Настраиваем LDAPS на контролере домена Active Directory

Microsoft Active Directory поддерживает протокол LDAPv3. С его помощью можно авторизовать пользователей из сторонних приложений. Чтобы обеспечить безопасность при передаче учетной информации серверу необходимо использовать LDAPS (SSL). В этой статье мы рассмотрим настройку контролера доме, для обеспечения поддержки SSL.

Для того, чтобы SSL нормально функционировал нам потребуются сертификат.

Проверяем наличие сертификата

Для начала будет полезно проверить наличие сертификата в вашем домене, для этого запустим на нашем ПК утилиту ldp.exe.

Она не поставляется с Windows 10, чтобы использовать её, вам придется установить компоненты администрирования RSAT.

Нажмите Подключение — подключить, заполните окно аналогично рисунку.

Используйте имя домена, не сервера — тогда сервер для подключения будет выбран автоматически.

Если в ответ вы получили сообщение:

Это означает, что либо недоступен ни один контролер домена, либо неправильно настроен DNS, либо ПК не является членом домена, либо не установлен SSL сертификат на контролере домена.

Если сообщение похоже на такое:

Это значит, что SSL сертификат уже установлен посредством Службы сертификатов Active Directory и дальнейших действий не потребуется.

Установка OpenSSL

В этой статье я буду использовать виртуальный сервер, созданный для цикла статей.

Имя домена — altununvv.local

Имя контролера домена – addc1.altuninvv.local

Виртуальная организация — Altunin Soft

Скачаем свежую версию OpenSSL — вы можете скачать её отсюда — https://slproweb.com/products/Win32OpenSSL.html

Я рекомендую все команды выполнять сразу на сервере, но вы можете так же работать и на вашем ПК, если используете MSYS2.

Те, кто использует, как и я, MSYS2, могут ввести в консоли:

Создаем локальный центр сертификации

Создадим папку и назовем её CA.

Создадим в ней файл ca.conf с содержимым:

Сгенерируем приватный ключ для CA

Укажите пароль для ключа, в нашем случае это будет Pa$$w0rd :

Создадим сертификат для нашего CA:

Просто нажимайте Enter все поля будут заполнены автоматически!

Теперь нужно импортировать созданный сертификат в хранилище доверенных CA на нашем контролере домена.

Скопируем файл ca.crt на контролер домена. Откроем PowerShell от имени администратора, перейдем в папку с файлом ca.cert и введем команду:

Сертификат успешно добавлен.

Теперь пришло время создать запрос на клиентский сертификат, который будет использовать контролер домена.

На контролере домена создадим текстовый файл — req.txt

Выполним запрос на сертификат:

Скопируем созданный файл на свой ПК в папку нашего CA

В папке CA создадим файл v3ext.txt с содержимым:

Сгенерируем сертификат для addc1

Введите пароль закрытого ключа: Pa$$w0rd

Скопируем файл с сертификатом addc1-server.crt обратно на контролер домена addc1 и применим сертификат:

Из PowerShell проверим наличие сертификата:

Теперь вы должны перегрузить контролер домена, чтобы все настройки вступили в силу.

Обратите внимание, чтобы подключиться к серверу вы должны указать его полное доменное имя, в нашем случае:

Если ПК входит в состав домена altuninvv.local, вы можете использовать для подключение его имя:

Тогда контролер домена для подключения будет выбран автоматически из списка доступных, возможно, это будет работать только, при наличии Службы сертификатов на одном из серверов в AD!

Так как мой ПК не входит в домен altuninvv.local и не использует его DNS-сервера, я прописал в файле

Проверяем подключение

Для проверки подключения мы будет использовать утилиту ldp.exe.

Она не поставляется с Windows 10, чтобы использовать её, вам придется установить компоненты администрирования RSAT.

Запустим ldp.exe, откроется окно:

В этом окне выберите подключение – подключить

Установим галочку SSL

Нажмем Ок, будет осуществлено подключение и выведена дополнительная информация:

Теперь мы может сделать bind к серверу

Выберите Подключение – Привязка

Установите: Простая привязка

Будет выведено сообщение:

Это означает, что подключение прошло успешно.

Далее выберем пункт меню Вид – Дерево

И в окне выберем — DC=altuninvv,DC=local

Откроется дерево с разделами домена,

Таким образом вы можете просматривать каталог AD через LDAP по SSL.

Заключение

Сегодня мы рассмотрели подключение к контролеру домена AD с использованием протокола LDAP по SSL.

Мы создали свой локальный центр сертификации CA с помощью OpenSSL.

Был выпущен сертификат и установлен на контролере домена.

Настраиваем LDAPS на контролере домена Active Directory

Microsoft Active Directory поддерживает протокол LDAPv3. С его помощью можно авторизовать пользователей из сторонних приложений. Чтобы обеспечить безопасность при передаче учетной информации серверу необходимо использовать LDAPS (SSL). В этой статье мы рассмотрим настройку контролера доме, для обеспечения поддержки SSL.

Для того, чтобы SSL нормально функционировал нам потребуются сертификат.

Проверяем наличие сертификата

Для начала будет полезно проверить наличие сертификата в вашем домене, для этого запустим на нашем ПК утилиту ldp.exe.

Она не поставляется с Windows 10, чтобы использовать её, вам придется установить компоненты администрирования RSAT.

Нажмите Подключение — подключить, заполните окно аналогично рисунку.

Используйте имя домена, не сервера — тогда сервер для подключения будет выбран автоматически.

Если в ответ вы получили сообщение:

Это означает, что либо недоступен ни один контролер домена, либо неправильно настроен DNS, либо ПК не является членом домена, либо не установлен SSL сертификат на контролере домена.

Если сообщение похоже на такое:

Это значит, что SSL сертификат уже установлен посредством Службы сертификатов Active Directory и дальнейших действий не потребуется.

Установка OpenSSL

В этой статье я буду использовать виртуальный сервер, созданный для цикла статей.

