(0) exportieren Drucken
Alle erweitern

Anhang A: Konfigurieren von LDAP über SSL-Anforderungen für AD LDS

Letzte Aktualisierung: September 2007

Betrifft: Windows Server 2008

Das Lightweight Directory Access-Protokoll (LDAP) wird für Lese- und Schreibvorgänge in Active Directory Lightweight Directory Services (AD LDS) verwendet. Standardmäßig wird LDAP-Datenverkehr nicht sicher übertragen. Mit den Technologien SSL (Secure Sockets Layer) und TLS (Transport Layer Security) können Sie den LDAP-Datenverkehr vertraulich und sicher übertragen.

Wenn Sie verschlüsselte SSL-basierte Verbindungen mit AD LDS aktivieren möchten, müssen Sie ein Zertifikat für die Serverauthentifizierung bei einer vertrauenswürdigen Zertifizierungsstelle (Certification Authority, CA) Ihrer Organisation oder der Zertifizierungsstelle eines vertrauenswürdigen Drittanbieters anfordern und erhalten. Weitere Informationen zum Installieren und Verwenden von Zertifizierungsstellen finden Sie im Artikel zu Zertifikatdiensten (http://go.microsoft.com/fwlink/?LinkId=48952, möglicherweise in englischer Sprache).

Konfigurieren von LDAP über SSL auf einem eigenständigen Server mit AD LDS

Im Folgenden werden die allgemeinen Schritte zum Konfigurieren von LDAP über SSL (LDAPS) auf einem eigenständigen Server mit AD LDS erläutert:

Schritt 1: Installieren eines Authentifizierungszertifikats

Sie müssen das Zertifikat nach Erhalt von einer vertrauenswürdigen Zertifizierungsstelle auf dem Server, auf dem AD LDS ausgeführt wird, installieren oder auf diesen importieren. Zum Installieren oder Importieren der Zertifikate können Sie das Snap-In Zertifikate von Windows Server 2008 verwenden. Weitere Informationen finden Sie im Artikel zum Verwenden von Zertifikaten (http://go.microsoft.com/fwlink/?linkid=99765, möglicherweise in englischer Sprache).

Wenn Sie ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle auf dem Computer, auf dem AD LDS ausgeführt wird, installieren oder dieses importieren, sollten Sie das Zertifikat im persönlichen Speicher von AD LDS speichern. Wenn Sie das Zertifikat für andere Anwendungen verwenden möchten als AD LDS, müssen Sie dieses im persönlichen Zertifikatspeicher des lokalen Computers speichern.

ImportantWichtig
Das installierte oder importierte Zertifikat muss für die Serverauthentifizierung gekennzeichnet sein.

Geben Sie beim Anfordern des Zertifikats den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Computers, auf dem die Instanz von AD LDS ausgeführt wird, als identifizierenden Namen für das Zertifikat an. Das heißt, dass das Zertifikat für die Serverauthentifizierung für den FQDN des Computers ausgestellt sein muss, auf dem die Instanz von AD LDS ausgeführt wird.

noteHinweis
Informationen zum Identifizieren der Anforderungen für Namen von Zertifikaten zur Serverauthentifizierung von AD LDS-Instanzen hinter Netzwerklastenausgleich (Network Load Balancing, NLB), finden Sie unter "Konfigurieren von LDAP über SSL für AD LDS-Instanzen hinter Netzwerklastenausgleich" weiter unten in dieser Anleitung.

So überprüfen Sie, ob das Zertifikat im persönlichen Speicher der AD LDS-Instanz gespeichert ist

  1. Klicken Sie auf Start, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und klicken Sie dann auf Als Administrator ausführen.

  2. Geben Sie mmc ein, um die Microsoft Management Console (MMC) zu öffnen.

  3. Klicken Sie auf Datei, klicken Sie auf Snap-In hinzufügen/entfernen, wählen Sie unter Verfügbare Snap-Ins das Snap-In Zertifikate aus, und klicken Sie dann auf Hinzufügen.

  4. Wählen Sie unter Snap-Ins hinzufügen bzw. entfernen die Option Dienstkonto aus, um die im persönlichen Speicher der AD LDS-Instanz gespeicherten Zertifikaten anzuzeigen, und klicken Sie dann auf Weiter.

  5. Wählen Sie unter Snap-Ins hinzufügen bzw. entfernen die Option Lokaler Computer aus, und klicken Sie dann auf Weiter.

  6. Wählen Sie unter Dienstkonto den Namen der AD LDS-Instanz aus, mit der Sie über LDAPS eine Verbindung herstellen möchten, und klicken Sie auf Fertig stellen.

  7. Klicken Sie unter Snap-Ins hinzufügen bzw. entfernen auf OK.

  8. Erweitern Sie in der Konsolenstruktur Zertifikate – Dienst, erweitern Sie ADAM_Instanzname\Eigene Zertifikate, und erweitern Sie dann Zertifikate.

  9. Suchen Sie das installierte oder importierte Zertifikat. Überprüfen Sie im Detailbereich, ob das Zertifikat in der Spalte Beabsichtigte Zwecke für Serverauthentifizierung gekennzeichnet ist. Überprüfen Sie im Detailbereich, ob der vollqualifizierte Hostname des Computers in der Spalte Ausgestellt für angezeigt wird.

Weitere Informationen zum Installieren von Zertifikaten für die Serverauthentifizierung von einer Microsoft-Zertifizierungsstelle oder einer anderen Zertifizierungsstelle als Microsoft finden Sie im Artikel zum Aktivieren von LDAP über SSL mit Zertifikaten der Zertifizierungsstelle eines Drittanbieters (http://go.microsoft.com/fwlink/?LinkID=15129, möglicherweise in englischer Sprache).

Schritt 2: Konfigurieren von Berechtigungen für das Zertifikat zur Serverauthentifizierung

Bevor Sie das Zertifikat zur Serverauthentifizierung mit AD LDS verwenden, müssen Sie sicherstellen, dass das Dienstkonto, unter dem die AD LDS-Instanz ausgeführt wird, über Lesezugriff auf das installierte oder importierte Zertifikat verfügt.

noteHinweis
Standardmäßig werden AD LDS-Instanzen unter dem Netzwerkdienstkonto ausgeführt. Sie können das Dienstkonto auswählen (ändern), unter dem die AD LDS-Instanz auf der Seite Dienstkontoauswahl des Setup-Assistenten für Active Directory Lightweight Directory Services installiert ist.

So erteilen Sie dem Netzwerkdienstkonto die Leseberechtigung für das Zertifikat zur Serverauthentifizierung

  1. Navigieren Sie zum folgenden Standardverzeichnis, in dem installierte oder importierte Zertifikate gespeichert werden:

    C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA\

  2. Klicken Sie mit der rechten Maustaste auf das entsprechende Zertifikat für die Serverauthentifizierung, und wählen Sie Eigenschaften aus.

  3. Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten.

  4. Klicken Sie im Dialogfeld Berechtigungen auf Hinzufügen.

  5. Geben Sie im Dialogfeld Benutzer, Computer oder Gruppen wählen den Namen Netzwerkdienst ein, und klicken Sie dann auf OK.

Schritt 3: Herstellen einer Verbindung mit der AD LDS-Instanz über LDAPS mithilfe von "Ldp.exe"

Zum Testen des Zertifikats für die Serverauthentifizierung können Sie Ldp.exe auf dem Computer öffnen, auf dem die Instanz von AD LDS ausgeführt wird. Stellen Sie dann mit dieser AD LDS-Instanz, für die die SSL-Option aktiviert ist, eine Verbindung her.

So stellen Sie mithilfe von "Ldp.exe" über LDAPS eine Verbindung mit der AD LDS-Instanz her

  1. Klicken Sie auf Start und anschließend auf Server-Manager.

  2. Doppelklicken Sie in der Konsolenstruktur auf Rollen, und klicken Sie dann auf Active Directory Lightweight Directory Services.

  3. Klicken Sie im Detailbereich unter Weitere Tools auf Ldp.exe.

  4. Klicken Sie im Menü Verbindung auf Verbinden.

  5. Geben Sie unter Server den FQDN des Computers ein, auf dem die Instanz von AD LDS ausgeführt wird.

    noteHinweis
    Zum Vermeiden von Fehlern bei der Verwendung von Ldp.exe zum Herstellen einer Verbindung mit einer Instanz von AD LDS über SSL müssen Sie den FQDN des Computers angeben, auf dem die AD LDS-Instanz ausgeführt wird.

  6. Geben Sie unter Port die SSL-Kommunikationsportnummer ein, die durch die AD LDS-Instanz verwendet wird, mit der Sie eine Verbindung herstellen möchten.

  7. Überprüfen Sie, ob das Kontrollkästchen SSL aktiviert ist, und klicken Sie dann auf OK.

ImportantWichtig
Sie können dieses Verfahren auch verwenden, wenn Sie von einem Clientcomputer über LDAPS eine Verbindung mit der Instanz von AD LDS herstellen möchten. Bei diesem Szenario muss das Zertifikat zur Serverauthentifizierung, das auf dem Server installiert ist, auf dem die AD LDS-Instanz ausgeführt wird, vom Client als vertrauenswürdig angesehen werden. Dazu muss das Stammzertifikat dem Speicher für vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers hinzugefügt werden. Dabei muss das Stammzertifikat von derselben vertrauenswürdigen Zertifizierungsstelle ausgestellt worden sein, die das Zertifikat zur Serverauthentifizierung für AD LDS ausgestellt hat.

Konfigurieren von LDAP über SSL für AD LDS-Instanzen hinter Netzwerklastenausgleich

Netzwerklastenausgleich mit LDAPS wird für AD LDS unterstützt, wenn AD LDS unter Windows Server 2008 ausgeführt wird. Zum Aktivieren von LDAPS für AD LDS hinter Netzwerklastenausgleich können Sie die in den vorherigen Abschnitten erläuterten Verfahren verwenden. Die Zertifikate zur Serverauthentifizierung müssen jedoch die folgenden Bedingungen erfüllen:

  • Damit in AD LDS das entsprechende Zertifikat an die Clients übergeben werden kann, muss dieses im persönlichen Speicher von AD LDS gespeichert sein (programmgesteuert als Zertifikatspeicher des Computers bezeichnet). In diesem Speicher dürfen keine anderen Zertifikate gespeichert sein.

  • Wenn Sie für Instanzen von AD LDS hinter dem Netzwerklastenausgleich ein Zertifikat zur Serverauthentifizierung anfordern, sollten Sie überprüfen, ob das Zertifikat für die gemeinsamen Hostnamen und DNS-Suffixe ausgestellt ist. Diese stellen die FQDN der Server dar, auf denen Instanzen von AD LDS hinter dem Netzwerklastenausgleich ausgeführt werden. Es handelt sich dabei um den identifizierenden Namen des Zertifikats.

    Wenn Sie beispielsweise ein Zertifikat zur Serverauthentifizierung für AD LDS-Instanzen hinter dem Netzwerklastenausgleich anfordern, die auf zwei Servern unter mit den FQDN 01ADLDS.contoso.com und 02ADLDS.contoso.com ausgeführt werden, überprüfen Sie, ob das Zertifikat für *ADLDS.contoso.com ausgestellt ist.

    Wenn Sie beispielsweise ein Zertifikat zur Serverauthentifizierung für AD LDS-Instanzen hinter dem Netzwerklastenausgleich anfordern, die auf drei Servern unter mit den FQDN ADLDS01.contoso.com, ADLDS02.contoso.com und ADLDS03.contoso.com ausgeführt werden, sollten Sie überprüfen, ob das Zertifikat für *.contoso.com ausgestellt ist.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft