Habilitación de LDAPS con Microsoft PKI

LDAPS es una de las funcionalidades más cruciales para proteger y asegurar adecuadamente las credenciales en su entorno PKI. De forma predeterminada, las comunicaciones LDAP entre las aplicaciones cliente y servidor no están cifradas. Esto significa que sería posible usar un dispositivo o software de monitoreo de red para visualizar las comunicaciones entre los equipos cliente y servidor LDAP. Esto es especialmente problemático cuando se utiliza un enlace simple LDAP, ya que las credenciales (nombre de usuario y contraseña) se transmiten por la red sin cifrar. Esto podría provocar rápidamente la vulneración de las credenciales.

Requisitos previos

Un funcional PKI de Microsoft Debe estar disponible y configurado. Al visualizar PKIView.msc, no deberían aparecer errores.

Si necesita ayuda para implementar su propia PKI, puede consultar este artículo para construir su propia PKI de dos niveles

Instalación de AD LDS

Este paso debe llevarse a cabo en el servidor LDAP o en los controladores de dominio que serán responsables de alojar el servicio LDAPS.

• Abierto Administrador de servidores
• De lo manage, abierto Agregar funciones y funciones
• En Antes de comenzar, haga clic en Siguiente

• On Tipo de instalación, asegurar Instalación basada en roles o funcionesY haga clic en Siguiente

• On Selección de servidor, haga clic Siguiente.

• On Roles de servidor, haga clic Servicios de directorio ligero de Active DirectoryY haga clic en Agrega característicasY haga clic en Siguiente

• On Caracteristicas, haga clic Siguiente

• On AD SUD, haga clic Siguiente

• On Confirmación, haga clic Instalar

• Después de la instalación, es necesario configurar AD LDS

Configuración de AD LDS

• Ejecutar AD SUD Asistente de configuración. Haga clic en Siguiente en la primera página.

• Asegúrese de que instancia única está seleccionado y haga clic en Siguiente

• Proporcione Nombre de instancia y DescripciónY haga clic en Siguiente

• Abandonar puertos predeterminados y haga clic Siguiente

Si AD LDS está instalado en el controlador de dominio, entonces el puerto LDAP sería 50000 y el puerto SSL sería 50001

• On Partición del directorio de aplicaciones, haga clic en Siguiente

• On Ubicaciones de archivos, haga clic Siguiente

• On Selección de cuenta de servicio, puedes dejarlo en el Cuenta de servicio de red, o elegir un cuenta preferida que puede controlar el servicio LDAPS

• On administradores de AD LDSdeja el administrador actual o elige otra cuenta del dominio

• Elija todos los archivos LDF para ser importado y haga clic en Siguiente

• On Listo para instalar, haga clic Siguiente

• Después de la instalación, haga clic en Acabado

Publicar un certificado que admita la autenticación del servidor

• Inicie sesión en la CA emisora ​​como administrador empresarial
• Asegúrese de estar en Administrador de servidores
• Desde la aplicación Accesorios menú, abrir Autoridad certificada

Ampliar la opción árbol de consolay haga clic derecho sobre plantillas de certificado

• Seleccione Autenticación Kerberos (ya que proporciona autenticación del servidor). Haga clic derecho y seleccione Plantilla duplicadaAhora podemos personalizar la plantilla.

• CAMBIAR Nombre para mostrar de la plantilla y Nombre de la plantilla on General pestaña. Comprobar Publicar certificado en Active DirectoryEsto garantizará que el certificado aparezca cuando inscribamos controladores de dominio usando esa plantilla.

• On Manejo de solicitudesverificar Permitir que se exporte la clave privada.

• En la pestaña Pestaña de seguridadproporcionar Permisos de inscripción a los usuarios apropiados

• Haga clic en Aplicar

Emitir el Certificado en la CA Emisora

• Inicie sesión en la CA emisora ​​como administrador empresarial
• Asegúrese de estar en Administrador de servidores
• Desde la aplicación Accesorios menú, abrir Autoridad certificada

Ampliar la opción árbol de consolaY haga clic en sobre plantillas de certificado

En la barra de menú, haga clic en Acción: > New > Plantilla de certificado para emitir

• Elija el Certificado LDAPS

• Haga clic en OK y ahora debería aparecer en Plantillas de certificado

Solicitar un certificado para la autenticación del servidor

• Inicie sesión en el servidor LDAP o en el controlador de dominio.
• Tipo ganar+R y correr MMC
• Haga clic en Presente la Bancarrota del y haga clic Añadir / quitar complemento

• Seleccione Certificados y haga clic en Agregar

• Elija una cuenta de computadora

• Si se siguen los pasos en LDAPServer donde está instalado AD LDS, haga clic en Equipo local o elija Otro equipo y elija dónde se debe instalar.

• Ampliar la opción árbol de consola, y dentro Personal, haga clic Certificados

• Haga clic derecho en Certificados y haga clic Todas las tareas y seleccione Solicitar nuevo certificado

• Siga las instrucciones, elija la plantilla LDAPS que emitimos anteriormente e instálela.
• Una vez instalado haga clic en Finalizar

• Abra el certificado y en Pestaña de detalles, navegue a Uso mejorado de claves para asegurar Autenticación de Servidor está presente.

Validando la conexión LDAPS

• Inicie sesión en el servidor LDAP como administrador empresarial
• Tipo ganar+R y correr ldp.exe
• En el menú superior, haga clic en Conexiones y luego haga clic en Conectar

• En el servidor, proporcione el nombre de dominio, asegúrese de que SSL esté marcado y se proporcione el puerto adecuado y haga clic en Aceptar

• No debería aparecer ningún error. Si la conexión no se pudo realizar correctamente, podría aparecer el siguiente resultado.

Conclusión

Esto debería habilitar LDAPS, que puede usarse para proteger adecuadamente las credenciales utilizadas en su entorno PKI, así como para permitir que otras aplicaciones utilicen LDAPS.

Si necesita ayuda con su entorno PKI, no dude en enviarnos un correo electrónico a info@encryptionconsulting.com.