LDAPS self signed für Testumgebung klappt nicht

[Apex 15]

Hallo

 

für eine eigenständige Testumgebung ohne CA will ich LDAPS bei einem Domänencontroller aktivieren.

 

Dazu mache ich mir mit makecert.exe aus dem Microsoft SDK ein Root CA Zertifikat, danach ein passendes Server Zertifikat für den Zweck 1.3.6.1.5.5.7.3.1 zur Server Authentifizierung.

Das Root CA Zertifikat spiele ich unter Certificates (Local Computer) sowie Certificates - Service (Active Directory Domain Services) ein unter Trusted Root Certification Authorities bzw.  NTDS\Trusted Root Certification Authorities. Das Zertifikat selbst sieht danach passend aus und ist gültig, dieses importiere ich unter Certificates sowie Service (Active Directory Domain Services) unter Personal bzw. NTDS\Personal.

 

Nach einem Neustart erwarte ich nun, dass ich mit ldp.exe eine Verbindung mit Port 636 herstellen kann. Pustekuchen, das geht nicht.

 

Warum, was läuft hier verquer? 

 

Danke

[zahni 550]

Hier gibt es eine Anleitung für OpenSSL:

 

http://www.javaxt.com/Tutorials/Windows/How_to_Enable_LDAPS_in_Active_Directory

 

Ansonten: K.a.  

Geht mit einer  Windows-CA viel einfacher. Nämlich von alleine.

[Apex 15]

Ja, das hätte was. Nur habe ich keine. Wenn ich mir das Prozedere so ansehe, das zum Erfolg geführt hat, dann ändere ich das voraussichtlich bald...

 

Der Artikel hat leider nicht zum Erfolg geführt im Zusammenhang mit LDAPS.

 

Das hier hat dann geklappt, nach vielen Fehlversuchen:

https://blog.jayway.com/2014/09/03/creating-self-signed-certificates-with-makecert-exe-for-development/

 

Die Kurzfassung:

- Benötigt werden die beiden ausführbaren Dateien makecert.exe und pvk2pfx.exe aus dem Microsoft Windows SDK for Windows 7 and .NET Framework 4 

- Mit makecert.exe ein root certificate (Root CA/Wurzelzertifikat) erstellen, um weitere Zertifikate erstellen zu können: 

makecert.exe ^
-n "CN=CARoot" ^
-r ^
-pe ^
-a sha256 ^
-len 4096 ^
-cy authority ^
-sv CARoot.pvk ^
CARoot.cer
pvk2pfx.exe ^
-pvk CARoot.pvk ^
-spc CARoot.cer ^
-pfx CARoot.pfx ^
-po Test123

Den gewünschten Namen für die Root CA eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. 

 

- Mit makecert.exe im zweiten Schritt ein Zertifikat für die Server Authentifizierung erstellen:

makecert.exe ^
-n "CN=fqdn.domaenencontroller.de" ^
-iv CARoot.pvk ^
-ic CARoot.cer ^
-pe ^
-a sha256 ^
-len 4096 ^
-b 01/01/2018 ^
-e 01/01/2028 ^
-sky exchange ^
-eku 1.3.6.1.5.5.7.3.1 ^
-sv %1.pvk ^
%1.cer
pvk2pfx.exe ^
-pvk %1.pvk ^
-spc %1.cer ^
-pfx %1.pfx ^
-po Test123

Den FQDN des Domänencontrollers eingeben und in eine .BAT/.CMD einfügen und ausführen. Es werden 3 Dateien erzeugt in verschiedenen Formaten. Wichtig ist die OID 1.3.6.1.5.5.7.3.1 und die Angabe der CA Root-Datei, die im ersten Schritt erzeugt wurde.

 

Das wars: Im letzten Schritt die beiden Zertifikate an die passende(n) Stellen importieren:

Das Wurzelzertifikat muss in der Zertifikatsverwaltung (MMC>Certificates) in den Zweig Trusted Root Certification Authorities. Das Zertifikat selbst unter Certificates (Local Computer/Personal/Certificates) sowie unter Certificates - Service (Active Directory Domain Services) unter NTDS\Personal importieren.

Dann eine kurze Prüfung mittels ldp.exe durchführen und mit Port 636 verbinden, wenn das klappt und der AD DS antwortet hat man es geschafft.

 

Ich hoffe das hilft jemanden weiter, mir haben 99% aller Anleitungen leider nicht geholfen außer der von Elizabeth Andrews (siehe Link oben).

bearbeitet 21. Februar 2018 von Apex

[NilsK 2.930]

Moin,

 

wichtig ist vor allem, dass die anfragenden Clients dem Zertifikat vertrauen. Das Root-Zertifikat muss also an die Clients verteilt werden. Letztlich genau wie bei TLS-Verbindungen zu einem Webserver.

 

Das kann man in so einem Fall per GPO erreichen. Eine (gut entworfene) Windows-PKI kann das deutlich erleichtern. Mit makecert würde ich wirklich nicht arbeiten.

 

Gruß, Nils

 

[Apex 15]

Nicht mal für eine Test- oder Entwicklungsumgebung?

Am 2/19/2018 um 15:22 schrieb Apex:

für eine eigenständige Testumgebung ohne CA will ich LDAPS bei einem Domänencontroller aktivieren.

Das für produktive Umgebung eine vertrauenswürdige CA oder eine eigene PKI der beste Weg ist, sollte klar sein.

[zahni 550]

Auch in einer Test-Umgebung ist eine CA schnell  installiert...

[NilsK 2.930]

Moin,

 

vor 13 Stunden schrieb Apex:

Nicht mal für eine Test- oder Entwicklungsumgebung?

 

wenn du makecert zum Testen verwenden willst, tu das. Nur musst du dann eben mit den Eigenheiten dieser (uralten) Software leben. Die Ergebnisse lassen sich dann halt nur eingeschränkt auf die Praxis übertragen.

 

Gruß, Nils

 

[Apex 15]

Nochmal zur Erläuterung: Ich teste in einer isolierten Domäne (1 DC) ca. 20 bis 25 mal eine Anbindung einer Software gegen AD/LDAP. Das hier LDAPS verwendet wird ist nur der Transportweg und für das Vorhaben uninteressant: Ich teste nichts in Richtung Verschlüsselung, Schlüssellängen, Encryption Types etc.

Es geht wirklich nur um die AD Anbindung an einen DC in einer Testumgebung, die ca. 2 Tage Bestand hat.

Für das Vorhaben finde ich die Methode ausreichend.

 

Wenn die zwei Skripte anderen helfen, dann bin ich schon zufrieden.   

[NilsK 2.930]

Moin,

 

haben wir auch verstanden. In sofern noch mal ausdrücklich danke dafür.

 

Ergänzend sei uns aber trotzdem der Hinweis erlaubt, dass man mit einer Windows-CA vermutlich nicht mehr Aufwand in der Testumgebung gehabt hätte. Wie immer bei Zertifikaten ist es eben wichtig, dass man die Abläufe und Hintergründe ausreichend versteht, dann hat man eine Chance, auch die Eigenheiten des jeweiligen Tools zu begreifen.

 

Gruß, Nils