Fazit
Dadurch sollte LDAPS aktiviert werden, mit dem die in Ihrer PKI-Umgebung verwendeten Anmeldeinformationen ordnungsgemäß geschützt werden können, und das auch anderen Anwendungen die Verwendung von LDAPS ermöglicht.
Wenn Sie Hilfe mit Ihrer PKI-Umgebung benötigen, senden Sie uns eine E-Mail an info@encryptionconsulting.com.
- Voraussetzungen:
- Installieren von AD LDS
- Konfigurieren von AD LDS
- Veröffentlichen eines Zertifikats, das die Serverauthentifizierung unterstützt
- Ausstellen des Zertifikats bei der ausstellenden Zertifizierungsstelle
- Anfordern eines Zertifikats zur Serverauthentifizierung
- Validieren der LDAPS-Verbindung
- Fazit
