Jump to content

LDAPS mit anderem Zertifikat - wie?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,​

​ich habe einen Windows 2012 Server mit einer kleinen AD-Domäne firmenname.local

Nun möchte ich einige Dienste, beispielsweise unseren Seafile-Server, mit LDAPS verbinden, damit sich unsere Mädels hier ( :D) nicht verschiedene Kennwörter merken müssen.

​Jetzt kommts: wir haben ein Wildcard-Zertifikat1 *.firmenname.de, welches zur Absicherung dienen soll.

​In meiner naiven Denkweise dachte ich:

​1. Einen A-Record anzulegen "ldap.firmenname.de" auf unseren Server

​2. Port 636 in der Firewall öffnen

​3. Unser Wildcard-Zertifikat einspielen

​Aber das klappt nicht - der Zugriff mittels ldp.exe verwendet immer das eigen erstellte Zertifikat, und lösche ich das raus, ist gar kein Zugriff auf Port 636 mehr möglich.

​Würde mich über einen WInk in die richtige Richtung sehr freuen :)

​1 Das Wildcard-Zertifikat hat als Zertifikat-Verwendung, wie von Microsoft in einem Uralt-KB 321051, die Verwendung 1.3.6.1.5.5.7.3.1 aktiv

Link zu diesem Kommentar

Moin Nils,

danke für Deine Antwort.

 

Ist das wirklich so?

Hier lese ich zum Beispiel:

If you want to enable LDAPS on multiple DCs, you will have to purchase a wildcard certificate, which is a certificate you can install on more than one computer.

 

Hier steht auch, dass es gehen müsste. Nur funktionierts halt nicht :suspect:

 

Das mit dem eigenen Zertifikat wäre grds auch okay, klappt aber halt nicht mit Office 365 Exchange, nehme ich an :-(

Link zu diesem Kommentar

Moin,

 

ich würde den beiden Quellen auch nicht trauen - die behaupten das zwar, aber der eine hat es offensichtlich gar nicht getestet, und der andere gibt gleichzeitig an, dass er sich auf einen Webserver bezieht und nicht auf einen DC ... das ordne ich als "Amazon-Antwort" ein ("kann ich nicht beantworten, weil ich das Produkt nicht gekauft habe, aber in folgender völlig anderer Situation ist es so-und-so").

 

Ich halte es auch für ausgesprochen abwegig, für den Zweck "LDAPS im AD" ein Wildcard-Zertifikat zu nehmen. Gerade bei DCs möchte man das ja schon genau kontrollieren, da sind Single-Server-Zertifikate der gewünschte Weg. Wenn man keine PKI hat und keine Self-Signed-Zertifikate ausstellen will, hat man mit OpenSSL in einer Stunde die nötigen Zertifikate erzeugt (inkl. Einlesen in OpenSSL).

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

Ja, bei mir passte halt das Wildcard zum Rest.

 

ah, OK, gut zu wissen. Dann ist - technisch betrachtet - der KB-Artikel, den ich gefunden habe, wohl einfach nicht mehr aktuell. Er bezog sich ursprünglich wohl auf Windows 2000, da war Windows mit dem Zertifikatshandling noch nicht so weit.

 

Was aber nichts an dem Umstand ändert, zu dem wir einig sind: Für LDAPS ist das nicht sinnvoll.

EDIT 2: Natürlich funktioniert das mit einem Alias-Namen in keinem Fall. Ein Zertifikat soll ja gerade sicherstellen, dass man mit dem richtigen Server verbunden ist ...

 

EDIT 1: Ich sehe gerade noch eine Bemerkung:

 

 

Das mit dem eigenen Zertifikat wäre grds auch okay, klappt aber halt nicht mit Office 365 Exchange, nehme ich an

 

Ich würde mal behaupten, dass LDAPS in der eigenen Domäne mit Office 365 überhaupt nichts zu tun hat.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Ich bezog mich auf

ah, OK, gut zu wissen. Dann ist - technisch betrachtet - der KB-Artikel, den ich gefunden habe, wohl einfach nicht mehr aktuell.

und meinen Hinweis weiter oben, dass MS mitteilt, dass der Domain Name des DCs im Zertifikat zu stehen hat:

The Active Directory fully qualified domain name of the domain Controller

Bye

Norbert

Link zu diesem Kommentar

Moin,

 

ja, die Anforderung ist da beschrieben, aber anders als daraus zu entnehmen war, geht es - technisch - ja offenbar doch mit einem Wildcard-Zertifikat. Ich würde aber davon ausgehen, dass das nicht supported ist, weil der KB-Artikel eben ausdrücklich den DC-Namen anfordert. (Vielleicht meintest du das in der Art.)

 

Ich denke, jetzt haben wir den TO endgültig verwirrt. :D

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...