Jump to content

LDAPS self signed für Testumgebung klappt nicht


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

für eine eigenständige Testumgebung ohne CA will ich LDAPS bei einem Domänencontroller aktivieren.

 

Dazu mache ich mir mit makecert.exe aus dem Microsoft SDK ein Root CA Zertifikat, danach ein passendes Server Zertifikat für den Zweck 1.3.6.1.5.5.7.3.1 zur Server Authentifizierung.

Das Root CA Zertifikat spiele ich unter Certificates (Local Computer) sowie Certificates - Service (Active Directory Domain Services) ein unter Trusted Root Certification Authorities bzw.  NTDS\Trusted Root Certification Authorities. Das Zertifikat selbst sieht danach passend aus und ist gültig, dieses importiere ich unter Certificates sowie Service (Active Directory Domain Services) unter Personal bzw. NTDS\Personal.

 

Nach einem Neustart erwarte ich nun, dass ich mit ldp.exe eine Verbindung mit Port 636 herstellen kann. Pustekuchen, das geht nicht.

 

Warum, was läuft hier verquer? :sauer2:

 

Danke

Link zu diesem Kommentar

Ja, das hätte was. Nur habe ich keine. Wenn ich mir das Prozedere so ansehe, das zum Erfolg geführt hat, dann ändere ich das voraussichtlich bald...

 

Der Artikel hat leider nicht zum Erfolg geführt im Zusammenhang mit LDAPS.

 

Das hier hat dann geklappt, nach vielen Fehlversuchen:

https://blog.jayway.com/2014/09/03/creating-self-signed-certificates-with-makecert-exe-for-development/

 

Die Kurzfassung:

- Benötigt werden die beiden ausführbaren Dateien makecert.exe und pvk2pfx.exe aus dem Microsoft Windows SDK for Windows 7 and .NET Framework 4 

- Mit makecert.exe ein root certificate (Root CA/Wurzelzertifikat) erstellen, um weitere Zertifikate erstellen zu können: 

makecert.exe ^
-n "CN=CARoot" ^
-r ^
-pe ^
-a sha256 ^
-len 4096 ^
-cy authority ^
-sv CARoot.pvk ^
CARoot.cer
pvk2pfx.exe ^
-pvk CARoot.pvk ^
-spc CARoot.cer ^
-pfx CARoot.pfx ^
-po Test123

Den gewünschten Namen für die Root CA eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. 

 

- Mit makecert.exe im zweiten Schritt ein Zertifikat für die Server Authentifizierung erstellen:

makecert.exe ^
-n "CN=fqdn.domaenencontroller.de" ^
-iv CARoot.pvk ^
-ic CARoot.cer ^
-pe ^
-a sha256 ^
-len 4096 ^
-b 01/01/2018 ^
-e 01/01/2028 ^
-sky exchange ^
-eku 1.3.6.1.5.5.7.3.1 ^
-sv %1.pvk ^
%1.cer
pvk2pfx.exe ^
-pvk %1.pvk ^
-spc %1.cer ^
-pfx %1.pfx ^
-po Test123

Den FQDN des Domänencontrollers eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. Wichtig ist die OID 1.3.6.1.5.5.7.3.1 und die Angabe der CA Root-Datei, die im ersten Schritt erzeugt wurde.

 

Das wars: Im letzten Schritt die beiden Zertifikate an die passende(n) Stellen importieren:

Das Wurzelzertifikat muss in der Zertifikatsverwaltung (MMC>Certificates) in den Zweig Trusted Root Certification Authorities. Das Zertifikat selbst unter Certificates (Local Computer/Personal/Certificates) sowie unter Certificates - Service (Active Directory Domain Services) unter NTDS\Personal importieren.

Dann eine kurze Prüfung mittels ldp.exe durchführen und mit Port 636 verbinden, wenn das klappt und der AD DS antwortet hat man es geschafft.

 

Ich hoffe das hilft jemanden weiter, mir haben 99% aller Anleitungen leider nicht geholfen außer der von Elizabeth Andrews (siehe Link oben).

bearbeitet von Apex
Link zu diesem Kommentar

Moin,

 

wichtig ist vor allem, dass die anfragenden Clients dem Zertifikat vertrauen. Das Root-Zertifikat muss also an die Clients verteilt werden. Letztlich genau wie bei TLS-Verbindungen zu einem Webserver.

 

Das kann man in so einem Fall per GPO erreichen. Eine (gut entworfene) Windows-PKI kann das deutlich erleichtern. Mit makecert würde ich wirklich nicht arbeiten.

 

Gruß, Nils

 

Link zu diesem Kommentar

Nochmal zur Erläuterung: Ich teste in einer isolierten Domäne (1 DC) ca. 20 bis 25 mal eine Anbindung einer Software gegen AD/LDAP. Das hier LDAPS verwendet wird ist nur der Transportweg und für das Vorhaben uninteressant: Ich teste nichts in Richtung Verschlüsselung, Schlüssellängen, Encryption Types etc.

Es geht wirklich nur um die AD Anbindung an einen DC in einer Testumgebung, die ca. 2 Tage Bestand hat.

Für das Vorhaben finde ich die Methode ausreichend.

 

Wenn die zwei Skripte anderen helfen, dann bin ich schon zufrieden. :-)  

Link zu diesem Kommentar

Moin,

 

haben wir auch verstanden. In sofern noch mal ausdrücklich danke dafür.

 

Ergänzend sei uns aber trotzdem der Hinweis erlaubt, dass man mit einer Windows-CA vermutlich nicht mehr Aufwand in der Testumgebung gehabt hätte. Wie immer bei Zertifikaten ist es eben wichtig, dass man die Abläufe und Hintergründe ausreichend versteht, dann hat man eine Chance, auch die Eigenheiten des jeweiligen Tools zu begreifen.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...