Apêndice A: configurando o LDAP sobre Requisitos SSL para AD LDS

Atualizado: setembro de 2007

Aplica-se a: Windows Server 2008

O LDAP (Lightweight Directory Access Protocol) é usado para ler do e gravar no AD LDS (Active Directory Lightweight Directory Services). Por padrão, o tráfego LDAP não é transmitido com segurança. Você pode tornar o tráfego LDAP confidencial e seguro usando tecnologia SSL (Secure Sockets Layer) / TLS (Transport Layer Security).

Para habilitar conexões criptografadas baseadas em SSL para AD LDS, você deve solicitar e obter um certificado de autenticação do servidor de uma CA (autoridade de certificação) confiável na sua organização ou de uma CA terceirizada confiável. Para obter mais informações sobre como instalar e usar a CA, consulte os Serviços de Certificados (http://go.microsoft.com/fwlink/?LinkId=48952).

Configurando LDAP sobre SSL em um Servidor AD LDS autônomo

As etapas gerais para configurar LDAP sobre SSL (LDAPS) em um servidor AD LDS autônomo são as seguintes:

Etapa 1: instalar um certificado de autenticação do servidor

Depois de obter o certificado de uma CA confiável, você deve instalá-lo ou importá-lo para o servidor que está executando o AD LDS. Você pode usar o snap-in de Certificadosno Windows Server 2008 para instalar ou importar os certificados. Para obter mais informações, consulte sobre o funcionamento dos certificados (http://go.microsoft.com/fwlink/?LinkID=99765). A página pode estar em inglês.

Ao instalar ou importar um certificado de uma CA confiável para o computador que está executando AD LDS, é recomendável armazenar o certificado no armazenamento pessoal do serviço AD LDS. Entretanto, para usar o certificado para aplicativos diferentes do AD LDS, você deve armazenar esse certificado no armazenamento de certificado pessoal do computador local.

ImportantImportante
O certificado que você instala ou importa deve ser marcado para autenticação do servidor.

Quando você solicitar o certificado, especifique o FQDN (nome de domínio totalmente qualificado) do computador no qual a sua instância AD LDS está sendo executada como o nome de identificação para o certificado. Em outras palavras, o certificado de autenticação do servidor deve ser emitido para o FQDN do computador no qual a instância AD LDS está sendo executada.

noteObservação
Para identificar os requisitos de nome dos certificados de autenticação do servidor para instâncias AD LDS atrás do NLB (balanceamento de carga de rede), consulte "Configurando LDAP sobre SSL para instâncias AD LDS atrás de Balanceamento de Carga de Rede" posteriormente neste guia.

Para verificar se o certificado está armazenado no armazenamento pessoal da instância AD LDS

  1. Clique em Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.

  2. Digite mmc para abrir o MMC (Console de Gerenciamento Microsoft).

  3. Clique em Arquivo e Adicionar/Remover Snap-in, selecione o snap-in Certificados nos Snap-ins disponíveis e clique em Adicionar.

  4. Em Adicionar ou Remover Snap-ins, selecione Conta de serviço, para exibir os certificados que estão armazenados no armazenamento pessoal da instância AD LDS, e clique em Avançar.

  5. Em Adicionar ou Remover Snap-ins, selecione Computador local e clique em Avançar.

  6. Em Conta de serviço, selecione o nome da instância AD LDS à qual deseja se conectar sobre LDAPS e clique em Concluir.

  7. Em Adicionar ou Remover Snap-ins, clique em OK.

  8. Na árvore de console, expanda Certificados - Serviço, nome_da_instância_ADAM\Pessoal e Certificados.

  9. Localizar o certificado instalado ou importado. No painel de detalhes, verifique se os certificados estão marcados para Autenticação do Servidor na coluna Finalidades. No painel de detalhes, verifique se o nome do host totalmente qualificado do computador aparece na coluna Emitido para.

Para obter mais informações sobre como instalar certificados de autenticação do servidor, de uma CA Microsoft ou não, consulte sobre como habilitar LDAP sobre SSL com autoridade de certificação de terceiros (http://go.microsoft.com/fwlink/?LinkID=15129).

Etapa 2: configurar permissões no certificado de autenticação do servidor

Antes de tentar usar o certificado de autenticação do servidor com AD LDS, você deve garantir que a conta de serviço na qual a instância AD LDS está sendo executada tenha acesso de Leitura para o certificado instalado ou importado.

noteObservação
Por padrão, as instâncias AD LDS são instaladas para funcionar com a conta de serviço de Rede. Você pode selecionar (modificar) a conta de serviço na qual a instância AD LDS está instalada na página Seleção de Conta de Serviço do Assistente de Instalação dos Serviços AD LDS.

Para conceder a permissão de Leitura no certificado de autenticação de leitura à conta de serviço de Rede

  1. Navegue para o diretório padrão a seguir, onde estão armazenados os certificados instalados ou importados:

    C:\Users\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

  2. Clique com o botão direito do mouse no certificado de autenticação de servidor apropriado e selecione Propriedades.

  3. Na guia Segurança, clique em Editar.

  4. Na caixa de diálogo Permissões, clique em Adicionar.

  5. Na caixa de diálogo Selecionar Usuários, Computadores ou Grupos, digite Serviço de Rede e clique em OK.

Etapa 3: conectar-se à instância AD LDS sobre LDAPS usando Ldp.exe

Para testar o certificado de autenticação do servidor, você pode abrir o Ldp.exe no computador que está executando a instância AD LDS e se conectar a essa instância AD LDS que tem a opção SSL habilitada.

Para se conectar à instância AD LDS sobre LDAPS usando Ldp.exe

  1. Clique em Iniciar e, em seguida, em Gerenciador de Servidores.

  2. Na árvore de console, clique duas vezes em Funções e, em seguida, clique em Serviços AD LDS.

  3. No painel de detalhes, em Ferramentas Avançadas, clique em Ldp.exe.

  4. No menu Conexão, clique em Conectar.

  5. Em Servidor, digite o FQDN do computador que está executando a sua instância AD LDS.

    noteObservação
    Para evitar erros ao usar o Ldp.exe para se conectar a uma instância AD LDS sobre SSL, você deve especificar o FQDN do computador no qual a sua instância AD LDS está sendo executada.

  6. Em Porta, digite o número da porta de comunicação SSL usada pela instância AD LDS à qual você deseja se conectar.

  7. Verifique se a caixa de seleção SSL está marcada e clique em OK.

ImportantImportante
Você também pode usar esse procedimento para se conectar à instância AD LDS sobre LDAPS de um computador cliente. Nesse cenário, o cliente deve confiar no certificado de autenticação do servidor instalado no servidor que está executando a instância AD LDS. Você pode alcançar essa confiança adicionando o certificado raiz da mesma CA confiável que emitiu o certificado de autenticação do servidor AD LDS para as Autoridades de Certificação de Raiz Confiável armazenarem no computador cliente.

Configurando LDAP sobre SSL para instâncias AD LDS atrás de Balanceamento de Carga de Rede

O AD LDS suporta NLB com LDAPS quando o AD LDS está sendo executado no Windows Server 2008. Você pode usar os procedimentos anteriores para habilitar LDAPS para AD LDS atrás de NLB. Entretanto, os certificados de autenticação do servidor devem atender aos seguintes requisitos:

  • Para que o AD LDS possa selecionar o certificado correto para entregar aos clientes, o certificado deve estar localizado no armazenamento Pessoal do serviço AD LDS (programaticamente conhecido como o armazenamento de certificado MY do computador) e nenhum outro certificado deve estar armazenado nesse armazenamento Pessoal do serviço AD LDS.

  • Quando você solicitar um certificado de autenticação do servidor para instâncias AD LDS que estão sendo executadas atrás do NBL, verifique se o certificado foi emitido para (ou seja, se o nome de identificação do certificado é) um dos nomes de host (compartilhados) e sufixos DNS que constituem os FQDNs de todos os servidores nos quais estão sendo executadas as instâncias AD LDS atrás do NBL.

    Por exemplo, quando você solicitar um certificado de autenticação do servidor para instâncias AD LDS que estão sendo executadas atrás do NLB em dois servidores com FQDNs de 01ADLDS.contoso.com e 02ADLDS.contoso.com, verifique se os certificados foram emitidos para *ADLDS.contoso.com.

    Ou, por exemplo, quando você solicitar um certificado de autenticação do servidor para instâncias AD LDS que estão sendo executadas atrás do NLB em três servidores com FQDNs de ADLDS01.contoso.com, ADLDS02.contoso.com e ADLDS03.contoso.com, verifique se os certificados foram emitidos para *.contoso.com.

Marcas :


Page view tracker