Настраиваем LDAPS на контроллерах домена на базе операционных систем Windows Server 2008 и 2012


проверяем, что контроллер домена не настроен на работу по протоколу LDAPS, для чего запускаем утилиту LDP и пробуем подключиться с использованием SSL к порту 636 контроллера домена. Подключение должно завершиться ошибкой

создаем для контроллера домена сертификат и закрытый ключ и сохраняем их в формате PKCS#12 (как это сделать, рассказывается здесь и здесь). При этом должны выполняться следующие условия:

cертификат выдан центром сертификации, которому доверяют и контроллер домена, и клиенты LDAPS

расширение улучшенного ключа включает OID проверки подлинности сервера (1.3.6.1.5.5.7.3.1)

полное доменное имя контроллера домена отображается либо в общем имени, либо в DNS-записи дополнительного имени субъекта

открываем оснастку "Сертификаты - Учетная запись службы - Локальный компьютер - Доменные службы Active Directory" и импортируем сертификат и закрытый ключ в хранилище "NTDS\Личное"

Замечание: для начала использования сертификата перезапуск сервера или каких-либо служб не требуется

запускаем утилиту LDP и пробуем подключиться с использованием SSL к порту 636 контроллера домена. Подключение должно быть успешно установлено

Добавить комментарий