LDAPS inschakelen met Microsoft PKI

LDAPS is een van de meest cruciale functionaliteiten voor het goed beschermen en beveiligen van inloggegevens in uw PKI-omgeving. LDAP-communicatie tussen client- en serverapplicaties is standaard niet versleuteld. Dit betekent dat het mogelijk is om een ​​netwerkbewakingsapparaat of -software te gebruiken om de communicatie tussen LDAP-client- en servercomputers te bekijken. Dit is vooral problematisch wanneer een LDAP simple bind wordt gebruikt, omdat inloggegevens (gebruikersnaam en wachtwoord) ongecodeerd over het netwerk worden verzonden. Dit kan snel leiden tot het lekken van inloggegevens.

Voorwaarden

Een functioneel Microsoft PKI moet beschikbaar en geconfigureerd zijn. Tijdens het bekijken van PKIView.msc mogen er geen fouten verschijnen.

Als u hulp nodig hebt bij het implementeren van uw eigen PKI, kunt u terecht bij dit artikel om uw eigen Two Tier PKI te bouwen

AD LDS installeren

Deze stap moet worden uitgevoerd op de LDAP-server of op de domeincontrollers die verantwoordelijk zijn voor het hosten van de LDAPS-service.

• Open server Manager
• Vanaf beheer, Open Rollen en functies toevoegen
• Klik op Volgende voordat u begint

• On Installatie type, ervoor zorgen Rol- of functiegebaseerde installatieen klik Volgende

• On Serverselectie, Klik Volgende.

• On Serverrollen, Klik Active Directory Lichtgewicht Directory Servicesen klik Functies toevoegenEn klik op Volgende

• On Kenmerken, Klik Volgende

• On AD LDS, Klik Volgende

• On Bevestiging, Klik Install

• Na de installatie moet AD LDS worden geconfigureerd

AD LDS configureren

• lopen AD LDS installatiewizard. Klik Volgende op de eerste pagina.

• Verzekeren uniek exemplaar is geselecteerd en klik Volgende

• Zorgen voor Instantienaam en Beschrijvingen klik Volgende

• Verlof standaardpoorten en klik op Volgende

Als AD LDS op de domeincontroller is geïnstalleerd, is de LDAP-poort 50000 en de SSL-poort 50001

• On Toepassingsdirectorypartitie, klik op Volgende

• On Bestandslocaties, Klik Volgende

• On Selectie van serviceaccount, je kunt het op de Netwerkserviceaccount, of kies een voorkeursaccount die de LDAPS-service kan beheren

• On AD LDS-beheerders, verlaat de huidige beheerderof kies een ander account van het domein

• Kies alle LDF-bestanden te importeren en klik Volgende

• On Klaar om te installeren, Klik Volgende

• Klik na de installatie op Finish

Een certificaat publiceren dat serverauthenticatie ondersteunt

• Meld u aan bij de uitgevende CA als ondernemingsbeheerder
• Zorg ervoor dat u aanwezig bent server Manager
• Van de Tools menu, openen Certificate Authority

Vouw de consoleboomen klik met de rechtermuisknop over certificaatsjablonen

• kies Kerberos-verificatie (omdat het serverauthenticatie biedt). Klik met de rechtermuisknop en selecteer Sjabloon duplicerenWe kunnen de sjabloon nu aanpassen.

• Veranderen Sjabloonweergavenaam en Sjabloonnaam on Algemeen tabblad. Controleren Certificaat publiceren in Active DirectoryDit zorgt ervoor dat het certificaat verschijnt wanneer we domeincontrollers registreren met behulp van die sjabloon.

• On Verzoekafhandeling, controleren Toestaan ​​dat de persoonlijke sleutel wordt geëxporteerd.

• Op de Beveiliging tabblad, voorzien Inschrijvingsrechten aan de juiste gebruikers

• Klik Toepassen

Het certificaat uitgeven aan de uitgevende CA

• Meld u aan bij de uitgevende CA als ondernemingsbeheerder
• Zorg ervoor dat u aanwezig bent server Manager
• Van de Tools menu, openen Certificate Authority

Vouw de consoleboomen klik over certificaatsjablonen

Klik in de menubalk op Actie > Nieuwe > Certificaat sjabloon om uit te geven

• Kies de LDAPS-certificaat

• Klik OK en het zou nu moeten verschijnen in Certificaatsjablonen

Een certificaat voor serverauthenticatie aanvragen

• Meld u aan bij de LDAP-server of domeincontroller.
• Type winnen+R en loop mmc
• Klik Dien in en klik op Add / Remove Snap-in

• Kies Certificaten en klik op Toevoegen

• Kies Computeraccount

• Als de stappen worden gevolgd op de LDAPServer waar AD LDS is geïnstalleerd, klikt u op Lokale computer of kiest u Een andere computer en kiest u waar het moet worden geïnstalleerd

• Vouw de consoleboom, en binnenin persoonlijke, Klik Certificaten

• Klik met de rechtermuisknop op Certificaten en klik op Alle taken en selecteer Vraag een nieuw certificaat aan

• Volg de instructies, kies de LDAPS-sjabloon die we eerder hebben uitgegeven en installeer deze.
• Klik na installatie op Voltooien

• Open het certificaat en Details tabblad, navigeren naar Verbeterd sleutelgebruik te zorgen Serververificatie is aanwezig.

Validatie van LDAPS-verbinding

• Meld u aan bij de LDAP-server als Enterprise-beheerder
• Type winnen+R en loop ldp.exe
• Klik in het bovenste menu op Verbindingen en klik vervolgens op Verbinden

• Geef op de server de domeinnaam op, zorg ervoor dat SSL is aangevinkt en de juiste poort is opgegeven en klik op OK

• Er mogen geen fouten verschijnen. Als de verbinding niet is gelukt, kan de volgende uitvoer verschijnen.

Conclusie

Hiermee wordt LDAPS ingeschakeld, waarmee u de inloggegevens in uw PKI-omgeving op de juiste manier kunt beschermen. Daarnaast kunt u hiermee ook andere toepassingen LDAPS laten gebruiken.

Als u hulp nodig heeft met uw PKI-omgeving, kunt u ons een e-mail sturen op [e-mail beveiligd].