HowTo: Enable LDAP over SSL with a third-party certification authority

Nachdem ich letzte Woche den neusten NetScaler 11 Kurs für XenApp Administratoren besuchen durfte (CNS-222 Early Access), stand ich vor dem Problem, mich endlich mal mit Secure LDAP (LDAPS) auseinander setzen zu müssen. Bei uns wird fast immer auf die Microsoft eigene PKI (Microsoft Certificate Authority aka the AD-CS role) verzichtet. Stattdessen setzen wir auf OpenSSL in Verbindung mit TinyCA (Linux) oder xca (Windows). Nach ein bisschen Recherche hat sich das ganze als doch Recht einfach herausgestellt. Hier nun meine Ergebnisse:

  1. In xca muss bereits eine CA samt Key existieren (http://xca.sourceforge.net/xca-14.html#ss14.1)
  2. Der DC und alle beteiligten müssen der CA vertrauen
  3. Mit xca ein Zertifikat erstellen
  4. Hashwert muss mindestens SHA256 sein, besser SHA512
  5. Der Private Key sollte eine länge von RSA2048 haben
  6. Der Common Name entspricht dem FQDN des Domain Controllers
  7. Der Zertifikat muss das Attribut „TLS Web Server Authentication“ bzw. „Server Authentication (1.3.6.1.5.5.7.3.1)“ beinhalten!
  8. Das Zertifikat sollte ein großzügige Gültigkeit haben
  9. Export des Zertifikat als PKCS #12 (ohne Kette) mit Kennwort
  10. Import über die Zertifikatsverwaltung des DC in das Computerkonto
  11. Hierzu administrative mmc starten und das Zertifikate AddIn hinzufügen
  12. Import in den Bereich „Personal“ bzw. „Eigene Zertifikate“
  13. Anschließend Test über ldp.exe (über cmd starten)
    1. Server: FQDN
    2. Port: 636
    3. SSL: Checked
    4. Ergebnis in Zeile 5: „Host supports SSL, SSL cipher strength = 256 bits“

Quellen:
https://support.microsoft.com/en-us/kb/321051
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc-configuration

Author: Marco

Gelernter Fachinformatiker für Systemintegration (2010) CCA für XenServer 5.0 (2009) CCA für XenApp 5.0 (2011) CCA für XenApp 6.5 (2013) CCAA für XenApp 6.5 (2013) CCA für XenDesktop 5 (2013) Dell Wyse ThinOS Select Techniker (2011) Igel Authorized Partner (2009-2014) Intensivkurs “Group Policy Administration” Windows 7, 8.x sowie Windows Server 2008-R2 / 2012-R2 bei NT Systems, Dipl.-Ing. T. Pham (2014) Zu Gast auf der E2EVC Virtualization Conference in Berlin (2015) Zu Gast auf der Citrix Technology Exchange in Berlin (2016) Citrix Certified Associate – Networking (CCA – N) (2016) Citrix Certified Professional – Networking (CCP – N) (2017)

Leave a Reply

Your email address will not be published. Required fields are marked *