Рассмотрим вариант настройки протокола LDAPS (LDAP over SSL) с использованием стороннего центра сертификации для домена mydomain.local с тремя контроллерами: DC1,DC2,DC3:
1. Создадим шаблон запроса сертификата в виде файла <имя>.inf для каждого контроллера домена. Замените <имя> на FQDN контроллера (например DC1.mydomain.local):
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=DC1.mydomain.local" ; FQDN текущего контроллера
KeySpec = 1
KeyLength = 2048
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
[Extensions]
2.5.29.17 = "{text}"
_continue_ = "dns=DC1.mydomain.local&" ; FQDN текущего
_continue_ = "dns=DC1&" ; короткое имя текущего
_continue_ = "dns=DC2.mydomain.local&" ; FQDN других контроллеров
_continue_ = "dns=DC2&"
_continue_ = "dns=DC3.mydomain.local&"
_continue_ = "dns=DC3&"
_continue_ = "dns=ldap.mydomain.local&" ; виртуальное имя для переключения
_continue_ = "dns=mydomain.local&" ; домен верхнего уровня
_continue_ = "dns=MYDOMAIN" ; NetBIOS-имя домена
Важно:
Для балансировки в раздел [Extensions] необходимо добавить FQDN домена и всех контроллеров домена, а так же их NetBIOS имена. Кроме того можно дополнительно прописать отказоустойчивые DNS записи, например "ldap.mydomain.local".
Сохраните файл на каждом контроллере (например, C:\Cert\DC1.inf).
2. Сгенерируем CSR для каждого контроллера. Для этого создадим запросы на сертификаты через командную строку (на каждом контроллере):
certreq -new C:\Cert\<имя>.inf C:\Cert\<имя>.csr
3. Теперь необходимо отправить CSR в сторонний ЦС. Передайте файлы DC1.csr, DC2.csr, DC3.csr администратору внешнего ЦС и получите обратно подписанные сертификаты (DC1.cer, DC2.cer, DC3.cer или DC1.p7b, DC2.p7b, DC3.p7b) от ЦС.
4. Установим сертификаты на контроллеры домена. Для этого выполним на каждом контроллере домена команду импорта:
certreq -accept C:\Cert\<имя>.cer
Чтобы проверить установленный сертификат, откройте "mmc", добавьте оснастку "Сертификаты (локальный компьютер)". Убедитесь, что сертификат отображается в Личное → Сертификаты и имеет закрытый ключ.
5. Для завершения настройки LDAPS на контроллерах при включенном брандмауэре откройте 636 порт:
New-NetFirewallRule -DisplayName "LDAPS" -Direction Inbound -Protocol TCP -LocalPort 636 -Action Allow
6. Перезапустите службу LDAP или перезагрузите сервера:
Restart-Service NTDS -Force
7. Проверьте работу LDAPS при помощи "ldp.exe" - выполните подключение к контроллеру домена, указав порт 636 и галочку "SSL".
Отключение незашифрованного LDAP (опционально):
Откройте "Управление групповыми политиками" и создайте новую политику.
Перейдите: "Конфигурация компьютера → Политики → Административные шаблоны → Система → Службы каталогов LDAP".
Включите параметр: "Требовать подписывание LDAP".
Примените политику:
gpupdate /force
Комментариев нет:
Отправить комментарий