5
Aktivieren von LDAP über SSL OHNE Fremdanbieter.
Hallo,
aus der Apple Welt kommend habe ich eine evtl. recht einfache, für mich momentan aber nicht lösbare Anfrage zum im Betreff genannten Thema.
Firmenintern haben wir einen AD Server (Win 2003) auf den ein externer Ubuntu Server zum verifizieren der Userdaten zugreifen soll. Dies funktioniert soweit auch schon hervorragend. Problem ist nur, dass diese Abfrage noch unverschlüsselt geschieht. Dies möchte ich gerne vermeiden und daher die Verbindung verschlüsseln.
Dazu habe ich auch schon einen fast perfekten Eintrag in der MS Knowledgebase gefunden: http://support.microsoft.com/kb/321051/de
Nur möchte ich den Request gerne selber zertifizieren. (Auf dm Mac mache ich dies immer über OpenSSL http://sial.org/howto/openssl/self-signed/).
Nun meine Frage: Wie kann man unter Windows sich selber sein Request zertifizieren oder wie löse ich das Problem.
Vielen Dank im Voraus.
Shifty
aus der Apple Welt kommend habe ich eine evtl. recht einfache, für mich momentan aber nicht lösbare Anfrage zum im Betreff genannten Thema.
Firmenintern haben wir einen AD Server (Win 2003) auf den ein externer Ubuntu Server zum verifizieren der Userdaten zugreifen soll. Dies funktioniert soweit auch schon hervorragend. Problem ist nur, dass diese Abfrage noch unverschlüsselt geschieht. Dies möchte ich gerne vermeiden und daher die Verbindung verschlüsseln.
Dazu habe ich auch schon einen fast perfekten Eintrag in der MS Knowledgebase gefunden: http://support.microsoft.com/kb/321051/de
Nur möchte ich den Request gerne selber zertifizieren. (Auf dm Mac mache ich dies immer über OpenSSL http://sial.org/howto/openssl/self-signed/).
Nun meine Frage: Wie kann man unter Windows sich selber sein Request zertifizieren oder wie löse ich das Problem.
Vielen Dank im Voraus.
Shifty
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 66572
Url: https://administrator.de/forum/aktivieren-von-ldap-ueber-ssl-ohne-fremdanbieter-66572.html
Ausgedruckt am: 31.01.2025 um 12:01 Uhr
5 Kommentare
Neuester Kommentar
Dein Stichwort lautet: "Zertifikatsdienste"
Diese kannst Du auf dem AD Server (sollte besser ein anderer Server sein, aber das musst Du selbst wissen) unter Systemsteuerung->Software->Windowskomponenten->Zertifikatsdienste installieren. Das installiert gleich den IIS mit, also kann das mit einem evtl. vorhandenen Apache kollidieren.
Beim Installieren wählst Du "Eigenständige Stammzertifizierungsstelle", den Rest füllst Du sinnvoll aus.
Nach der Installation kannst Du per Webbrowser auf http://dein.server.local/certsrv auf die User-Seite der CA zugreifen. Dort lädst Du Deinen Request hoch.
Auf dem Server lädst Du danach die MMC, fügst über Datei->Snap-In hinzufügen->Hinzufügen->Zertifizierungsstelle->Hinzufügen->Lokaler Computer das Snap-In hinzu, klickst im Baum dann die Zertifizierungsanfragen an, bestätigst Deine Anfrage und lädst Dein fertiges Zertifikat wieder unter obigem Webinterface runter.
Fertig.
Und geht ganz ohne diese blöde Kommandozeile bei OpenSSL. Die wär ja auch einfach gewesen und in 30 Sekunden erledigt...
Diese kannst Du auf dem AD Server (sollte besser ein anderer Server sein, aber das musst Du selbst wissen) unter Systemsteuerung->Software->Windowskomponenten->Zertifikatsdienste installieren. Das installiert gleich den IIS mit, also kann das mit einem evtl. vorhandenen Apache kollidieren.
Beim Installieren wählst Du "Eigenständige Stammzertifizierungsstelle", den Rest füllst Du sinnvoll aus.