Имя домена — altununvv.local

Имя контролера домена – addc1.altuninvv.local

Виртуальная организация — Altunin Soft

Скачаем свежую версию OpenSSL — вы можете скачать её отсюда — https://slproweb.com/products/Win32OpenSSL.html

Я рекомендую все команды выполнять сразу на сервере, но вы можете так же работать и на вашем ПК, если используете MSYS2.

Те, кто использует, как и я, MSYS2, могут ввести в консоли:

Создаем локальный центр сертификации

Создадим папку и назовем её CA.

Создадим в ней файл ca.conf с содержимым:

Сгенерируем приватный ключ для CA

Укажите пароль для ключа, в нашем случае это будет Pa$$w0rd :

Создадим сертификат для нашего CA:

Просто нажимайте Enter все поля будут заполнены автоматически!

Теперь нужно импортировать созданный сертификат в хранилище доверенных CA на нашем контролере домена.

Скопируем файл ca.crt на контролер домена. Откроем PowerShell от имени администратора, перейдем в папку с файлом ca.cert и введем команду:

Сертификат успешно добавлен.

Теперь пришло время создать запрос на клиентский сертификат, который будет использовать контролер домена.

На контролере домена создадим текстовый файл — req.txt

Выполним запрос на сертификат:

Скопируем созданный файл на свой ПК в папку нашего CA

В папке CA создадим файл v3ext.txt с содержимым:

Сгенерируем сертификат для addc1

Введите пароль закрытого ключа: Pa$$w0rd

Скопируем файл с сертификатом addc1-server.crt обратно на контролер домена addc1 и применим сертификат:

Из PowerShell проверим наличие сертификата:

Теперь вы должны перегрузить контролер домена, чтобы все настройки вступили в силу.

Обратите внимание, чтобы подключиться к серверу вы должны указать его полное доменное имя, в нашем случае:

Если ПК входит в состав домена altuninvv.local, вы можете использовать для подключение его имя:

Тогда контролер домена для подключения будет выбран автоматически из списка доступных, возможно, это будет работать только, при наличии Службы сертификатов на одном из серверов в AD!

Так как мой ПК не входит в домен altuninvv.local и не использует его DNS-сервера, я прописал в файле

Проверяем подключение

Для проверки подключения мы будет использовать утилиту ldp.exe.

Она не поставляется с Windows 10, чтобы использовать её, вам придется установить компоненты администрирования RSAT.

Запустим ldp.exe, откроется окно:

В этом окне выберите подключение – подключить

Установим галочку SSL

Нажмем Ок, будет осуществлено подключение и выведена дополнительная информация:

Теперь мы может сделать bind к серверу

Выберите Подключение – Привязка

Установите: Простая привязка

Будет выведено сообщение:

Это означает, что подключение прошло успешно.

Далее выберем пункт меню Вид – Дерево

И в окне выберем — DC=altuninvv,DC=local

Откроется дерево с разделами домена,

Таким образом вы можете просматривать каталог AD через LDAP по SSL.

Заключение

Сегодня мы рассмотрели подключение к контролеру домена AD с использованием протокола LDAP по SSL.

Мы создали свой локальный центр сертификации CA с помощью OpenSSL.

Был выпущен сертификат и установлен на контролере домена.

Руководство по настройке защищенного протокола LDAP для управляемого домена доменных служб Azure AD Tutorial: Configure secure LDAP for an Azure Active Directory Domain Services managed domain

Для взаимодействия с управляемым доменом доменных служб (DS) Azure AD используется протокол LDAP. To communicate with your Azure Active Directory Domain Services (Azure AD DS) managed domain, the Lightweight Directory Access Protocol (LDAP) is used. По умолчанию трафик LDAP не шифруется, что создает проблему безопасности во многих средах. By default, the LDAP traffic isn’t encrypted, which is a security concern for many environments.

С помощью доменных служб Azure AD вы можете настроить для управляемого домена протокол LDAPS. With Azure AD DS, you can configure the managed domain to use secure Lightweight Directory Access Protocol (LDAPS). При использовании защищенного протокола LDAP трафик шифруется. When you use secure LDAP, the traffic is encrypted. Защищенный протокол LDAP также называется «LDAP через SSL или TLS». Secure LDAP is also known as LDAP over Secure Sockets Layer (SSL) / Transport Layer Security (TLS).

В этом учебнике показано, как настроить протокол LDAPS для управляемого домена Azure AD DS. This tutorial shows you how to configure LDAPS for an Azure AD DS managed domain.

В этом руководстве описано следующее: In this tutorial, you learn how to:

• Создание цифрового сертификата для использования с Azure AD DS. Create a digital certificate for use with Azure AD DS
• Включение защищенного протокола LDAP для доменных служб Azure AD DS. Enable secure LDAP for Azure AD DS
• Настройка защищенного протокола LDAP для работы через общедоступный Интернет. Configure secure LDAP for use over the public internet
• Привязка и тестирование защищенного протокола LDAP для управляемого домена Bind and test secure LDAP for a managed domain

Если у вас еще нет подписки Azure, создайте учетную запись Azure, прежде чем начинать работу. If you don’t have an Azure subscription, create an account before you begin.

Предварительные требования Prerequisites

Для работы с этим учебником требуются следующие ресурсы и разрешения: To complete this tutorial, you need the following resources and privileges:

• Активная подписка Azure. An active Azure subscription.
  • Если у вас еще нет подписки Azure, создайте учетную запись. If you don’t have an Azure subscription, create an account.
• Связанный с вашей подпиской клиент Azure Active Directory, синхронизированный с локальным или облачным каталогом. An Azure Active Directory tenant associated with your subscription, either synchronized with an on-premises directory or a cloud-only directory.
  • Если потребуется, создайте клиент Azure Active Directory или свяжите подписку Azure со своей учетной записью. If needed, create an Azure Active Directory tenant or associate an Azure subscription with your account.
• Управляемый домен доменных служб Azure Active Directory, включенный и настроенный в клиенте Azure AD. An Azure Active Directory Domain Services managed domain enabled and configured in your Azure AD tenant.
  • При необходимости создайте и настройте управляемый домен доменных служб Azure Active Directory. If needed, create and configure an Azure Active Directory Domain Services managed domain.
• Средство LDP.exe, установленное на компьютере. The LDP.exe tool installed on your computer.
  • При необходимости установите средства удаленного администрирования сервера (RSAT) для доменных служб Active Directory и LDAP. If needed, install the Remote Server Administration Tools (RSAT) for Active Directory Domain Services and LDAP.

Вход на портал Azure Sign in to the Azure portal

В этом руководстве объясняется, как настроить защищенный протокол LDAP для управляемого домена с помощью портала Azure. In this tutorial, you configure secure LDAP for the managed domain using the Azure portal. Чтобы начать работу, войдите на портал Azure. To get started, first sign in to the Azure portal.

Создание сертификата для защищенного протокола LDAP Create a certificate for secure LDAP

Чтобы использовать защищенный протокол LDAP, нужен цифровой сертификат для шифрования при обмене данными. To use secure LDAP, a digital certificate is used to encrypt the communication. Этот цифровой сертификат применяется к управляемому домену и позволяет таким средствам, как LDP.exe, использовать безопасное зашифрованное соединение при отправке запросов к данным. This digital certificate is applied to your managed domain, and lets tools like LDP.exe use secure encrypted communication when querying data. У вас есть два способа создать сертификат для доступа управляемому домену через защищенный протокол LDAP. There are two ways to create a certificate for secure LDAP access to the managed domain:

• Сертификат общедоступного ЦС или ЦС предприятия. A certificate from a public certificate authority (CA) or an enterprise CA.
  • Если ваша организация получает сертификаты из общедоступного ЦС, получите сертификат для защищенного протокола LDAP в том же ЦС. If your organization gets certificates from a public CA, get the secure LDAP certificate from that public CA. Если вы используете в организации ЦС предприятия, получите сертификат для защищенного протокола LDAP в том же ЦС. If you use an enterprise CA in your organization, get the secure LDAP certificate from the enterprise CA.
  • Общедоступный ЦС работает только при наличии настраиваемого DNS-имени для управляемого домена. A public CA only works when you use a custom DNS name with your managed domain. Если доменное имя DNS для управляемого домена заканчивается на .onmicrosoft.com, вы не сможете создать цифровой сертификат для защиты связи с этим доменом по умолчанию. If the DNS domain name of your managed domain ends in .onmicrosoft.com, you can’t create a digital certificate to secure the connection with this default domain. Домен .onmicrosoft.com принадлежит корпорации Майкрософт, поэтому общедоступный ЦС не будет выдавать для него сертификаты. Microsoft owns the .onmicrosoft.com domain, so a public CA won’t issue a certificate. Для данного сценария создайте самозаверяющий сертификат и используйте его для настройки защищенного протокола LDAP. In this scenario, create a self-signed certificate and use that to configure secure LDAP.
• Самозаверяющий сертификат, который вы можете создать самостоятельно. A self-signed certificate that you create yourself.
  • Этот подход удобен для тестирования, и в этом руководстве мы используем именно его. This approach is good for testing purposes, and is what this tutorial shows.

Создаваемый или запрашиваемый сертификат должен отвечать приведенным ниже требованиям. The certificate you request or create must meet the following requirements. Управляемый домен будет работать неправильно, если вы укажете недопустимый сертификат при включении защищенного протокола LDAP. Your managed domain encounters problems if you enable secure LDAP with an invalid certificate:

• Надежный издатель. Сертификат должен быть выдан центром сертификации, являющимся доверенным для компьютеров, подключающихся к управляемому домену по защищенному протоколу LDAP. Trusted issuer — The certificate must be issued by an authority trusted by computers connecting to the managed domain using secure LDAP. Это может быть общедоступный ЦС или ЦС предприятия, который является доверенным для этих компьютеров. This authority may be a public CA or an Enterprise CA trusted by these computers.
• Срок действия. Сертификат должен быть допустимым в течение по крайней мере следующих 3–6 месяцев. Lifetime — The certificate must be valid for at least the next 3-6 months. Защищенный доступ LDAP к управляемому домену не будет прерван после истечения срока действия сертификата. Secure LDAP access to your managed domain is disrupted when the certificate expires.
• Имя субъекта. Имя субъекта сертификата должно состоять из имени управляемого домена. Subject name — The subject name on the certificate must be your managed domain. Например, если имя домена — aaddscontoso.com, имя субъекта сертификата должно быть * .aaddscontoso.com. For example, if your domain is named aaddscontoso.com, the certificate’s subject name must be *.aaddscontoso.com.
  • DNS-имя или альтернативное имя субъекта сертификата должно означать универсальный сертификат, чтобы защищенный протокол LDAP правильно работал в доменных службах Azure AD. The DNS name or subject alternate name of the certificate must be a wildcard certificate to ensure the secure LDAP works properly with the Azure AD Domain Services. Контроллеры домена используют случайные имена и их можно свободно удалять и добавлять в соответствии с требованиями к доступности службы. Domain Controllers use random names and can be removed or added to ensure the service remains available.
• Использование ключа. Сертификат необходимо настроить для цифровых подписей и шифрования ключей. Key usage — The certificate must be configured for digital signatures and key encipherment.
• Назначение сертификата. Сертификат должен быть допустимым для аутентификации на сервере TLS. Certificate purpose — The certificate must be valid for TLS server authentication.

Существует несколько средств для создания самозаверяющего сертификата, например OpenSSL, Keytool, MakeCert, командлет New-SelfSignedCertificate и т. д. There are several tools available to create self-signed certificate such as OpenSSL, Keytool, MakeCert, New-SelfSignedCertificate cmdlet, etc.

Для целей этого руководства мы создадим самозаверяющий сертификат для защищенного протокола LDAP, используя командлет New-SelfSignedCertificate. In this tutorial, let’s create a self-signed certificate for secure LDAP using the New-SelfSignedCertificate cmdlet.

Откройте окно PowerShell с правами администратора и выполните приведенные ниже команды. Open a PowerShell window as Administrator and run the following commands. Замените переменную $dnsName DNS-именем, которое используется для управляемого домена, например aaddscontoso.com: Replace the $dnsName variable with the DNS name used by your own managed domain, such as aaddscontoso.com:

В этом примере выходных данных сообщается, что сертификат успешно создан и сохранен в локальном хранилище сертификатов (LocalMachine\MY): The following example output shows that the certificate was successfully generated and is stored in the local certificate store (LocalMachine\MY):

Выбор и экспорт нужных сертификатов Understand and export required certificates

Для защищенного протокола LDAP сетевой трафик шифруется с использованием инфраструктуры открытых ключей (PKI). To use secure LDAP, the network traffic is encrypted using public key infrastructure (PKI).

• Закрытый ключ применяется к управляемому домену. A private key is applied to the managed domain.
  • Этот закрытый ключ используется для расшифровки трафика защищенного протокола LDAP. This private key is used to decrypt the secure LDAP traffic. Закрытый ключ следует применять только к управляемому домену, не распространяя его на клиентские компьютеры. The private key should only be applied to the managed domain and not widely distributed to client computers.
  • Сертификат, который содержит закрытый ключ, использует файл в формате PFX. A certificate that includes the private key uses the .PFX file format.
  • При экспорте сертификата необходимо указать алгоритм шифрования TripleDES-SHA1. When exporting the certificate, you must specify the TripleDES-SHA1 encryption algorithm. Это применимо только к PFX-файлу и не влияет на алгоритм, используемый самим сертификатом. This is applicable to the .pfx file only and does not impact the algorithm used by the certificate itself. Обратите внимание, что параметр TripleDES-SHA1 доступен только начиная с Windows Server 2016. Note that the TripleDES-SHA1 option is available only beginning with Windows Server 2016.
• Открытый ключ применяется к клиентским компьютерам. A public key is applied to the client computers.
  • Этот открытый ключ используется для шифрования трафика защищенного протокола LDAP. This public key is used to encrypt the secure LDAP traffic. Открытый ключ можно распространять на клиентские компьютеры. The public key can be distributed to client computers.
  • Сертификаты без закрытого ключа используют файл в формате CER. Certificates without the private key use the .CER file format.

Эта пара закрытого и открытого ключей гарантирует, что взаимодействие будет возможно только между теми компьютерами, для которых вы его настроите. These two keys, the private and public keys, make sure that only the appropriate computers can successfully communicate with each other. Если вы используете общедоступный ЦС или ЦС предприятия, вам будет выдан сертификат с закрытым ключом, который можно применить к управляемому домену. If you use a public CA or enterprise CA, you are issued with a certificate that includes the private key and can be applied to a managed domain. Открытый ключ должен быть известен клиентским компьютерам и настроен на них как доверенный. The public key should already be known and trusted by client computers.

В рамках этого руководства вы уже создали самозаверяющий сертификат с закрытым ключом, и теперь примените его закрытый и общедоступный компоненты. In this tutorial, you created a self-signed certificate with the private key, so you need to export the appropriate private and public components.

Экспорт сертификата для Azure AD DS Export a certificate for Azure AD DS

Прежде чем применять для управляемого домена цифровой сертификат, созданный на предыдущем шаге, экспортируйте PFX-файл сертификата, который содержит закрытый ключ. Before you can use the digital certificate created in the previous step with your managed domain, export the certificate to a .PFX certificate file that includes the private key.

Откройте диалоговое окно Выполнить, нажав клавиши Windows + R. To open the Run dialog, select the Windows + R keys.

Откройте консоль управления (MMC), введя команду mmc в диалоговом окне Выполнить, а затем щелкните ОК. Open the Microsoft Management Console (MMC) by entering mmc in the Run dialog, then select OK.

В окне Контроль учетных записей пользователей щелкните Да, чтобы запустить MMC от имени администратора. On the User Account Control prompt, then select Yes to launch MMC as administrator.

В меню Файл выберите Добавить или удалить оснастку. . From the File menu, select Add/Remove Snap-in.

В мастере Оснастка диспетчера сертификатов выберите Учетная запись компьютера и щелкните Далее. In the Certificates snap-in wizard, choose Computer account, then select Next.

На странице Выбор компьютера выберите Локальный компьютер (на котором выполняется консоль) и щелкните Готово. On the Select Computer page, choose Local computer: (the computer this console is running on), then select Finish.

В диалоговом окне Добавление и удаление оснасток нажмите кнопку ОК, чтобы добавить оснастку «Сертификаты» в MMC. In the Add or Remove Snap-ins dialog, select OK to add the certificates snap-in to MMC.

В окне MMC разверните узел Корень консоли. In the MMC window, expand Console Root. Щелкните Сертификаты (локальный компьютер) , затем последовательно разверните узлы Личное и Сертификаты. Select Certificates (Local Computer), then expand the Personal node, followed by the Certificates node.

Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. The self-signed certificate created in the previous step is shown, such as aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт. Right-select this certificate, then choose All Tasks > Export.

В мастере экспорта сертификатов щелкните Далее. In the Certificate Export Wizard, select Next.

Необходимо экспортировать закрытый ключ для сертификата. The private key for the certificate must be exported. Включение защищенного протокола LDAP для управляемого домена завершится ошибкой, если экспортируемый сертификат не содержит закрытого ключа. If the private key is not included in the exported certificate, the action to enable secure LDAP for your managed domain fails.

На странице Экспорт закрытого ключа выберите Да, экспортировать закрытый ключ и щелкните Далее. On the Export Private Key page, choose Yes, export the private key, then select Next.

Управляемые домены поддерживают для файла сертификата только формат PFX, который содержит закрытый ключ. Managed domains only support the .PFX certificate file format that includes the private key. Не экспортируйте сертификат в формате CER-файла, который не содержит закрытого ключа. Don’t export the certificate as .CER certificate file format without the private key.

