Использование SSL для шифрования запросов LDAP - Windows 2008 R2
Ну, могло быть полезным, чтобы иметь отдельные VLAN для данных (компьютеры) и VoIP, таким образом, можно применить своего рода назначение приоритетов трафика. Отдельные VLAN для управления переключателями это также полезно. Отдельные VLAN на пол кажутся, возможно, слишком много для 100 ПК, если Вы не планируете расшириться в будущем.
Вы никогда не говорите, что используете Active Directory на 2008 R2, но я предполагаю, что это так.
Во-первых, вам не нужно устанавливать службы сертификации на контроллер домена или делать его центром сертификации. Вашему DC просто нужен один назначенный ему "действительный" SSL-сертификат, которому ваш LDAP-клиент "доверяет".
Существует множество способов получить сертификат для вашего DC. Установка центра сертификации (например, службы сертификации AD) и использование его для создания «контроллера домена» сертификат - это один способ, но не единственный. И вообще считается неразумным делать контроллер домена центром сертификации. Вместо этого поместите его на выделенный компьютер.
Вы также можете получить сертификат от стороннего центра сертификации, как и для веб-сервера. Это немного сложнее, потому что сертификат контроллера домена имеет разные атрибуты, необходимые для того, чтобы быть «действительным». Вот ссылка от Microsoft на эту тему: Это немного сложнее, потому что сертификат контроллера домена имеет разные атрибуты, необходимые для того, чтобы быть «действительным». Вот ссылка от Microsoft на эту тему: Это немного сложнее, потому что сертификат контроллера домена имеет разные атрибуты, необходимые для того, чтобы быть «действительным». Вот ссылка от Microsoft на эту тему: Как включить LDAP через SSL с помощью стороннего центра сертификации
Требования к сертификату LDAPS
Для включения LDAPS необходимо установить сертификат, который соответствует следующим требованиям:
- Сертификат LDAPS находится в хранилище личных сертификатов локального компьютера (программно известное как хранилище сертификатов MY компьютера).
- Закрытый ключ, соответствующий сертификату, присутствует в хранилище локального компьютера и правильно связан с сертификатом. Для закрытого ключа не должна быть включена сильная защита закрытого ключа.
- Расширение Enhanced Key Usage включает идентификатор объекта Server Authentication (1.3.6.1.5.5.7.3.1) (также известный как OID).
- Active Directory полное доменное имя контроллера домена (например, DC01.DOMAIN.
- Общее имя (CN) в поле "Тема".
- Запись DNS в расширении альтернативного имени субъекта.
- Сертификат был выдан центром сертификации, которому доверяют контроллер домена и клиенты LDAPS. Доверие устанавливается путем настройки клиентов и сервера на доверие корневому ЦС, к которому ведет цепочка выдающего ЦС.
- Для генерации ключа необходимо использовать поставщика криптографических услуг (CSP) Schannel.
После установки сертификата и работая с контроллером домена, вы должны указать своему клиенту LDAP порт 636 или 3269 (для подключения к сборщику мусора) и приступить к работе.