Configurer LDAPS sur un dc (avec une AC stand-alone)   Auteur: Sébastien BOGDANOWITCH
Un DC utilise comme protocole daccès à lannuaire le LDAP (nativement passant par le port      389). Implémenter SSL sur LD...
Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc    demander le certificat de cette A...
Vous devez obtenir un message comme quoi limportation sest bien déroulée et si vous rafraichissez    votre mmc « Certifica...
Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper:    CertRe...
Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC.    Pour cela vous retourn...
Une fois que la requête a été soumise il faut aller la valider sur lAC et une fois celle-ci validée (ce    nest pas lobjet...
A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ;    Pour tester ouvrez LDP ...
Vous devriez obtenir le résultat ci-dessus, avec dans lentête « ldaps//DC/DC=domaine,DC=com»    LADP over SSL est donc act...
Prochain SlideShare
Chargement dans…5
×

Configurer ldaps sur un dc (avec une

982 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
982
Sur SlideShare
0
Issues des intégrations
0
Intégrations
418
Actions
Partages
0
Téléchargements
5
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Configurer ldaps sur un dc (avec une

  1. 1. Configurer LDAPS sur un dc (avec une AC stand-alone) Auteur: Sébastien BOGDANOWITCH
  2. 2. Un DC utilise comme protocole daccès à lannuaire le LDAP (nativement passant par le port 389). Implémenter SSL sur LDAPS permet de sécuriser les échanges entre un client et le DC. Qui dit SSL dit certificat et donc Autorité de certification (AC). Le principe sera donc de permettre à des clients reconnaissant lAC et ayant eux même un certificat délivré par cette AC détablir une session LADP(S) avec un DC. Dans notre exemple nous allons donc prendre un DC et une AC Autonome (lautorité de certification est un serveur membre nappartenant pas au domaine du DC en question). 1-Ajouter une autorité de certification sur le DC Pour obtenir les autorités reconnus (de confiance) par votre DC, ouvrer une MMC et ajouter le composant « Certificats » pour lordinateur local. Sous « Trusted Root Certification Autorities » puis « Certificates » vous allez obtenir les AC reconnues pas votre ordinateur (Notre DC dans le cas présent).24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 2
  3. 3. Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc demander le certificat de cette AC. Je vais faire la demande via le web site de lAC, pour cela il faut cliquer sur « Download a CA certificate, certificate chain or CRL », sélectionner lAC (dans le cas présent il ny en a quune) et le format. Vous allez obtenir un fichier CER quil va falloir importer. Pour cela revenez dans la MMC Certificates : « Trusted Root Certification Authorities » / « Certificates » / « All task » -> Import / Sélectionner le fichier CER et lorsquil vous demandera ou devra être stocké le certificat, Sélectionner : « Trusted Root Certification Authorities »24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 3
  4. 4. Vous devez obtenir un message comme quoi limportation sest bien déroulée et si vous rafraichissez votre mmc « Certificates », vous devez voir apparaitre votre nouvelle AC. LAC ABAVRT01 est désormais digne de confiance…. Nous pouvons donc passer à la suite. 2-Création/validation/importation du certificat A ce stade, nous allons générer un certificat à partir dun Template (cette opération ne serait pas nécessaire si nous utilisions une AC Entreprise). Dans le champ Subject, il faut placer le nom FQDN de votre DC, le champ KeyLength vous donnera la taille de la clé (1024,2048 etc….grande clé = + de sécurité et – de perf). [Version]Signature="$Windows NT$ [NewRequest]Subject = "CN=<ABASADS01.aba.lab>" KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 4
  5. 5. Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper: CertReq –new request.inf requestDC.req Votre fichier *.req doit ressembler à cela : ----BEGIN NEW CERTIFICATE REQUEST---- MIIDizCCAnMCAQAwHDEaMBgGA1UEAwwRQUJBU0FEUzAxLmFiYS5sYWIwggEiMA0G CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC89jGsxnuFKC8E/6TpApZ1x55L8cJt 1GOxNHu7EKWnS34V48CNvKxlarR00ivKu7lm+/2cTPBgLxWriclIEso3WEay6/Rr iqKqwZLXBF8s5y7Y94EJqBmFcAv3N8lTNoq/24E+U4q7lUrASPXDo9a26cLHXahr 81FTdCrKIXvi/aVFYZSqDQ2kG7hV9aHIXzBMSuV8CjUgIKgrCSuSm3L93pUwaOBm ncVlPtWLlQDZcVm8wWGSGxZdCuO44GovnTRZsqG5maTb8CaYT7085XG6So2yqRgC yTlje/zQy5YuuRsIubJQFy9BDlcfbzZfQXRA8e6t31hR4yOMTF5PzWvvAgMBAAGg ggEoMBoGCisGAQQBgjcNAgMxDBYKNi4xLjc2MDAuMjBBBgkrBgEEAYI3FRQxNDAy AgEJDBFBQkFTQURTMDEuYWJhLmxhYgwRQUJBXGFkbWluaXN0cmF0b3IMB2NlcnRy ZXEwUwYJKoZIhvcNAQkOMUYwRDAOBgNVHQ8BAf8EBAMCBaAwEwYDVR0lBAwwCgYI KwYBBQUHAwEwHQYDVR0OBBYEFOnbI3f8u6zi6QPBrf4hF/A2lazDMHIGCisGAQQB gjcNAgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBo AGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQEFBQADggEBACzM5GXWCZHLjtV56SnJF2Ys ksNFtKJvUzTAn9lKTWakHlQ6Quy9ywrgnkvTzB9x5K5g33nYSWqgRbogiiGZNdvI pL1GUI+PkhAl00ngxz1B2J2BN8LINFXmOp6VFkDvTcJzH3YQRDWqSQ6E+9ztZ3eo 74EpvwLsI6X8DH96Jgx/1XI/8WkTHIINyw6IxpwmfBSxnL/SH/CWimpd7MqnE/1f ChXvLLTjZ0juu+Z2vaO955rSXSnAj0TfO7n4GyIW0VoDM84dj6n7OJ2PkAIy/nbN 3ZJIyxWXwHWDe/lvs2ENoL19U7LuP5SS2gMcECzcqaODlLGwCAXReJBg+WkspA8= ----END NEW CERTIFICATE REQUEST---24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 5
  6. 6. Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC. Pour cela vous retournez sur linterface web de votre AC : Request a certificate Submit an advanced certificate request Submit a certifiate request using by using a base 64-encoded CMC or PKCS#10 …… Il faut ensuite faire un copier/coller du contenu du fichier REQ dans le champ « saved request » et faire un Submit.24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 6
  7. 7. Une fois que la requête a été soumise il faut aller la valider sur lAC et une fois celle-ci validée (ce nest pas lobjet de larticle donc je passe ce point) il faut retourner sur linterface web, (dans pending request) et enregistrer le certificat. Il ne reste plus quà limporter, via la MMC certificate dans Personnalcertificates ou via une invite de commande avec la commande suivant : Certreq –accept <Certificate> Dans les deux cas, voici le résultat que vous devriez obtenir dans la MMC certificats. Nous voyons bien le certificat émis par notre AC ABAVRT01 (avec comme Enhanced Key Usage = Server Authentication)24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 7
  8. 8. A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ; Pour tester ouvrez LDP : Connections Server : votre DC Port : 636 SSL : coché OK24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 8
  9. 9. Vous devriez obtenir le résultat ci-dessus, avec dans lentête « ldaps//DC/DC=domaine,DC=com» LADP over SSL est donc actif sur ce DC (uniquement sur ce DC) et la connexion via cette méthode ne pourra se faire quà partir de client ayant eux même un certificat serveur délivré par notre AC.24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 9

×