На странице Формат экспортируемого файла для экспортируемого сертификата установите переключатель в положение Файл обмена личной информацией — PKCS #12 (.PFX) . On the Export File Format page, select Personal Information Exchange — PKCS #12 (.PFX) as the file format for the exported certificate. Установите флажок Включить, по возможности, все сертификаты в путь сертификации: Check the box for Include all certificates in the certification path if possible:

Так как этот сертификат используется для шифровки данных, необходимо тщательно контролировать доступ к нему. As this certificate is used to decrypt data, you should carefully control access. Для защиты закрытого ключа сертификата можно использовать пароль. A password can be used to protect the use of the certificate. Без правильного пароля сертификат не удастся применить к службе. Without the correct password, the certificate can’t be applied to a service.

На странице Безопасность выберите вариант Пароль для защиты PFX-файла сертификата. On the Security page, choose the option for Password to protect the .PFX certificate file. Для шифрования необходимо использовать алгоритм TripleDES-SHA1. The encryption algorithm must be TripleDES-SHA1. Введите и подтвердите пароль, а затем щелкните Далее. Enter and confirm a password, then select Next. Этот пароль вы примените при работе со следующим разделом, чтобы включить защищенный протокол LDAP для управляемого домена. This password is used in the next section to enable secure LDAP for your managed domain.

При экспорте с помощью командлета PowerShell Export-PfxCertificate необходимо передать флаг -CryptoAlgorithmOption с TripleDES_SHA1. If you export using the PowerShell export-pfxcertificate cmdlet, you need to pass the -CryptoAlgorithmOption flag using TripleDES_SHA1.

На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds.pfx. On the File to Export page, specify the file name and location where you’d like to export the certificate, such as C:\Users\accountname\azure-ad-ds.pfx. Запомните пароль и расположение PFX-файла, так как эти сведения потребуются при дальнейшей работе. Keep a note of the password and location of the .PFX file as this information would be required in next steps.

На следующей странице щелкните Готово, чтобы экспортировать сертификат в PFX-файл. On the review page, select Finish to export the certificate to a .PFX certificate file. После успешного экспорта сертификата появится диалоговое окно с подтверждением. A confirmation dialog is displayed when the certificate has been successfully exported.

Не закрывайте окно MMC, которое пригодится нам в следующем разделе. Leave the MMC open for use in the following section.

Экспорт сертификата для клиентских компьютеров Export a certificate for client computers

На клиентских компьютерах необходимо настроить доверие к издателю сертификата для защищенного протокола LDAP, чтобы подключаться к управляемому домену по протоколу LDAPS. Client computers must trust the issuer of the secure LDAP certificate to be able to connect successfully to the managed domain using LDAPS. Клиентским компьютерам требуется сертификат для успешного шифрования данных, которые будут расшифровываться в Azure AD DS. The client computers need a certificate to successfully encrypt data that is decrypted by Azure AD DS. Если вы используете общедоступный ЦС, компьютер будет автоматически доверять издателям сертификатов и иметь соответствующий сертификат. If you use a public CA, the computer should automatically trust these certificate issuers and have a corresponding certificate.

В рамках этого руководства вы используете самозаверяющий сертификат, который создали вместе с закрытым ключом на предыдущем шаге. In this tutorial you use a self-signed certificate, and generated a certificate that includes the private key in the previous step. Теперь нам нужно экспортировать самозаверяющий сертификат и установить его в хранилище доверенных сертификатов на клиентском компьютере. Now let’s export and then install the self-signed certificate into the trusted certificate store on the client computer:

Вернитесь в консоль MMC и откройте хранилище Сертификаты (локальный компьютер) > Личные > Сертификаты. Go back to the MMC for Certificates (Local Computer) > Personal > Certificates store. Здесь вы увидите самозаверяющий сертификат, созданный на предыдущем шаге, например aaddscontoso.com. The self-signed certificate created in a previous step is shown, such as aaddscontoso.com. Щелкните этот сертификат правой кнопкой мыши и выберите Все задачи > Экспорт. Right-select this certificate, then choose All Tasks > Export.

В мастере экспорта сертификатов щелкните Далее. In the Certificate Export Wizard, select Next.

Поскольку для клиентов закрытый ключ не требуется, на странице Экспорт закрытого ключа выберите Нет, не экспортировать закрытый ключ и щелкните Далее. As you don’t need the private key for clients, on the Export Private Key page choose No, do not export the private key, then select Next.

На странице Формат экспортируемого файла для экспортируемого сертификата выберите Файлы X.509 (.CER) в кодировке Base-64. On the Export File Format page, select Base-64 encoded X.509 (.CER) as the file format for the exported certificate:

На странице Файл для экспорта укажите имя и расположение файла, в который вы будете экспортировать сертификат, например C:\Users\accountname\azure-ad-ds-client.cer. On the File to Export page, specify the file name and location where you’d like to export the certificate, such as C:\Users\accountname\azure-ad-ds-client.cer.

На следующей странице щелкните Готово, чтобы экспортировать сертификат в CER-файл. On the review page, select Finish to export the certificate to a .CER certificate file. После успешного экспорта сертификата появится диалоговое окно с подтверждением. A confirmation dialog is displayed when the certificate has been successfully exported.

Теперь сертификат в формате CER-файла можно распространять на клиентские компьютеры, которые должны доверять защищенному подключению LDAP к управляемому домену. The .CER certificate file can now be distributed to client computers that need to trust the secure LDAP connection to the managed domain. Давайте установим сертификат на локальном компьютере. Let’s install the certificate on the local computer.

Откройте проводник и перейдите к расположению, в котором вы сохранили файла сертификата в формате CER, например C:\Users\accountname\azure-ad-ds-client.cer. Open File Explorer and browse to the location where you saved the .CER certificate file, such as C:\Users\accountname\azure-ad-ds-client.cer.

Щелкните CER-файл сертификата правой кнопкой мыши, а затем выберите Установить сертификат. Right-select the .CER certificate file, then choose Install Certificate.

В мастере импорта сертификатов выберите вариант для сохранения сертификата на локальном компьютере, а затем щелкните Далее. In the Certificate Import Wizard, choose to store the certificate in the Local machine, then select Next:

При появлении запроса выберите Да, чтобы разрешить компьютеру вносить изменения. When prompted, choose Yes to allow the computer to make changes.

Выберите Автоматически выбрать хранилище на основе типа сертификата, а затем щелкните Далее. Choose to Automatically select the certificate store based on the type of certificate, then select Next.

На следующей странице щелкните Готово, чтобы импортировать CER-файл сертификата. On the review page, select Finish to import the .CER certificate. После успешного импорта сертификата появится диалоговое окно с подтверждением. file A confirmation dialog is displayed when the certificate has been successfully imported.

Включение защищенного протокола LDAP для доменных служб Azure AD DS. Enable secure LDAP for Azure AD DS

Итак, вы завершили создание и экспорт цифрового сертификата, который содержит закрытый ключ, и настроили доверие к подключению на клиентском компьютере. Теперь можно включить защищенный протокол LDAP в управляемом домене. With a digital certificate created and exported that includes the private key, and the client computer set to trust the connection, now enable secure LDAP on your managed domain. Чтобы включить защищенный протокол LDAP для управляемого домена, сделайте следующее. To enable secure LDAP on a managed domain, perform the following configuration steps:

На портале Azure введите доменные службы в поле Поиск ресурсов. In the Azure portal, enter domain services in the Search resources box. В списке результатов выберите Доменные службы Azure AD. Select Azure AD Domain Services from the search result.

Выберите нужный управляемый домен, например aaddscontoso.com Choose your managed domain, such as aaddscontoso.com.

В левой части окна Azure AD DS выберите Защищенный протокол LDAP. On the left-hand side of the Azure AD DS window, choose Secure LDAP.

По умолчанию защищенный доступ LDAP к управляемому домену отключен. By default, secure LDAP access to your managed domain is disabled. Измените значение параметра Защищенный протокол LDAP на Включено. Toggle Secure LDAP to Enable.

По умолчанию доступ к управляемому домену через Интернет по защищенному протоколу LDAP отключен. Secure LDAP access to your managed domain over the internet is disabled by default. Включая доступ по защищенному протоколу LDAP через Интернет, вы сделаете домен уязвимым к атакам из Интернета методом подбора пароля. When you enable public secure LDAP access, your domain is susceptible to password brute force attacks over the internet. На следующем шаге мы настроим группу безопасности сети, чтобы ограничить доступ только из определенного диапазона IP-адресов. In the next step, a network security group is configured to lock down access to only the required source IP address ranges.

Переведите переключатель Разрешить доступ по защищенному протоколу LDAP через Интернет в положение Включено. Toggle Allow secure LDAP access over the internet to Enable.

Щелкните значок папки рядом с полем PFX-файл с сертификатом защищенного протокола LDAP. Select the folder icon next to .PFX file with secure LDAP certificate. Перейдите в папку, где расположен PFX-файл, а затем выберите созданный на предыдущем шаге сертификат, который содержит закрытый ключ. Browse to the path of the .PFX file, then select the certificate created in a previous step that includes the private key.

Как отмечалось в предыдущем разделе о требованиях к сертификатам, вы не можете использовать сертификат общедоступного ЦС с доменом .onmicrosoft.com, который настроен по умолчанию. As noted in the previous section on certificate requirements, you can’t use a certificate from a public CA with the default .onmicrosoft.com domain. Домен .onmicrosoft.com принадлежит корпорации Майкрософт, поэтому общедоступный ЦС не будет выдавать для него сертификаты. Microsoft owns the .onmicrosoft.com domain, so a public CA won’t issue a certificate.

Убедитесь, что сертификат имеет правильный формат. Make sure your certificate is in the appropriate format. В противном случае платформа Azure выдаст ошибку проверки сертификата при включении защищенного протокола LDAP. If it’s not, the Azure platform generates certificate validation errors when you enable secure LDAP.

Введите пароль для расшифровки PFX-файла, который вы настроили на предыдущем шаге при экспорте сертификата в PFX-файл. Enter the Password to decrypt .PFX file set in a previous step when the certificate was exported to a .PFX file.

Щелкните Сохранить, чтобы включить защищенный протокол LDAP. Select Save to enable secure LDAP.

Появится уведомление о том, что выполняется настройка защищенного протокола LDAP для управляемого домена. A notification is displayed that secure LDAP is being configured for the managed domain. Вы не сможете изменить другие параметры управляемого домена, пока не завершится эта операция. You can’t modify other settings for the managed domain until this operation is complete.

Включение защищенного протокола LDAP для управляемого домена займет несколько минут. It takes a few minutes to enable secure LDAP for your managed domain. Если предоставленный сертификат защищенного протокола LDAP не соответствует требуемому критерию, действие по включению защищенного протокола LDAP для управляемого домена завершается сбоем. If the secure LDAP certificate you provide doesn’t match the required criteria, the action to enable secure LDAP for the managed domain fails.

Типичные примеры ошибок: указано неправильное доменное имя, для шифрования сертификата используется алгоритм, отличный от TripleDES-SHA1, срок действия сертификата истек или истекает в ближайшее время. Some common reasons for failure are if the domain name is incorrect, the encryption algorithm for the certificate isn’t TripleDES-SHA1, or the certificate expires soon or has already expired. Вы можете повторно создать сертификат с правильными параметрами и включить защищенный протокол LDAP с указанием обновленного сертификата. You can re-create the certificate with valid parameters, then enable secure LDAP using this updated certificate.

Замена сертификата с истекающим сроком действия Change an expiring certificate

1. Создайте заменяющий сертификат для защищенного протокола LDAP, выполнив эти действия. Create a replacement secure LDAP certificate by following the steps to create a certificate for secure LDAP.
2. Чтобы применить заменяющий сертификат к Azure AD DS, на портале Azure в меню Azure AD DS слева выберите Защищенный протокол LDAP и щелкните Изменить сертификат. To apply the replacement certificate to Azure AD DS, in the left menu for Azure AD DS in the Azure portal, select Secure LDAP, and then select Change Certificate.
3. Распространите сертификат на все клиенты, которые подключаются по защищенному протоколу LDAP. Distribute the certificate to any clients that connect by using secure LDAP.

Блокировка доступа по защищенному протокол LDAP через Интернет Lock down secure LDAP access over the internet

Предоставление доступа к управляемому домену по защищенному протоколу LDAP через Интернет создает угрозу безопасности. When you enable secure LDAP access over the internet to your managed domain, it creates a security threat. Управляемый домен доступен из Интернета через порт 636. The managed domain is reachable from the internet on TCP port 636. Мы рекомендуем ограничить доступ к управляемому домену только из определенных IP-адресов, имеющих отношение к конкретной среде. It’s recommended to restrict access to the managed domain to specific known IP addresses for your environment. Для ограничения доступа по защищенному протоколу LDAP можно использовать правило группы безопасности сети Azure. An Azure network security group rule can be used to limit access to secure LDAP.

Давайте создадим правило, которое разрешит входящий доступ по защищенному протоколу LDAP через TCP-порт 636 только для указанного набора IP-адресов. Let’s create a rule to allow inbound secure LDAP access over TCP port 636 from a specified set of IP addresses. Правило DenyAll с низким приоритетом по умолчанию применяется ко всему остальному входящему трафику из Интернета, а значит доступ к управляемому домену по защищенному протоколу LDAP можно будет получить только с указанных адресов. A default DenyAll rule with a lower priority applies to all other inbound traffic from the internet, so only the specified addresses can reach your managed domain using secure LDAP.

На портале Azure выберите Группы ресурсов в панели навигации слева. In the Azure portal, select Resource groups on the left-hand side navigation.

Выберите группу ресурсов, например myResourceGroup, а затем выберите группу безопасности сети, например aaads-nsg. Choose your resource group, such as myResourceGroup, then select your network security group, such as aaads-nsg.

Отобразится список существующих правил безопасности для входящих и исходящих подключений. The list of existing inbound and outbound security rules are displayed. В левой части окна свойств для группы безопасности сети выберите Параметры > Правила безопасности для входящего трафика. On the left-hand side of the network security group windows, choose Settings > Inbound security rules.

Щелкните Добавить и создайте правило, открывающее TCP-порт 636. Select Add, then create a rule to allow TCP port 636. Для повышения безопасности выберите IP-адреса в качестве источника и укажите допустимый IP-адрес или диапазон адресов, принадлежащих вашей организации. For improved security, choose the source as IP Addresses and then specify your own valid IP address or range for your organization.

Параметр Setting	Значение Value
Источник Source	IP-адреса IP Addresses
IP-адреса источника или диапазоны в нотации CIDR Source IP addresses / CIDR ranges	Допустимый IP-адрес или диапазон для вашей среды A valid IP address or range for your environment
Диапазоны исходных портов Source port ranges	*
Назначение Destination	Любой Any
Диапазоны портов назначения Destination port ranges	636 636
Протокол Protocol	TCP TCP
Действие Action	Allow Allow
Приоритет Priority	401 401
Имя Name	AllowLDAPS AllowLDAPS

Когда все будет готово, щелкните Добавить, чтобы сохранить и применить это правило. When ready, select Add to save and apply the rule.

Настройка зоны DNS для внешнего доступа Configure DNS zone for external access

Разрешив доступ через Интернет по защищенному протоколу LDAP, измените параметры зоны DNS, чтобы клиентские компьютеры могли найти этот управляемый домен. With secure LDAP access enabled over the internet, update the DNS zone so that client computers can find this managed domain. Внешний IP-адрес защищенного протокола LDAP указан на вкладке Свойства для управляемого домена. The Secure LDAP external IP address is listed on the Properties tab for your managed domain:

В настройках внешнего поставщика DNS создайте запись, разрешающую имя узла (например, ldaps), в этот внешний IP-адрес. Configure your external DNS provider to create a host record, such as ldaps, to resolve to this external IP address. Чтобы проверить работу на локальном компьютере, вы можете сначала создать такую запись в файле hosts системы Windows. To test locally on your machine first, you can create an entry in the Windows hosts file. Чтобы изменить файл hosts на локальном компьютере, откройте Блокнот от имени администратора и откройте файл C:\Windows\System32\drivers\etc\hosts. To successfully edit the hosts file on your local machine, open Notepad as an administrator, then open the file C:\Windows\System32\drivers\etc\hosts

В следующем примере представлена DNS-запись, созданная во внешнем поставщике DNS или в локальном файле hosts, которая направляет трафик для ldaps.aaddscontoso.com к внешнему IP-адресу 168.62.205.103: The following example DNS entry, either with your external DNS provider or in the local hosts file, resolves traffic for ldaps.aaddscontoso.com to the external IP address of 168.62.205.103:

Проверка запросов к управляемому домену Test queries to the managed domain

Чтобы подключиться к управляемому домену, создать привязку к нему и выполнить поиск по протоколу LDAP, используйте средство LDP.exe. To connect and bind to your managed domain and search over LDAP, you use the LDP.exe tool. Оно входит в пакет средств удаленного администрирования сервера (RSAT). This tool is included in the Remote Server Administration Tools (RSAT) package. Дополнительные сведения см. в статье об установке средств удаленного администрирования сервера. For more information, see install Remote Server Administration Tools.

1. Откройте LDP.exe и подключитесь к управляемому домену. Open LDP.exe and connect to the managed domain. Выберите Подключение и щелкните Подключить. . Select Connection, then choose Connect. .
2. Введите имя DNS для подключения к управляемому домену по защищенному протоколу LDAP, которое вы создали на предыдущем шаге, например ldaps.aaddscontoso.com Enter the secure LDAP DNS domain name of your managed domain created in the previous step, such as ldaps.aaddscontoso.com. Чтобы использовать защищенный протокол LDAP, укажите для параметра Порт значение 636, а также установите флажок SSL. To use secure LDAP, set Port to 636, then check the box for SSL.
3. Щелкните ОК, чтобы подключиться к управляемому домену. Select OK to connect to the managed domain.

