Настройки в доменной инфраструктуре

Настройка центра сертификации Active Directory #

Настройте центр сертификации Active Directory на использование алгоритма подписи SHA-256 или SHA-384. Использование стандартного алгоритма подписи SHA-512 вызовет проблемы при работе LDAPS.

Поменять используемый алгоритм подписи на машине с развернутым центром сертификации Active Directory можно командой:

certutil -setreg ca\csp\CNGHashAlgorithm SHA256

После выполнения команды, перезагрузите службу Active Directory Certificate Services.

Настройка LDAPS на контроллере домена #

Для настройки LDAPS на контроллере домена должен быть установлен валидный сертификат, отвечающий ряду критериев:

• Сертификат установлен в раздел Personal в локальном хранилище компьютера
• Соответствующий сертификату секретный ключ также присутствуют в локальном хранилище компьютера
• Сертификат может предъявляться сервером для аутентификации, т.е. поле Enhanced Key Usage в сертификате содержит OID 1.3.6.1.5.5.7.3.1 (Server Authentication).
• Полностью квалифицированное доменное имя доменного контроллера указано в сертификате в поле Subject или в поле Subject Alternative Name
• Сертификат издан центром сертификации, которому доверяет как LDAP-клиент так и доменный контроллер. Для установления доверия, на LDAP-клиенте и на доменном контроллере должен быть установлен сертификат издательства, издавшего данный серверный сертификат. Если используется цепочка издательств, то должна быть установлена вся цепочка сертификатов издательства.
• При генерации сертификата должен использоваться криптопровайдер Schannel cryptographic service provider (CSP)