配置启用基于SSL的LDAP(LDAPS)

配置启用基于SSL/TLS的LDAP(LDAPS)

目录

安装证书服务ADCS

配置ADCS

证书配置

默认情况下，LDAP 通信未加密。这使得恶意用户能够使用网络监控软件查看传输中的数据包。这就是许多企业安全策略通常要求组织加密所有 LDAP 通信的原因。为了减少这种形式的数据泄露，微软提供了一个选项：您可以启用通过安全套接字层 (SSL)/传输层安全性 (TLS) 的 LDAP，也称为 LDAPS。利用 LDAPS，您可以提高整个网络的安全性。

以下实验以Windows server 2012 R2域功能级别为例。

安装证书服务ADCS

安装Active Directory证书服务

勾选第一个证书颁发机构

然后一直下一步，直到安装完成即可

配置ADCS

选择证书颁发机构

选择企业

选择根

创建新的私钥

下一步

如下配置完成

证书配置

打开AD CS，选择证书颁发机构

选择证书模板，右键管理

选择Kerberos身份验证，右键 复制模板

然后会有一个Kerberos身份验证的副本，右键更改名称，更改为LDAPS

选择LDAPS，右键属性

设置模板属性，请求处理——>允许导出私钥(O)

创建证书模板

选择LDAPS，确定

然后打开控制台，输入MMC

添加或删除管理单元

申请新证书

然后一直下一步，到了下面选择之前创建的LDAPS

然后等待注册完成即可！

至此，已经完成了LDAPS的配置了。

可以使用ldp.exe来验证，如下：