Windows LDAPs - Zertifikate als Voraussetzung schaffen - Signaturanforderung für LDAP-Server erforderlich

der-phil
Goto Top
Hallo!

Da mit einem der nächsten Updates Microsoft die LDAP-Unterstützung für "simple binds" abschaltet, muss ich externe Dienste, wie den VMWare-VCenter bis dahin wohl mit LDAPs anbinden.


Bisher habe ich keine Unternehmes-CA und auch sonst keine Zertifikate im Windows-Umfeld.
Was ich bisher herausgefunden habe, ist, dass der "Gardeweg" wohl eine zweistufige PKI ist, die mir aber für meine "kleine Umgebung" mit drei Domain-Controllern sehr aufwändig erscheint.


Was würdet ihr empfehlen bzw. wie handhabt ihr das?
Nutzt ihr Self-Signed-Zertifikate?

Hat von euch jemand die Umstellung in letzter Zeit gemacht und vielleicht sogar eine gute Anleitung gefunden oder geschrieben?

Danke und Grüße
Phil

Content-Key: 539046

Url: https://administrator.de/contentid/539046

Ausgedruckt am: 17.08.2022 um 04:08 Uhr

Mitglied: 142232
142232 24.01.2020 aktualisiert um 12:51:21 Uhr
Goto Top
Hi,
Was ich bisher herausgefunden habe, ist, dass der "Gardeweg" wohl eine zweistufige PKI ist, die mir aber für meine "kleine Umgebung" mit drei Domain-Controllern sehr aufwändig erscheint.
Wenn man sich vorher gut geplant und mit nötigem Wissen ans Werk macht ist das eigentlich kein Problem. Gute Planung ist aber das A und O.

Du brauchst aber nicht zwingend eine Unternehmens-PKI, das kann auch eine simple XCA oder OpenSSL CA sein mit der du die Zertifikate erstellst, der Aufwand ist dann aber etwas höher auf allen Systemen die Vertrauenswürdigkeit sicherzustellen. Bei einer Windows PKI wird dir schon viel abgenommen, das musst du dann selbst erledigen.
Wichtig ist hinterher das der CA auf den entsprechenden Stationen vertraut wird, diese also das CA Zertifikat in den "Vertrauenswürdige Zertifizierungsstellen" platziert bekommen.
Das zu erzeugende LDAPs Zertifikat muss folgende Anforderungen in den erweiterten Schlüsselverwendung aufweisen
Natürlich den CN auf den DC passend sein und dieser auch in der SAN Erweiterung aufgeführt sein. Im "Subject Alternative Name" des Zertifikats sollten folgende DNS Namen hinterlegt sein
(Jeweils natürlich angepasst an den FQDN, den DOMAIN-FQDN und den NETBIOS Name der Domain.

Wenn du das Zertifikat erstellt hast exportierst du es als PFX oder P12 Package und importierst es dann
wie hier beschrieben in den Certificate store: NTDS\Personal
https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-ov ...

screenshot

Dann abschließend noch an einem Client mit der ldp.exe aus den Support Tools die Verbindung mit dem Server auf Port 636 über SSL testen (Port 636 sollte schon offen sein und lauschen (Firewall beachten falls customized)). Sollte die Verbindung nicht hergestellt werden können, hast du vermutlich die CA nicht vorher wie beschrieben in die vertrauenswürdigen CA-Zertifikate der Maschine importiert.

Fertig.

Für XCA beispielsweise, sieht eine entsprechende Zertifikatsvorlage so aus:

screenshot

Ensprechende Zertifikate lassen sich natürlich mit allen anderen Tools (OpenSSL usw.) nach Bedarf erstellen, das ist dann eine Frage des Geschmacks und der eigenen Anforderungen.
Mitglied: Der-Phil
Der-Phil 28.01.2020 um 13:21:44 Uhr
Goto Top
Hallo!

Vielen Dank für die ausführliche Antwort!!

Dann werde ich das so machen, dass ich eine eigene CA erstelle und damit die Zertifikate signiere.

Viele Grüße
Phil