Затем выполните привязку к управляемому домену. Next, bind to your managed domain. Пользователи (и учетные записи служб) не могут выполнять простые привязки LDAP, если вы отключили синхронизацию хэшей паролей NTLM для управляемого домена. Users (and service accounts) can’t perform LDAP simple binds if you have disabled NTLM password hash synchronization on your managed domain. См. сведения об отключении синхронизации хэшей паролей NTLM в статье Отключение слабых шифров и синхронизации хэшей паролей для защиты управляемого домена доменных служб Azure AD. For more information on disabling NTLM password hash synchronization, see Secure your managed domain.

1. Выберите пункт меню Подключение, а затем Привязать. . Select the Connection menu option, then choose Bind. .
2. Укажите учетные данные учетной записи пользователя, которая относится к управляемому домену. Provide the credentials of a user account that belongs to the managed domain. Введите пароль для этой учетной записи и нужный домен, например aaddscontoso.com. Enter the user account’s password, then enter your domain, such as aaddscontoso.com.
3. Для параметра Тип привязки выберите вариант Привязать с учетными данными. For Bind type, choose the option for Bind with credentials.
4. Щелкните ОК, чтобы завершить привязку к управляемому домену. Select OK to bind to your managed domain.

Чтобы просмотреть объекты, сохраненные в управляемом домене, сделайте следующее: To see of the objects stored in your managed domain:

Выберите пункт меню Представление и щелкните Дерево. Select the View menu option, and then choose Tree.

Оставьте поле BaseDN пустым и щелкните OК. Leave the BaseDN field blank, then select OK.

Выберите контейнер, например Пользователи AADDC, щелкните его правой кнопкой мыши и выберите пункт Поиск. Choose a container, such as AADDC Users, then right-select the container and choose Search.

Сохраните все автоматически заполненные значения и щелкните Запуск. Leave the pre-populated fields set, then select Run. Результаты запроса отображаются в окне справа, как показано в следующем примере выходных данных: The results of the query are displayed in the right-hand window, as shown in the following example output:

Чтобы выполнить прямой запрос к конкретному контейнеру, выберите пункт меню Представление > Дерево, затем укажите значение BaseDN, например OU=AADDC Users,DC=AADDSCONTOSO,DC=COM или OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. To directly query a specific container, from the View > Tree menu, you can specify a BaseDN such as OU=AADDC Users,DC=AADDSCONTOSO,DC=COM or OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Дополнительные сведения о форматировании и создании запросов см. в статье с основными сведениями о запросах LDAP. For more information on how to format and create queries, see LDAP query basics.

Очистка ресурсов Clean up resources

Если ранее в рамках этого руководства вы добавляли запись DNS в файл hosts на локальном компьютере для проверки подключения, удалите эту запись и добавьте запись в основную зону DNS. If you added a DNS entry to the local hosts file of your computer to test connectivity for this tutorial, remove this entry and add a formal record in your DNS zone. Чтобы удалить запись из локального файла hosts, сделайте следующее: To remove the entry from the local hosts file, complete the following steps:

1. На локальном компьютере откройте Блокнот с правами администратора. On your local machine, open Notepad as an administrator
2. Откройте файл из папки C:\Windows\System32\drivers\etc\hosts. Browse to and open the file C:\Windows\System32\drivers\etc\hosts
3. Удалите строку с записью, которую вы добавили ранее, например 168.62.205.103 ldaps.aaddscontoso.com . Delete the line for the record you added, such as 168.62.205.103 ldaps.aaddscontoso.com

Устранение неполадок Troubleshooting

Если произойдет ошибка и отобразится сообщение о том, что LDAP.exe не удалось подключиться, попробуйте решить эту проблему, проверив различные элементы подключения: If you see an error stating that LDAP.exe cannot connect, try working through the different aspects of getting the connection:

1. Конфигурация контроллера домена. Configuring the domain controller
2. Конфигурация клиента. Configuring the client
3. Сеть Networking
4. Создание сеанса TLS. Establishing the TLS session

Чтобы сопоставить имя субъекта сертификата, контроллер домена будет использовать доменное имя Azure ADDS (не доменное имя Azure AD) для поиска сертификата в хранилище сертификатов. For the certificate subject name match, the DC will use the Azure ADDS domain name (not the Azure AD domain name) to search its certificate store for the certificate. Например, из-за опечаток контроллер домена не сможет выбрать правильный сертификат. Spelling mistakes, for example, prevent the DC from selecting the right certificate.

Клиент попытается установить TLS-подключение, используя указанное вами имя. The client attempts to establish the TLS connection using the name you provided. При том трафик должен проходить весь путь. The traffic needs to get all the way through. Контроллер домена отправляет открытый ключ для сертификата аутентификации сервера. Нужно правильно настроить использование сертификата. Имя, зарегистрированное как имя субъекта, должно быть совместимым, чтобы клиент доверял тому, что сервер соответствует DNS-имени, к которому вы подключаетесь (то есть можно указать подстановочный знак без опечаток), и клиент должен доверять издателю. The DC sends the public key of the server auth cert. The cert needs to have the right usage in the certificate, the name signed in the subject name must be compatible for the client to trust that the server is the DNS name which you’re connecting to (that is, a wildcard will work, with no spelling mistakes), and the client must trust the issuer. Вы можете проверить наличие проблем в этой цепочке в системном журнале в компоненте «Просмотр событий» и отфильтровать события, где указан источник SChannel. You can check for any problems in that chain in the System log in Event Viewer, and filter the events where source equals Schannel. Вместе все эти компоненты образуют сеансовый ключ. Once those pieces are in place, they form a session key.

Дополнительные сведения см. в статье Подтверждение протокола TLS. For more information, see TLS Handshake.

Дальнейшие действия Next steps

В этом руководстве вы узнали, как выполнять следующие задачи: In this tutorial, you learned how to: