配置启用基于SSL/TLS的LDAP(LDAPS)
目录
安装证书服务ADCS
配置ADCS
证书配置
默认情况下,LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。为了减少这种形式的数据泄露,微软提供了一个选项:您可以启用通过安全套接字层 (SSL)/传输层安全性 (TLS) 的 LDAP,也称为 LDAPS。利用 LDAPS,您可以提高整个网络的安全性。
以下实验以Windows server 2012 R2域功能级别为例。
安装证书服务ADCS
安装Active Directory证书服务
勾选第一个证书颁发机构
然后一直下一步,直到安装完成即可
配置ADCS
选择证书颁发机构
选择企业
选择根
创建新的私钥
下一步
如下配置完成
证书配置
打开AD CS,选择证书颁发机构
选择证书模板,右键管理
选择Kerberos身份验证,右键 复制模板
然后会有一个Kerberos身份验证的副本,右键更改名称,更改为LDAPS
选择LDAPS,右键属性
设置模板属性,请求处理——>允许导出私钥(O)
创建证书模板
选择LDAPS,确定
然后打开控制台,输入MMC
添加或删除管理单元
申请新证书
然后一直下一步,到了下面选择之前创建的LDAPS
然后等待注册完成即可!
至此,已经完成了LDAPS的配置了。
可以使用ldp.exe来验证,如下:
