DetailPage-MSS-KB

Knowledge Base

Artikel ID: 321051 - Laatste beoordeling: woensdag 8 januari 2014 - Wijziging: 1.0

Op deze pagina

Samenvatting

LDAP (Lightweight Directory Access Protocol) wordt gebruikt om te lezen van en schrijven naar Active Directory. LDAP-verkeer wordt standaard onbeveiligd verzonden. Door gebruik te maken van SSL/TLS-technologie (Secure Sockets Layer/Transport Layer Security) kan LDAP-verkeer veilig worden gemaakt, zodat het geschikt is voor vertrouwelijke informatie. LDAP via SSL (LDAPS) kan worden ingeschakeld door een certificaat met de juiste indeling te installeren van een Microsoft-certificeringsinstantie of een niet-Microsoft-certificeringsinstantie. Gebruik hiervoor de richtlijnen in dit artikel.

Meer informatie

Er is geen gebruikersinterface voor het configureren van LDAPS. Door een geldig certificaat te installeren op een domeincontroller kan de LDAP-service controleren op SSL-verbindingen voor zowel LDAP-verkeer als verkeer voor de globale catalogus, en deze automatisch accepteren.

Vereisten voor een LDAPS-certificaat

Als u LDAPS wilt inschakelen, moet u een certificaat installeren dat voldoet aan de volgende vereisten:
  • Het LDAPS-certificaat bevindt zich in het archief voor persoonlijke certificaten van de lokale computer (in programmering wordt hiernaar verwezen als het certificaatarchief 'My' op de computer).
  • Een persoonlijke sleutel die overeenkomt met het certificaat is aanwezig in het archief van de lokale computer en is op de juiste manier gekoppeld aan het certificaat. Voor de persoonlijke sleutel mag geen hoog beveiligingsniveau zijn ingeschakeld.
  • De extensie Uitgebreid sleutelgebruik bevat de object-id (ook wel OID genoemd) voor serververificatie (1.3.6.1.5.5.7.3.1).
  • De FQDN-naam (volledige domeinnaam) in Active Directory van de domeincontroller (bijvoorbeeld, DC01.DOMEIN.COM) moet op een van de volgende locaties voorkomen:
    • De algemene naam (CN) in het veld Onderwerp.
    • DNS-vermelding in de extensie Alternatieve naam voor onderwerp.
  • Het certificaat is uitgegeven door een certificeringsinstantie die door de domeincontroller en de LDAPS-clients wordt vertrouwd. De vertrouwensrelatie wordt ingesteld door in de configuratie van de clients en de server op te geven dat de basiscertificeringsinstantie moet worden vertrouwd waarnaar de keten van de uitgevende certificeringsinstantie leidt.
  • Voor het genereren van de sleutel moet de cryptografieprovider (CSP) Schannel worden gebruikt.
Zie het onderwerp 'Beleid voor het opbouwen van vertrouwen in basiscertificeringsinstanties' in de Help van Windows 2000 Server voor meer informatie over het instellen van een vertrouwensrelatie voor certificaten.

De certificaataanvraag maken

Voor het opstellen van de SSL-certificaataanvraag kan elk hulpprogramma of elke toepassing worden gebruikt waarmee een geldige PKCS #10-aanvraag kan worden gemaakt. In dit artikel wordt Certreq gebruikt om de aanvraag op te stellen.

Opmerking De opdrachten die in dit artikel worden gebruikt, zijn gebaseerd op de 2003-versie van Certreq. Als u de stappen in dit artikel wilt gebruiken op een Windows 2000-server, kopieert u certreq.exe en certcli.dll van een Windows 2003-server naar een tijdelijke map op de Windows 2000-server.

Certreq.exe heeft een tekstbestand met instructies nodig om een geldige X.509-certificaataanvraag voor een domeincontroller te genereren. U kunt dit bestand maken in de ASCII-teksteditor van uw voorkeur. Sla het bestand op als INF-bestand naar een willekeurige map op de vaste schijf.

Ga als volgt te werk om een certificaat voor serververificatie aan te vragen dat geschikt is voor LDAPS:
  1. Maak het INF-bestand. Hieronder volgt een voorbeeld van een INF-bestand dat kan worden gebruikt om de certificaataanvraag te maken.
    ;----------------- request.inf -----------------

    [Version]

    Signature="$Windows NT$"

    [NewRequest]

    Subject = "CN=<DC fqdn>" ; vervang deze waarde door de FQDN (volledige naam) van de DC
    KeySpec = 1
    KeyLength = 1024
    ; Mogelijke waarden zijn 1024, 2048, 4096, 8192 en 16384.
    ; Grotere sleutelwaarden zijn veiliger, maar de
    ; prestaties worden hierdoor wel beïnvloed.
    Exportable = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; deze id wordt gebruikt voor serververificatie

    ;-----------------------------------------------
    Knip en plak het voorbeeldbestand in een nieuw tekstbestand met de naam Request.inf. Geef in de aanvraag de volledige DNS-naam van de domeincontroller op.

    Opmerking Sommige certificeringsinstanties van derden verlangen mogelijk extra informatie bij de parameter Subject. Het kan bijvoorbeeld gaan om een e-mailadres (E), organisatie-eenheid (OU), organisatie (O), plaats of stad (L), staat of provincie (S), of land of regio (C). Dergelijke informatie kunt u toevoegen aan de Subject-naam (CN) in het bestand Request.inf. Bijvoorbeeld: Subject="E=admin@contoso.com, CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."
  2. Maak het aanvraagbestand. Typ hiervoor de volgende opdracht bij de opdrachtprompt en druk vervolgens op ENTER:
    certreq -new request.inf request.req
    Er wordt een nieuw bestand met de naam Request.req gemaakt. Dit is het aanvraagbestand in base64-codering.
  3. Dien de aanvraag in bij een certificeringsinstantie. U kunt de aanvraag indienen bij een Microsoft-certificeringsinstantie of bij een certificeringsinstantie van derden.
  4. Haal het verleende certificaat op en sla dit op als Certnew.cer in dezelfde map als die van het aanvraagbestand. Hiertoe gaat u als volgt te werk:
    1. Maak een nieuw bestand met de naam Certnew.cer.
    2. Open het bestand in Kladblok, plak het gecodeerde certificaat in het bestand en sla dit vervolgens op.
    Opmerking Het opgeslagen certificaat moet de base64-codering hebben. Sommige certificeringsinstanties van derden sturen het verleende certificaat terug naar de aanvrager als tekst met base64-codering in een e-mailbericht.
  5. Accepteer het verleende certificaat. Typ hiervoor de volgende opdracht bij de opdrachtprompt en druk vervolgens op ENTER:
    certreq -accept certnew.cer
  6. Controleer of het certificaat is geïnstalleerd in het persoonlijke archief van de computer. Hiertoe gaat u als volgt te werk:
    1. Start Microsoft Management Console (MMC).
    2. Voeg de module Certificaten toe waarmee certificaten op de lokale computer kunnen worden beheerd.
    3. Vouw achtereenvolgens Certificaten (Lokale computer), Persoonlijk en Certificaten uit.
    In het archief Persoonlijk moet een nieuw certificaat staan. In het dialoogvenster Eigenschappen voor certificaat is Verificatie van de server aangegeven als beoogd certificaatdoeleinde. Dit certificaat wordt verleend aan de volledige hostnaam van de computer.
  7. Start de domeincontroller opnieuw.
Raadpleeg het artikel 'Advanced Certificate Enrollment and Management' voor meer informatie over het maken van de certificaataanvraag. U vindt dit artikel op de volgende website van Microsoft:
http://technet.microsoft.com/nl-nl/library/cc782583.aspx (http://technet.microsoft.com/nl-nl/library/cc782583.aspx)

Een LDAPS-verbinding controleren

Nadat een certificaat is geïnstalleerd, voert u de volgende stappen uit om te controleren of LDAPS is ingeschakeld:
  1. Start het Active Directory-beheerprogramma (Ldp.exe).

    Opmerking Dit programma wordt geïnstalleerd met de ondersteuningsprogramma's van Windows 2000.
  2. Klik op Connect in het menu Connection.
  3. Typ de naam van de domeincontroller waarmee u een verbinding tot stand wilt brengen.
  4. Typ de waarde 636 voor het poortnummer.
  5. Klik op OK.

    In het rechterdeelvenster moeten RootDSE-gegevens worden vermeld, waarmee een geslaagde verbinding wordt aangegeven.

Mogelijke problemen

  • Uitgebreide aanvraag Start TLS
    De LDAPS-communicatie vindt plaats via poort TCP 636. De LDAPS-communicatie met een GC-server (globale catalogus) vindt plaats via poort TCP 3269. Wanneer een verbinding tot stand wordt gebracht met poort 636 of 3269, vindt SSL/TLS-onderhandeling plaats voordat enig LDAP-verkeer wordt uitgewisseld. Windows 2000 biedt geen ondersteuning voor de functionaliteit voor de uitgebreide aanvraag Start TLS.
  • Meerdere SSL-certificaten
    Schannel, de SSL-provider van Microsoft, selecteert het eerste geldige certificaat dat wordt aangetroffen in het archief van de lokale computer. Als het archief van de lokale computer meer geldige certificaten bevat, is het mogelijk dat Schannel niet het juiste certificaat selecteert.
  • Probleem van vóór SP3 met in cache opslaan van certificaat door SSL-provider
    Als een bestaand LDAPS-certificaat wordt vervangen door een ander certificaat (via een vernieuwingsproces of omdat de verlenende certificeringsinstantie is gewijzigd), kan Schannel het nieuwe certificaat pas gebruiken als de server opnieuw is opgestart. De SSL-provider in Windows 2000 slaat het LDAPS-certificaat op in de cache en bemerkt de wijziging pas wanneer de domeincontroller opnieuw is gestart. Dit probleem is gecorrigeerd in Service Pack 3 voor Windows 2000.

Verbeteringen in Windows Server 2008

De oorspronkelijke aanbeveling in dit artikel was om certificaten in het persoonlijke archief van de lokale computer te plaatsen. Hoewel deze optie wordt ondersteund, kunt u certificaten ook in het persoonlijk archief van de NTDS-service plaatsen onder Windows Server 2008 en latere versies van AD DS (Active Directory Domain Services). Ga naar de volgende website van Microsoft TechNet voor meer informatie over het toevoegen van het certificaat aan het persoonlijk archief van de NTDS-service:
http://technet.microsoft.com/nl-nl/library/dd941846(WS.10).aspx (http://technet.microsoft.com/nl-nl/library/dd941846(WS.10).aspx)
AD DS zoekt bij voorkeur naar certificaten in dit archief in plaats van in het archief van de lokale computer. Zo kunt u AD DS eenvoudiger configureren voor het gebruik van het certificaat dat u wilt gebruiken. Dit komt doordat er meerdere certificaten aanwezig kunnen zijn in het persoonlijk archief van de lokale computer en het moeilijk te voorspellen kan zijn welk certificaat wordt geselecteerd.

AD DS ontdekt wanneer een nieuw certificaat in het certificaatarchief van AD DS wordt geplaatst en activeert vervolgens een SSL-certificate-update zonder dat AD DS of de domeincontroller opnieuw hoeft te worden gestart.

Met een nieuwe rootDse-bewerking met de naam renewServerCertificate kunt u AD DS handmatig activeren om de SSL-certificaten bij te werken zonder dat AD DS of de domeincontroller opnieuw hoeft te worden gestart. Dit kenmerk kan worden bijgewerkt met adsiedit.msc of door de wijziging te importeren in LDIF-indeling (LDAP Directory Interchange Format) met behulp van ldifde.exe. Ga voor meer informatie over het gebruik van LDIF om dit kenmerk bij te werken naar de volgende website van Microsoft MSDN:
http://msdn.microsoft.com/nl-nl/library/cc223311.aspx (http://msdn.microsoft.com/nl-nl/library/cc223311.aspx)
Als een domeincontroller van Windows Server 2008 of een latere versie meerdere certificaten vindt in het archief, wordt automatisch het certificaat geselecteerd waarvan de vervaldatum het verst in de toekomst ligt. Als de vervaldatum van uw huidige certificaat nadert, kunt u het vervangende certificaat in het archief plaatsen en gaat AD DS dat automatisch gebruiken.

Dit alles werkt voor Windows Server 2008 AD DS en voor 2008 Active Directory Lightweight Directory Services (AD LDS). Voor AD LDS plaatst u certificaten in het persoonlijke certificaatarchief voor de service die overeenkomt met het AD LDS-exemplaar in plaats van het archief voor de NTDS-service.
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst (http://go.microsoft.com/fwlink/?LinkId=151500) voor overige aandachtspunten.

De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 Standard
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
Trefwoorden: 
kbproductlink kbinfo KB321051
Delen
Extra ondersteuningsopties
Microsoft Community Support-forums
Neem rechtstreeks contact met ons op
Een door Microsoft gecertificeerde partner zoeken
Microsoft Store