`
balaschen
  • 浏览: 190180 次
  • 性别: Icon_minigender_1
社区版块
存档分类
最新评论

如何启用活动目录SSL连接

活动IISperformanceMicrosoftWindows 
阅读更多

ad:http://www.cnblogs.com/chnking/archive/2006/03/07/344506.aspx

Windows2003 Server的活动目录缺省是不提供SSL连接的,原因是因为没有一个有效的证书,为了启用SSL,必须给AD安装一个正确的证书,主要安装步骤:

1、申请一个证书

  方法1:使用以下模版,结合certreq -new request.inf request.req命令生成证书请求文件request.req:

java 代码
 
  1. ----------------- request.inf -----------------    
  2.   
  3. [Version]    
  4.   
  5. Signature="$Windows NT$   
  6.  
  7. [NewRequest]  
  8.  
  9. Subject = "CN=ldap.comwave.com,OU=BPM,O=Comwave,L=xiamen,S=fujian,C=CN" ;注意,cn必须与DC的fqdn相同  
  10. KeySpec = 1   
  11. KeyLength = 1024   
  12. ; Can be 1024, 2048, 4096, 8192, or 16384.   
  13. ; Larger key sizes are more secure, but have   
  14. ; a greater impact on performance.   
  15. Exportable = TRUE   
  16. MachineKeySet = TRUE   
  17. SMIME = False   
  18. PrivateKeyArchive = FALSE   
  19. UserProtected = FALSE   
  20. UseExistingKeySet = FALSE   
  21. ProviderName = "Microsoft RSA SChannel Cryptographic Provider"    
  22. ProviderType = 12  
  23. RequestType = PKCS10    
  24. KeyUsage = 0xa0    
  25.   
  26. [EnhancedKeyUsageExtension]    
  27.   
  28. OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication   
  29.   
  30. ;-----------------------------------------------  

 

然后向CA证书中心请求证书,结果保存为certnew.cer,注意必须是base64编码,不能是der编码

方法2:使用DC上的IIS发出证书请求(注意公共名必须为DC的fqdn),然后向CA证书中心请求证书,结果保存为certnew.cer,编码必须为base64编码;

2、安装证书:证书申请完后,在DC上执行certreq -accept certnew.cer安装证书

3、检查证书:启动mmc,添加证书单元-本地计算机,然后查看证书-个人,正常的话,这里有一个刚刚安装的证书;

4、如果AD环境没有CA证书服务器,而是向第三方CA申请的证书,必须把第三放的CA根证书添加到“受信任的根证书颁发机构”的证书列表里头。

 

分享到:
| AD User重要属性
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics