Jump to content

LDAPS mit anderem Zertifikat - wie?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,​

​ich habe einen Windows 2012 Server mit einer kleinen AD-Domäne firmenname.local

Nun möchte ich einige Dienste, beispielsweise unseren Seafile-Server, mit LDAPS verbinden, damit sich unsere Mädels hier ( :D) nicht verschiedene Kennwörter merken müssen.

​Jetzt kommts: wir haben ein Wildcard-Zertifikat1 *.firmenname.de, welches zur Absicherung dienen soll.

​In meiner naiven Denkweise dachte ich:

​1. Einen A-Record anzulegen "ldap.firmenname.de" auf unseren Server

​2. Port 636 in der Firewall öffnen

​3. Unser Wildcard-Zertifikat einspielen

​Aber das klappt nicht - der Zugriff mittels ldp.exe verwendet immer das eigen erstellte Zertifikat, und lösche ich das raus, ist gar kein Zugriff auf Port 636 mehr möglich.

​Würde mich über einen WInk in die richtige Richtung sehr freuen :)

​1 Das Wildcard-Zertifikat hat als Zertifikat-Verwendung, wie von Microsoft in einem Uralt-KB 321051, die Verwendung 1.3.6.1.5.5.7.3.1 aktiv

Link to comment

Moin Nils,

danke für Deine Antwort.

 

Ist das wirklich so?

Hier lese ich zum Beispiel:

If you want to enable LDAPS on multiple DCs, you will have to purchase a wildcard certificate, which is a certificate you can install on more than one computer.

 

Hier steht auch, dass es gehen müsste. Nur funktionierts halt nicht :suspect:

 

Das mit dem eigenen Zertifikat wäre grds auch okay, klappt aber halt nicht mit Office 365 Exchange, nehme ich an :-(

Link to comment

Moin,

 

ich würde den beiden Quellen auch nicht trauen - die behaupten das zwar, aber der eine hat es offensichtlich gar nicht getestet, und der andere gibt gleichzeitig an, dass er sich auf einen Webserver bezieht und nicht auf einen DC ... das ordne ich als "Amazon-Antwort" ein ("kann ich nicht beantworten, weil ich das Produkt nicht gekauft habe, aber in folgender völlig anderer Situation ist es so-und-so").

 

Ich halte es auch für ausgesprochen abwegig, für den Zweck "LDAPS im AD" ein Wildcard-Zertifikat zu nehmen. Gerade bei DCs möchte man das ja schon genau kontrollieren, da sind Single-Server-Zertifikate der gewünschte Weg. Wenn man keine PKI hat und keine Self-Signed-Zertifikate ausstellen will, hat man mit OpenSSL in einer Stunde die nötigen Zertifikate erzeugt (inkl. Einlesen in OpenSSL).

 

Gruß, Nils

Link to comment

Moin,

 

Ja, bei mir passte halt das Wildcard zum Rest.

 

ah, OK, gut zu wissen. Dann ist - technisch betrachtet - der KB-Artikel, den ich gefunden habe, wohl einfach nicht mehr aktuell. Er bezog sich ursprünglich wohl auf Windows 2000, da war Windows mit dem Zertifikatshandling noch nicht so weit.

 

Was aber nichts an dem Umstand ändert, zu dem wir einig sind: Für LDAPS ist das nicht sinnvoll.

EDIT 2: Natürlich funktioniert das mit einem Alias-Namen in keinem Fall. Ein Zertifikat soll ja gerade sicherstellen, dass man mit dem richtigen Server verbunden ist ...

 

EDIT 1: Ich sehe gerade noch eine Bemerkung:

 

 

Das mit dem eigenen Zertifikat wäre grds auch okay, klappt aber halt nicht mit Office 365 Exchange, nehme ich an

 

Ich würde mal behaupten, dass LDAPS in der eigenen Domäne mit Office 365 überhaupt nichts zu tun hat.

 

Gruß, Nils

Edited by NilsK
Link to comment

Moin,

 

ja, die Anforderung ist da beschrieben, aber anders als daraus zu entnehmen war, geht es - technisch - ja offenbar doch mit einem Wildcard-Zertifikat. Ich würde aber davon ausgehen, dass das nicht supported ist, weil der KB-Artikel eben ausdrücklich den DC-Namen anfordert. (Vielleicht meintest du das in der Art.)

 

Ich denke, jetzt haben wir den TO endgültig verwirrt. :D

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...