Nach der Installation kannst Du per Webbrowser auf http://dein.server.local/certsrv auf die User-Seite der CA zugreifen. Dort lädst Du Deinen Request hoch.
Auf dem Server lädst Du danach die MMC, fügst über Datei->Snap-In hinzufügen->Hinzufügen->Zertifizierungsstelle->Hinzufügen->Lokaler Computer das Snap-In hinzu, klickst im Baum dann die Zertifizierungsanfragen an, bestätigst Deine Anfrage und lädst Dein fertiges Zertifikat wieder unter obigem Webinterface runter.
Fertig.
Und geht ganz ohne diese blöde Kommandozeile bei OpenSSL. Die wär ja auch einfach gewesen und in 30 Sekunden erledigt...
Hallo,
danke, das hilft schon einmal weiter. Ich habe nun einen neuen Win2003 Server aufgesetzt, IIS & Zertifikatsdienste installiert und nun... kommen folgende Fragen:
1. Wo bekomme ich dazu eine gute Anleitung die man auch versteht?
2. Wenn ich das Zertifikat nun hochlade, sagt er mir ich solle 2-3 Tage auf den Admin warten.. der biin ich
Wie sage ich dem System nun, er soll diesen Request wirklich zertifizieren.
Danke dir.
shifty
Nachtrag: Punkt 2. Habe ich hinbekommen. Habe mir das erstellte Zertifikat heruntergeladen und war guter Dinge, als nach der Eingabe von "certreq -accept certnew.cer" auf dem AD folgendes als Antwort kam:
DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>
Verwirrt, Shifty.
danke, das hilft schon einmal weiter. Ich habe nun einen neuen Win2003 Server aufgesetzt, IIS & Zertifikatsdienste installiert und nun... kommen folgende Fragen:
1. Wo bekomme ich dazu eine gute Anleitung die man auch versteht?
2. Wenn ich das Zertifikat nun hochlade, sagt er mir ich solle 2-3 Tage auf den Admin warten.. der biin ich
Wie sage ich dem System nun, er soll diesen Request wirklich zertifizieren.Danke dir.
shifty
Nachtrag: Punkt 2. Habe ich hinbekommen. Habe mir das erstellte Zertifikat heruntergeladen und war guter Dinge, als nach der Eingabe von "certreq -accept certnew.cer" auf dem AD folgendes als Antwort kam:
DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>
Verwirrt, Shifty.
2. Wenn ich das Zertifikat nun hochlade,
sagt er mir ich solle 2-3 Tage auf den Admin
warten.. der biin ich Wie sage ich dem
System nun, er soll diesen Request wirklich
zertifizieren.
sagt er mir ich solle 2-3 Tage auf den Admin
warten.. der biin ich
Wie sage ich demSystem nun, er soll diesen Request wirklich
zertifizieren.
selfquote:
Auf dem Server lädst Du danach die MMC, fügst über Datei->Snap-In hinzufügen->Hinzufügen->Zertifizierungsstelle->Hinzufügen->Lokaler Computer das Snap-In hinzu, klickst im Baum dann die Zertifizierungsanfragen an, bestätigst Deine Anfrage und lädst Dein fertiges Zertifikat wieder unter obigem Webinterface runter.
selfquote:
Nachtrag: Punkt 2. Habe ich hinbekommen. Habe mir das erstellte Zertifikat heruntergeladen und war guter Dinge, als nach der Eingabe von "certreq -accept certnew.cer" auf dem AD folgendes als Antwort kam:
DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>
DecodeFile hat 0x800700d <WIN32: 13> zurückgeliefert.
Zertifikatanforderungsverarbeitung: Die Daten sind unzulässig. 0x800700d <WIN32: 13>
Du gibst eine Kommandozeile ein, ich schlage den Weg über die MMC vor. Was passiert bei der MMC-Variante? Dasselbe?
Kommt die Meldung beim AUSSTELLEN oder VERWENDEN des Zertifikats?
Kommt die Meldung beim AUSSTELLEN oder VERWENDEN des Zertifikats?
