如何在 Windows 2000 網域控制站上設定數位憑證,以進行安全的 LDAP 和 SMTP 複寫

Overview

發佈日期: 2004 年 11 月 17 日 | 更新日期: 2006 年 5 月 31 日


本頁內容

目標
適用於
摘要
必須知道的事項
安裝及設定網域控制站憑證的基礎結構
測試 LDAP 或 SMTP 的數位憑證
網域控制站憑證的需求
其他資訊

目標

透過本單元即可:

  • 在網域控制站上設定數位憑證,以進行安全的 LDAP 和 SMTP 複寫。


適用於

本單元適用於下列產品及技術:

  • Microsoft® Windows® 2000 作業系統


摘要

本單元向您說明如何在網域控制站上設定數位憑證,以進行安全的 LDAP 和 SMTP 複寫。

必須知道的事項

任何能夠達到憑證格式需求的憑證授權單位 (CA) 都可以發出數位憑證給您的網域控制站 (DC)。發出格式正確的數位憑證其中一個簡單的方法,是先設定 Microsoft Windows 2000 企業 CA (也就是 Microsoft Active Directory® 登錄的 CA),接著再於 Active Directory 中設定 DC 憑證以自動註冊 DC。

在使用 Windows 2000 Server 或更新版本的網域控制站上安裝數位憑證的原因至少有二:用以支援「簡易郵件傳輸通訊協定 (Simple Mail Transfer Protocol,SMTP)」複寫,以及支援安全的「輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol,LDAP)」交易。

用於 SMTP 複寫的數位憑證

Active Directory 會經由兩個通訊協定來複寫網域控制站之間的目錄資訊:預設的遠端程序呼叫 (RPC),以及 SMTP。

經由 RPC 的複寫適用於大多數企業環境中,但在由高延遲或低頻寬之網路連結所分隔的 Active Directory 站台之間,則使用 SMTP 複寫會比較恰當。

由於 SMTP 是一種純文字通訊協定,而且目錄複寫資訊被認為是機密的資料,因此在設計上 SMTP 複寫只能在 DC 有方法在網路上加密 SMTP 流量才會啟始。所選的加密方法是「安全/MIME」或 S/MIME,這是支援訊息加密的其中一個「多用途網際網路郵件延伸標準 (Multipurpose Internet Mail Extensions,MIME)」通訊協定版本。由於複寫能夠、也會在複寫連結的任一方向進行,所以 Windows 2000 會要求在每一 DC 上都要有數位憑證。

所有可啟用進行 SMTP 複寫的 DC 都應該註冊 DC 憑證。每台 SMTP 複寫協力電腦都是在「Active Directory 站台及服務 Microsoft Management Console (MMC) 嵌入式管理單元」內個別設定的,因此您應該很清楚哪些 DC 需要憑證。不過,通常最簡便的方法就是直接發出憑證給所有 DC,尤其可以使用 Active Directory 群組原則的自動註冊功能來註冊網域控制站組織單位 (OU) 的所有成員。

一旦為所有 DC 註冊數位憑證後,任何設定為選用 SMTP 複寫來取代「網際網路通訊協定 (IP)」複寫的 DC 都會自動叫用 SMTP 複寫。

用於安全 LDAP 的數位憑證

Windows 2000 網域控制站支援在 TCP 連接埠 389 上的 LDAP,這是以純文字在網路上傳送。DC 也支援在 TCP 連接埠 636 上的 LDAP 進行 Secure Sockets Layer (SSL) 加密,來加密 LDAP 驗證,以及加密 LDAP 資料要求和回應。這對企業 LDAP 應用程式來說是相當常見的需求,因為 LDAP 應用程式在網路上傳輸的資訊可能是非常機密的資訊 — 不僅只是 LDAP 要求/回應資料,也包括驗證識別碼和密碼。

然而,DC 必須先裝有特定類型的數位憑證,才能啟用 SSL 來處理 LDAP 要求。數位憑證必須有適當的格式,以確保 LDAP 應用程式能夠正確操作。

所有可進行 SSL 連線的 DC 都應該註冊 DC 憑證。部份 LDAP 應用程式是設定成進行 LDAP 要求到單一 LDAP 伺服器,因此這些應用程式每一次都會進行相同 DC 的要求。其他 LDAP 應用程式可能會注意到 Active Directory。有鑑於此,網域或樹系中的任何 DC 都可以接收 LDAP 的 SSL 要求。最佳的作法是註冊所有 DC 取得 DC 憑證,以支援最廣泛的 LDAP 應用程式案例。

最後,一旦 DC 準備好接受 SSL 連線時,LDAP 應用程式就必須設定成要求 SSL 連線。DC 無法對連入的 LDAP 要求強制使用 SSL 連線 — 僅能將 DC 設定成對要求 SSL 的應用程式支援 SSL。

安裝及設定網域控制站憑證的基礎結構

安裝企業 CA

本程序的第一階段是安裝一個企業 CA 並確認已啟用 DomainController 憑證範本。

若您的 Active Directory 樹系中還沒有安裝企業 CA,請將企業 CA 安裝到屬於 Active Directory 樹系其中一個網域成員的 Windows 2000 伺服器。有關安裝企業 CA 的詳細資訊,請參閱《Step-by-Step Guide to Setting Up a Certification Authority (英文)》,網址是:http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp

確認網域控制站憑證範本的可用性

請利用下列步驟來確認網域控制站憑證範本是否可用。

  • 若要確認網域控制站憑證範本是否可用

    1. 開啟伺服器上的 [憑證授權 MMC 嵌入式管理單元 (Certification Authority MMC snap-in)]。

    2. 按兩下您的 CA 名稱 (例如,Contoso 企業根 CA),再按一下 [原則設定] 資料夾。

    3. 確認 [DomainController] 已列在右窗格中。

設定自動註冊

接下來您需要為每個網域在「群組原則」中設定自動註冊。

  • 若要為每個網域在「群組原則」中設定自動註冊

    1. 在每個您希望啟用自動註冊 DC 憑證的網域中,使用 [群組原則編輯器] 開啟 [預設網域控制站原則]。

    2. 在 [電腦設定] 下,按一下 [Windows 設定]。

    3. 按一下 [安全性設定],再按一下 [公開金鑰原則]。

    4. 按一下 [自動憑證要求設定值]。

    5. 在 [自動憑證要求設定值] 資料夾上按一下滑鼠右鍵,並在內容功能表上選取 [新增],再按一下 [自動憑證要求]。

    6. 即會啟動「自動憑證要求設定精靈」。按 [下一步]。

    7. 選取要用於要求中的憑證範本。在此範例中,您應該選取 [網域控制站],再按 [下一步]。

    8. 選取 Windows 2000 網域上的 CA 來傳送憑證要求。(在此範例中,請選擇企業根 CA。一個企業可能有一個以上的 CA)。按 [下一步]。

      注意:未在 Active Directory 中登錄為企業 CA 的 CA 將不會出現在此清單上。

    9. 按一下 [完成] 以建立自動憑證要求。憑證的要求會在 DC 上的「群組原則物件 (GPO)」經過重新整理後開始進行。

指派憑證註冊權限

最後,您需要為網域的各個「網域控制站」安全性群組授與權限,以註冊 DC 憑證。

  • 若要為 DC 群組授與權限以註冊 DC 憑證

    1. 啟動 [Active Directory 站台及服務 MMC 嵌入式管理單元]。

    2. 按一下 [檢視] 功能表,再按一下 [顯示服務節點]。

    3. 按兩下 [服務] 節點及 [公開金鑰服務] 節點,再按 [憑證範本]。

    4. 在 [DomainController] 上按一下滑鼠右鍵,再按 [內容],然後選取 [安全性] 索引標籤。

      注意:CA 網域內的「網域控制站」群組對此範本已有「註冊」權限。您需要將「註冊」權限授與您的樹系中其他網域的所有其他「網域控制站」群組。否則,該些 DC 將沒有順利地要求 DomainController 憑證的權限,而它們對自動註冊的嘗試將會失敗。

    5. 對於每個網域的各個「網域控制站」群組,按一下 [新增] 按鈕,在 [查詢] 下拉式清單方塊中選取網域,並選取該網域中的 [網域控制站],按一下 [新增] 按鈕,再按 [確定]。


測試 LDAP 或 SMTP 的數位憑證

測試經由 SSL 連線的 LDAP 應用程式

一旦您的網域控制站能夠接受 SSL 連線處理 LDAP 要求後,每個 LDAP 應用程式都必須重新設定成 SSL 通訊的預設值 (TCP 連接埠 636)。

在此範例中,LDAP 應用程式是 Microsoft Outlook® Express 的通訊錄。Outlook Express 是安裝在不屬於 Active Directory 樹系一部份的 Windows 2000 工作站。此範例將協助解釋如何設定用戶端來信任發出 DC 憑證的 CA。

設定通訊錄

這只有在憑證也發出到您的用戶端所信任之 CA 的 DC 才可行。請利用下列步驟來確認您的 DC 憑證可適當地運作。

  • 若要確認網域控制站憑證可正常運作

    1. 在您將必要的憑證安裝到 DC 上後,按一下 [開始],指向 [搜尋],再按 [人員]。

    2. 在 [查詢] 下拉式清單方塊中,按一下 [Active Directory]。

    3. 在 [Active Directory] 上按一下滑鼠右鍵,再按 [內容]。

    4. 在 [Active Directory 內容] 對話方塊的 [搜尋名稱] 方塊中,鍵入您希望連線的 DC 其完整網域名稱。例如,CDC-01.NORTHAMERICA.CONTOSO.COM。
      如果您是使用具有搜尋 Active Directory 權限的網域帳戶登入,則可跳過此步驟。否則,請在 [帳戶] 及 [密碼] 方塊中提供此網域控制站的使用者憑證。例如:

      帳戶:<網域名稱>\<使用者名稱>

      密碼:<密碼>

      注意:網域名稱是帳戶所在網域的名稱,而使用者名稱則是您用以登入的帳戶。密碼必須是您使用之帳戶的密碼。

    5. 在指定好 DC 及適當的憑證後,按一下 [進階] 索引標籤,接著指定 [LDAP 的 SSL 連線能力 (SSL connectivity for LDAP)] (連接埠必須設為 636)。

    6. 選取一個適合您 Active Directory 結構的搜尋依據,例如 CN=Users,DC=CDC-01,DC=northamerica,DC=corp,DC=contoso,DC=com。

    7. 按一下 [確定],關閉 [Active Directory 內容] 對話方塊。

在 Active Directory 中搜尋人員

請利用下列步驟在 Active Directory 中搜尋人員。

  • 若要在 Active Directory 中搜尋人員

    1. 在 [尋找人員] 對話方塊的 [查詢] 下拉式清單方塊中,按一下 [Active Directory]。

    2. 按一下 [進階] 索引標籤。

    3. 在 [定義條件] 區段中,選取下列搜尋條件:

      NAME 包含 Administrator

    4. 按一下 [新增],再按 [立即尋找]。

設定 SMTP 複寫

若您尚未設定 SMTP 複寫 — 可能因為它在複寫 DC 上需要 DC 憑證 %#151; 就必須在需要此複寫的 DC 之間設定 SMTP 複寫站台連結。

有關設定 SMTP 複寫的詳細資訊,請參閱《Step-by-Step Guide to Setting up ISM-SMTP Replication (英文)》,網址是:http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/ismsmtp.asp

  • 若要設定 SMTP 複寫

    1. 以具有建立站台連結 (和選用的子網路) 以及在站台間移動 DC 之權限的使用者身份,啟動 [Active Directory 站台及服務 MMC 嵌入式管理單元]。

    2. 建立一個新站台 — 例如,在 Contoso 的案例中是建立 Boston 站台。在 [站台] 資料夾上按一下滑鼠右鍵,再按 [新增站台]。在 [名稱] 方塊中為站台鍵入一個名稱 (例如,Boston),並從下列清單選擇一個站台連結物件 (例如,DEFAULTIPSITELINK 連結)。

    3. 按一下 [確定]。

    4. 按兩下左窗格中的 [站台間傳輸] 資料夾,並於 [SMTP] 物件上按一下滑鼠右鍵,再按 [新增站台連結]。

    5. 在 [名稱] 方塊中,鍵入此站台連結的名稱 (例如,East Coast Site Link)。

    6. 選擇至少兩個站台在此站台連結上進行複寫 (例如,Boston Default-First-Site-Name),再按一下 [確定]。

確認物件連線

請利用下列步驟來確認物件連線。

  • 若要確認物件連線

    1. 按兩下每個伺服器物件來顯示每一個的 [NTDS 設定] 物件。

    2. 選取每個 [NTDS 設定] 物件,並確定每個 [NTDS 設定] 物件都有附屬的 [NTDS 連線] 物件。

      • 若您在每個 [NTDS 設定] 物件下方沒有看到 [連線] 物件,請在每個 [NTDS 設定] 物件上按一下滑鼠右鍵,選取 [所有工作],再按一下 [檢查複寫拓樸]。此動作會強制「知識一致性檢查程式 (KCC)」檢查複寫拓樸,藉此在兩個 DC 間建立一個 [連線] 物件。

    3. 強制兩個 DC 間的複寫。在附屬於每個 [NTDS 設定] 物件的 [連線] 物件上按一下滑鼠右鍵,再按 [立即複寫]。

    4. 按下 F5 或在 [NTDS 設定] 物件上按一下滑鼠右鍵並選取 [重新整理],來重新整理畫面。您現在應該可以看到 [連線] 物件。

排列 SMTP 連結高於 IP 連結的優先順序

請利用下列步驟來排列 SMTP 連結高於 IP 連結的優先順序。

  • 若要排列 SMTP 連結高於 IP 連結的優先順序

    1. 在 [站台間傳輸] 容器中選取 [SMTP]。

    2. 在結果窗格中,選取要設定的連結物件 (亦即 East Coast Site Link 物件)。在此物件上按一下滑鼠右鍵,再按 [內容]。

      注意:此站台連結的成本是 100,這也是每一站台連結的預設成本。為了讓 KCC 選用 SMTP 站台連結而非 IP 站台連結,您需要為站台連結指定一個較低的成本,稱為 Default-SMTP-Site-Link 物件。

    3. 將 [Default-SMTP-Site-Link 物件] 的成本變更為 [50],再按一下 [確定]。(如有必要,也可變更 DEFAULTIPSITELINK 物件的成本,讓它比 50 高)。

    4. 若要強制兩個 DC 間的複寫,在附屬於每個 [NTDS 設定物件] 的 [連線物件] 上按一下滑鼠右鍵,再按 [立即複寫]。


網域控制站憑證的需求

為了支援安全的 LDAP 或 SMTP 站台間 Active Directory 複寫,您必須將憑證安裝到符合下列需求的 DC:

  • 數位憑證位於本機電腦的個人憑證存放區中 (程式定義為電腦的「我的憑證存放區」)。

  • 一組與本機電腦的存放區呈現之憑證相符合的私密金鑰,而且與憑證正確相關。私密金鑰千萬能啟用加強式私密金鑰保護。

  • 數位憑證中的「增強金鑰使用方法」延伸包括「伺服器驗證」(1.3.6.1.5.5.7.3.1) 物件識別元 (也稱為 OID)。

  • DC 的 Active Directory 完整網域名稱 (例如,C01.DOMAIN.COM) 必須出現在下列其中一個位置中:

    • [主體] 欄位的「一般名稱 (CN)」。

    • 「主體別名」延伸的「網域名稱系統 (DNS)」項目。

  • 憑證必須是由 DC 和安全 LDAP 用戶端所信任的 CA 發出。信任是透過設定用戶端和伺服器信任為發行的 CA 發出簽署憑證的根 CA 建立而成。


其他資訊

請參閱 Microsoft Knowledge Base 文章 321051,《How to Enable LDAP over SSL with a Third-Party Certification Authority (英文)》。

請參閱 Microsoft Knowledge Base 文章 247078,《HOW TO: Enable Secure Socket Layer (SSL) Communication Over LDAP for Windows 2000 Domain Controllers (英文)》。

請參閱 Microsoft Knowledge Base 文章 296975,《Unable to Connect to a Domain Controller by Using LDAP Connection over SSL (英文)》。

請參閱 Microsoft Knowledge Base 文章 319970,《How to Use the Address Book to Test SSL Connectivity (英文)》。

請參閱 Microsoft Knowledge Base 文章 222962,《Microsoft Certificate Authority Is Required to Perform Inter-Site SMTP (英文)》。


顯示: