Aktivieren von LDAP über SSL OHNE Fremdanbieter.

shifty
Hallo,

aus der Apple Welt kommend habe ich eine evtl. recht einfache, für mich momentan aber nicht lösbare Anfrage zum im Betreff genannten Thema.

Firmenintern haben wir einen AD Server (Win 2003) auf den ein externer Ubuntu Server zum verifizieren der Userdaten zugreifen soll. Dies funktioniert soweit auch schon hervorragend. Problem ist nur, dass diese Abfrage noch unverschlüsselt geschieht. Dies möchte ich gerne vermeiden und daher die Verbindung verschlüsseln.

Dazu habe ich auch schon einen fast perfekten Eintrag in der MS Knowledgebase gefunden: http://support.microsoft.com/kb/321051/de

Nur möchte ich den Request gerne selber zertifizieren. (Auf dm Mac mache ich dies immer über OpenSSL http://sial.org/howto/openssl/self-signed/).

Nun meine Frage: Wie kann man unter Windows sich selber sein Request zertifizieren oder wie löse ich das Problem.

Vielen Dank im Voraus.

Shifty

Content-Key: 66572

Url: https://administrator.de/contentid/66572

Ausgedruckt am: 22.01.2022 um 01:01 Uhr

Mitglied: mckenzie
mckenzie 19.08.2007 um 22:01:35 Uhr
Goto Top
Dein Stichwort lautet: "Zertifikatsdienste"

Diese kannst Du auf dem AD Server (sollte besser ein anderer Server sein, aber das musst Du selbst wissen) unter Systemsteuerung->Software->Windowskomponenten->Zertifikatsdienste installieren. Das installiert gleich den IIS mit, also kann das mit einem evtl. vorhandenen Apache kollidieren.

Beim Installieren wählst Du "Eigenständige Stammzertifizierungsstelle", den Rest füllst Du sinnvoll aus.

Nach der Installation kannst Du per Webbrowser auf http://dein.server.local/certsrv auf die User-Seite der CA zugreifen. Dort lädst Du Deinen Request hoch.

Auf dem Server lädst Du danach die MMC, fügst über Datei->Snap-In hinzufügen->Hinzufügen->Zertifizierungsstelle->Hinzufügen->Lokaler Computer das Snap-In hinzu, klickst im Baum dann die Zertifizierungsanfragen an, bestätigst Deine Anfrage und lädst Dein fertiges Zertifikat wieder unter obigem Webinterface runter.

Fertig.

Und geht ganz ohne diese blöde Kommandozeile bei OpenSSL. Die wär ja auch einfach gewesen und in 30 Sekunden erledigt... ;-) face-wink
Mitglied: shifty
shifty 20.08.2007 um 11:28:08 Uhr
Goto Top
Hallo,

danke, das hilft schon einmal weiter. Ich habe nun einen neuen Win2003 Server aufgesetzt, IIS & Zertifikatsdienste installiert und nun... kommen folgende Fragen:

1. Wo bekomme ich dazu eine gute Anleitung die man auch versteht? ;-) face-wink

2. Wenn ich das Zertifikat nun hochlade, sagt er mir ich solle 2-3 Tage auf den Admin warten.. der biin ich :-) face-smile Wie sage ich dem System nun, er soll diesen Request wirklich zertifizieren.

Danke dir.

shifty

Nachtrag: Punkt 2. Habe ich hinbekommen. Habe mir das erstellte Zertifikat heruntergeladen und war guter Dinge, als nach der Eingabe von "certreq -accept certnew.cer" auf dem AD folgendes als Antwort kam:

DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>

Verwirrt, Shifty.
Mitglied: mckenzie
mckenzie 20.08.2007 um 15:38:23 Uhr
Goto Top
2. Wenn ich das Zertifikat nun hochlade,
sagt er mir ich solle 2-3 Tage auf den Admin
warten.. der biin ich :-) face-smile Wie sage ich dem
System nun, er soll diesen Request wirklich
zertifizieren.

selfquote:

Auf dem Server lädst Du danach die MMC, fügst über Datei->Snap-In hinzufügen->Hinzufügen->Zertifizierungsstelle->Hinzufügen->Lokaler Computer das Snap-In hinzu, klickst im Baum dann die Zertifizierungsanfragen an, bestätigst Deine Anfrage und lädst Dein fertiges Zertifikat wieder unter obigem Webinterface runter.

Mitglied: shifty
shifty 20.08.2007 um 15:52:57 Uhr
Goto Top
selfquote:

Nachtrag: Punkt 2. Habe ich hinbekommen. Habe mir das erstellte Zertifikat heruntergeladen und war guter Dinge, als nach der Eingabe von "certreq -accept certnew.cer" auf dem AD folgendes als Antwort kam:
DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>

;-) face-wink
Mitglied: mckenzie
mckenzie 20.08.2007 um 16:22:15 Uhr
Goto Top
Du gibst eine Kommandozeile ein, ich schlage den Weg über die MMC vor. Was passiert bei der MMC-Variante? Dasselbe?

Kommt die Meldung beim AUSSTELLEN oder VERWENDEN des Zertifikats?
Heiß diskutierte Beiträge
question
Welche Linux Distribution kommt ohne Schnick und ohne Schnack?StefanKittelVor 23 StundenFrageLinux21 Kommentare

Hallo, ich möchte zwei neue Mini-PCs (Celeron, 2 x 1.7 GHz, 4 GB RAM, 64 GB Storage) mit Linux Desktop installieren. Darauf soll einzig Chrome ...

question
MFA mit Microsoft?cseVor 1 TagFrageWindows Userverwaltung6 Kommentare

Hi Leute, ich hoffe ihr könnt mir ein wenig helfen. Von unserer Gruppe (central IT im Ausland) verlange ich (im Zuge TISAX Audit) auf unseren ...

question
O365 Outlook + Teams sperren gelöst sraL91Vor 1 TagFrageMicrosoft Office17 Kommentare

Hallo Zusammen, wir haben in unserer Firma Office 365 ausgerollt und ich stehe nun vor folgendem Problem. Unsere Firma sind in 50 Standorte unterteilt und ...

general
Liste von URLs in wininet.dllFennek11Vor 15 StundenAllgemeinInternet12 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
PC - Komplettsicherunggreenhorn1Vor 1 TagFrageBackup10 Kommentare

Hallo, welche Möglichkeit gibt es an Sicherungen, wo man das gesamte System Win10 sichern kann? Sodass ich mit einer Sicherung einen neuen PC 1 zu ...

question
Gebrauchte SQL-Lizenz im Rechenzentrum möglich?karin1511Vor 1 TagFrageMicrosoft4 Kommentare

Moin aus Hamburg, vielleicht kann mir zufällig jemand helfen oder von seiner Erfahrung berichten. Ich habe vor 8 Jahren mehrere SQL-Server-Lizenzen gebraucht gekauft, welche damals ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 16 StundenFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 9 StundenFrageInternet7 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...