目标
使用本模块可以实现:
• 在域控制器中配置数字证书来确保 LDAP 和 SMTP 复制的安全。
适用范围
本模块适用于下列产品和技术:
• Microsoft® Windows® 2000 操作系统
小结
本模块显示了如何在域控制器中配置数字证书,从而确保 LDAP 和 SMTP 复制的安全。
必须了解的信息
数字证书可由任意满足证书格式要求的证书颁发机构 (CA) 向您的域控制器 (DC) 颁发。颁发标准格式数字证书的一种简便方法是,先配置 Microsoft Windows 2000 企业 CA(即 Microsoft Active Directory® 注册的 CA),然后在 Active Directory 中配置 DC 证书来自动注册 DC。
在运行 Windows 2000 Server 或更高版本的域控制器中安装数字证书至少有两种原因:支持简单邮件传输协议 (SMTP) 复制、支持安全的轻型目录访问协议 (LDAP) 事务。
SMTP 复制的数字证书
Active Directory 主要通过两种协议在域控制器间复制目录信息:默认的远程过程调用 (RPC) 和 SMTP。
RPC 复制在大多数企业中都比较适用,而 SMTP 复制更适用于由高滞后时间或低带宽网络链路所分隔的不同 Active Directory 站点间。
由于 SMTP 是明文协议,且目录复制信息一般是敏感材料,因此设计的 SMTP 复制只能在 DC 具有网络 SMTP 数据流加密方法时才启动。选择的加密方法是 Secure/MIME(或 S/MIME),这是一种支持邮件加密的多用途 Internet 邮件扩展 (MIME) 协议。Windows 2000 要求每个 DC 都有数字证书,因为复制将在复制链路的双方向发生。
所有可能启用 SMTP 复制的 DC 都应注册 DC 证书。每个 SMTP 复制伙伴都在“Active Directory 站点和服务”MMC 管理单元中单独配置,因此您应清楚哪些 DC 需要证书。通常最方便的方法是,向所有 DC 颁发证书,尤其是使用 Active Directory 组策略通过自动注册功能来注册域控制器组织单元 (OU) 中的所有成员的 DC。
一旦所有 DC 都注册了数字证书,只要 DC 的配置是优先选择 SMTP 复制而非 Internet 协议 (IP) 复制,它们就都可以自动调用 SMTP 复制。
确保 LDAP 安全的数字证书
Windows 2000 域控制器支持 TCP 端口 389 上的 LDAP,它在网络中明文传输。DC 还支持 TCP 端口 636 上 LDAP 的安全套接字层 (SSL) 加密,从而可加密 LDAP 身份验证、LDAP 数据请求和响应。这是企业 LDAP 应用程序最一般的要求,因为网络中通过 LDAP 应用程序传输的信息可能非常敏感(不仅有 LDAP 请求/响应数据,还有身份验证 ID 和密码)。
在为 LDAP 请求启用 SSL 之前,DC 必须安装特定类型的数字证书。数字证书的格式必须正确,以确保 LDAP 应用程序正常运行。
所有可能采用 SSL 连接的 DC 都应注册 DC 证书。有些 LDAP 应用程序的配置是向单个 LDAP 服务器发出 LDAP 请求,因此这些应用程序每次向同一 DC 发出请求。 其他 LDAP 应用程序可能使用 Active Directory。因此,域或林中的所有 DC 都可收到 LDAP 的 SSL 请求。最佳做法是,为所有 DC 注册 DC 证书来支持范围最广的 LDAP 应用程序方案。
最后,一旦 DC 准备好接收 SSL 连接,LDAP 应用程序必须配置为请求 SSL 连接。DC 不能对所有传入 LDAP 请求强制使用 SSL 连接,它只能配置为仅对请求 SSL 的应用程序支持 SSL。
安装和配置域控制器证书的基础结构
安装企业 CA
该过程的第一阶段是安装企业 CA 并确认已启用 DomainController 证书模板。
如果尚未在 Active Directory 林中安装企业 CA,请在 Active Directory 林某个域的成员 Windows 2000 服务器中安装企业 CA。有关安装企业 CA 的详细信息,请参阅“Step-by-Step Guide to Setting Up a Certification Authority”(英文),网址是:http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp。
确认域控制器证书模板的可用性
使用下列步骤确认域控制器证书模板是否可用。
• 确认域控制器证书模板是否可用
1. 在服务器中,打开“证书颁发机构”MMC 管理单元。
2. 双击 CA 的名称(例如,Contoso 企业根 CA),然后单击“策略设置”文件夹。
3. 确认右侧窗格列出了 DomainController。
配置自动注册
下面要在每个域的组策略中配置自动注册。
• 在每个域的组策略中配置自动注册
1. 在每个要启用 DC 证书自动注册的域中,使用“组策略编辑器”打开“默认域控制器策略”。
2. 在“计算机配置”下,单击“Windows 设置”。
3. 单击“安全设置”,然后单击“公钥策略”。
4. 单击“自动证书申请设置”。
5. 右键单击“自动证书申请设置”文件夹,在上下文菜单中选择“新建”,然后单击“自动证书申请”。
6. “自动证书申请安装向导”启动。单击“下一步”。
7. 选择申请要使用的证书模板。在本例中,应选择“域控制器”,然后单击“下一步”。
8. 选择 Windows 2000 域中的 CA 来发送证书申请。(在本例中,选择企业根 CA)。每个企业的 CA 可能不止一个。单击“下一步”。
注意:未在 Active Directory 中注册为企业 CA 的 CA 不在此列表中。
9. 单击“完成”创建自动证书申请。刷新 DC 的组策略对象 (GPO) 时即开始证书申请。
分配证书注册权限
最后要为域中的每个域控制器安全组授予注册 DC 证书的权限。
• 为 DC 组授予注册 DC 证书的权限
1. 启动“Active Directory 站点和服务”MMC 管理单元。
2. 单击“查看”菜单,然后单击“显示服务节点”。
3. 双击“服务”节点和“公钥服务”节点,然后双击“证书模板”。
4. 右键单击“DomainController”,单击“属性”,然后选择“安全”选项卡。
注意:CA 域中的域控制器组已经有该模板的注册权限。您必须将注册权限授予林中其他域的所有其他域控制器组。否则,那些 DC 将没有权限,以致无法成功申请 DomainController 证书,其自动注册证书的尝试将失败。
5. 对于每个域中的每个域控制器组,单击“添加”按钮,在“搜索范围”下拉列表框中选择域,在该域中选择“域控制器”组,单击“添加”按钮,然后单击“确定”。
为 LDAP 或 SMTP 测试数字证书
测试通过 SSL 连接的 LDAP 应用程序
一旦您的域控制器能接受 LDAP 请求的 SSL 连接,每个 LDAP 应用程序都必须重新配置为默认使用 SSL 通信(TCP 端口 636)。
在本例中,LDAP 应用程序是 Microsoft Outlook® Express 的通讯簿。Outlook Express 安装在 Windows 2000 工作站中,该工作站不是 Active Directory 林的一部分。本例有助于阐明客户端如何通过配置来信任颁发 DC 证书的 CA。
配置通讯簿
仅适用于由客户端信任的 CA 向 DC 颁发证书的情况。使用下列步骤验证您的 DC 证书是否正常工作。
• 验证域控制器证书是否正常工作
1. 在 DC 中安装了必需的证书后,单击“开始”,指向“搜索”,然后单击“用户”。
2. 在“搜索范围”下拉列表框中,单击“Active Directory”。
3. 右键单击“Active Directory”,然后单击“属性”。
4. 在“Active Directory 属性”对话框中,在“搜索名称”框中输入要连接的 DC 的完全限定域名。例如,CDC-01.NORTHAMERICA.CONTOSO.COM。
如果登录时使用的域帐户有搜索 Active Directory 的权限,则可跳过此步。否则,请在“帐户”和“密码”框中提供该域控制器的用户凭据。例如:
帐户:域名/用户名
密码:password
注意:域名是帐户所在域的名称,用户名是登录时使用的帐户。密码必须是正在使用的帐户的密码。
5. 指定了 DC 和相应凭据之后,单击“高级”选项卡,指定“LDAP 的 SSL 连接”(端口必须设置为 636)。
6. 选择适合 Active Directory 结构的搜索基础,例如 CN=Users、DC=CDC-01、DC=northamerica、DC=corp、DC=contoso、DC=com。
7. 单击“确定”关闭“Active Directory 属性”对话框。
在 Active Directory 中搜索用户
使用下列步骤在 Active Directory 中搜索用户。
• 在 Active Directory 中搜索用户
1. 在“查找用户”对话框中,在“搜索范围”下拉列表框中单击“Active Directory”。
2. 单击“高级”选项卡。
3. 在“定义条件”部分,选择下列搜索条件:
姓名包含 Administrator
4. 单击“添加”,然后单击“开始查找”。
配置 SMTP 复制
如果尚未配置 SMTP 复制(例如,由于复制 DC 要求有 DC 证书),必须在要求该复制的 DC 间建立 SMTP 复制站点链接。
有关配置 SMTP 复制的详细信息,请参阅“Step-by-Step Guide to Setting up ISM-SMTP Replication”(英文),网址是:http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/ismsmtp.asp
• 配置 SMTP 复制
1. 作为有权创建站点链接(也可选择子网)和有权在站点间移动 DC 的用户,启动“Active Directory 站点和服务”MMC 管理单元。
2. 创建新站点。例如,Contoso 方案创建的 Boston 站点。右键单击“站点”文件夹,然后单击“新建站点”。在“名称”框中输入站点名称(如 Boston),然后从下面的列表中选择站点链接对象(如 DEFAULTIPSITELINK 链接)。
3. 单击“确定”。
4. 在左侧窗格中双击“站点间传输”文件夹,右键单击“SMTP”对象,然后单击“新建站点链接”。
5. 在“名称”框中,键入该站点链接的名称(如 East Coast Site Link)。
6. 至少选择两个站点(如 Boston 和 Default-First-Site-Name),以便在站点链接中进行复制,然后单击“确定”。
验证对象连接
使用下列步骤验证对象连接。
• 验证对象连接
1. 双击每个服务器对象,显示各自的“NTDS 设置”对象。
2. 选择每个“NTDS 设置对象”,确保每个“NTDS 设置”对象都有一个从属的“NTDS 连接”对象。
• 如果未在每个“NTDS 设置”对象下方看到“连接”对象,请右键单击“NTDS 设置”对象,选择“所有任务”,然后单击“检查复制拓扑”。该操作将强制“知识一致性检查”(KCC) 检查复制拓扑,进而在两个 DC 之间创建一个“连接”对象。
3. 在两个 DC 间强制复制。右键单击从属于每个“NTDS 设置”对象的“连接”对象,然后单击“立即复制”。
4. 按 F5 键刷新显示内容,或右键单击 NTDS 设置对象并选择“刷新”。现在可以看到“连接”对象了。
SMTP 链接优先于 IP 链接
使用下列步骤使 SMTP 链接优先于 IP 链接。
• 使 SMTP 链接优先于 IP 链接
1. 在“站点间传输”容器中选择“SMTP”。
2. 在结果窗格中,选择要配置的链接对象(即“East Coast Site Link”对象)。右键单击该对象,然后选择“属性”。
注意:该站点链接的成本是 100,也是每个站点链接的默认成本。要使 KCC 优先考虑 SMTP 站点链接,而不是 IP 站点链接,必须为称作“Default-SMTP-Site-Link”对象的站点链接指定较低的成本。
3. 将“Default-SMTP-Site-Link”的成本改为 50,然后单击“确定”。(如有必要,可更改 DEFAULTIPSITELINK 对象的成本,使它大于 50。)
4. 要在两个 DC 间强制复制,右键单击从属于每个“NTDS 设置对象”的“连接对象”,然后单击“立即复制”。
域控制器证书的要求
要支持安全的 LDAP 或 SMTP 站点间 Active Directory 复制,必须在 DC 中安装满足下列要求的证书:
• 数字证书位于本地计算机的个人证书存储中(从程序设计角度看,即计算机的“我的证书”存储)。
• 与证书匹配的私钥位于本地计算机存储中,且与该证书正确关联。私钥绝对不能启用强私钥保护。
• 数字证书中增强的密钥使用扩展包括服务器身份验证 (1.3.6.1.5.5.7.3.1) 对象标识符(所谓的 OID)。
• DC 的 Active Directory 完全限定域名(如 C01.DOMAIN.COM)必须显示在下列位置之一:
• “主题”字段的公用名 (CN)。
• “主题备用名称”扩展中的域名系统 (DNS) 条目
• 证书必须由 DC 和安全 LDAP 客户端信任的 CA 来颁发。信任的建立方法是:配置客户端和服务器,使之信任向颁发证书的 CA 颁发签名证书的根 CA。
更多信息
请参阅 Microsoft 知识库文章 321051 How to Enable LDAP over SSL with a Third-Party Certification Authority(英文)。
请参阅 Microsoft 知识库文章 247078 HOW TO: Enable Secure Socket Layer (SSL) Communication Over LDAP for Windows 2000 Domain Controllers(英文)。
请参阅 Microsoft 知识库文章 296975 Unable to Connect to a Domain Controller by Using LDAP Connection over SSL(英文)。
请参阅 Microsoft 知识库文章 319970 How to Use the Address Book to Test SSL Connectivity(英文)。
请参阅 Microsoft 知识库文章 222962 Microsoft Certificate Authority Is Required to Perform Inter-Site SMTP(英文)。