HowTo: Enable LDAP over SSL with a third-party certification authority

Nachdem ich letzte Woche den neusten NetScaler 11 Kurs für XenApp Administratoren besuchen durfte (CNS-222 Early Access), stand ich vor dem Problem, mich endlich mal mit Secure LDAP (LDAPS) auseinander setzen zu müssen. Bei uns wird fast immer auf die Microsoft eigene PKI (Microsoft Certificate Authority aka the AD-CS role) verzichtet. Stattdessen setzen wir auf OpenSSL in Verbindung mit TinyCA (Linux) oder xca (Windows). Nach ein bisschen Recherche hat sich das ganze als doch Recht einfach herausgestellt. Hier nun meine Ergebnisse:

  1. In xca muss bereits eine CA samt Key existieren (http://xca.sourceforge.net/xca-14.html#ss14.1)
  2. Der DC und alle beteiligten müssen der CA vertrauen
  3. Mit xca ein Zertifikat erstellen
  4. Hashwert muss mindestens SHA256 sein, besser SHA512
  5. Der Private Key sollte eine länge von RSA2048 haben
  6. Der Common Name entspricht dem FQDN des Domain Controllers
  7. Der Zertifikat muss das Attribut „TLS Web Server Authentication“ bzw. „Server Authentication (1.3.6.1.5.5.7.3.1)“ beinhalten!
  8. Das Zertifikat sollte ein großzügige Gültigkeit haben
  9. Export des Zertifikat als PKCS #12 (ohne Kette) mit Kennwort
  10. Import über die Zertifikatsverwaltung des DC in das Computerkonto
  11. Hierzu administrative mmc starten und das Zertifikate AddIn hinzufügen
  12. Import in den Bereich „Personal“ bzw. „Eigene Zertifikate“
  13. Anschließend Test über ldp.exe (über cmd starten)
    1. Server: FQDN
    2. Port: 636
    3. SSL: Checked
    4. Ergebnis in Zeile 5: „Host supports SSL, SSL cipher strength = 256 bits“

Quellen:
https://support.microsoft.com/en-us/kb/321051
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc-configuration

Author: Marco

Marco is an IT-System administrator and IT-Consultant with 10+ years experience. He is specialized in the delivery of virtual Apps and Desktops with Citrix solutions. In 2017 he has been awarded Citrix Technology Advocate by Citrix for his community work (#CTA). His second core area is availability & performance monitoring with Zabbix, a leading open-source solution. His employer is the German IT-Company ANAXCO which is developing a Transport Management Software (TMS) based on Microsoft Dynamics AX. More about Marco

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.