如何启用活动目录SSL连接

ad:http://www.cnblogs.com/chnking/archive/2006/03/07/344506.aspx

Windows2003 Server的活动目录缺省是不提供SSL连接的,原因是因为没有一个有效的证书,为了启用SSL,必须给AD安装一个正确的证书,主要安装步骤:

1、申请一个证书

  方法1:使用以下模版,结合certreq -new request.inf request.req命令生成证书请求文件request.req:

java 代码
 
  1. ----------------- request.inf -----------------    
  2.   
  3. [Version]    
  4.   
  5. Signature="$Windows NT$   
  6.  
  7. [NewRequest]  
  8.  
  9. Subject = "CN=ldap.comwave.com,OU=BPM,O=Comwave,L=xiamen,S=fujian,C=CN" ;注意,cn必须与DC的fqdn相同  
  10. KeySpec = 1   
  11. KeyLength = 1024   
  12. ; Can be 1024, 2048, 4096, 8192, or 16384.   
  13. ; Larger key sizes are more secure, but have   
  14. ; a greater impact on performance.   
  15. Exportable = TRUE   
  16. MachineKeySet = TRUE   
  17. SMIME = False   
  18. PrivateKeyArchive = FALSE   
  19. UserProtected = FALSE   
  20. UseExistingKeySet = FALSE   
  21. ProviderName = "Microsoft RSA SChannel Cryptographic Provider"    
  22. ProviderType = 12  
  23. RequestType = PKCS10    
  24. KeyUsage = 0xa0    
  25.   
  26. [EnhancedKeyUsageExtension]    
  27.   
  28. OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication   
  29.   
  30. ;-----------------------------------------------  

 

然后向CA证书中心请求证书,结果保存为certnew.cer,注意必须是base64编码,不能是der编码

方法2:使用DC上的IIS发出证书请求(注意公共名必须为DC的fqdn),然后向CA证书中心请求证书,结果保存为certnew.cer,编码必须为base64编码;

2、安装证书:证书申请完后,在DC上执行certreq -accept certnew.cer安装证书

3、检查证书:启动mmc,添加证书单元-本地计算机,然后查看证书-个人,正常的话,这里有一个刚刚安装的证书;

4、如果AD环境没有CA证书服务器,而是向第三方CA申请的证书,必须把第三放的CA根证书添加到“受信任的根证书颁发机构”的证书列表里头。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值