Настройка LDAP over SSL (LDAPS) на контроллере домена под управлением Microsoft Active Directory
Установка центра сертификации, создание и экспорт сертификата
| Ниже приведены инструкции для учетной записи с правами администратора домена. |
Установка роли "Active Directory Certificate Services" через Server Manager.
-
На компьютере с Windows Server выберите Start > Server Manager > Add Roles and Features:
-
На открывшейся форме Before you begin нажмите на кнопку Next:
-
На открывшейся форме Select destination server выберите радио-кнопку Select a server from the server pool, выберите сервер ldap и нажмите на кнопку Next:
-
На открывшейся форме Select server roles в списке ролей выберите опцию Active Directory Certificate Services и нажмите на кнопку Next:
-
На открывшейся форме Select features нажмите на кнопку Next:
-
На открывшейся форме Active Directory Certificate Services нажмите на кнопку Next:
-
На открывшейся форме Select role services в списке ролей выберите Certification Authority и нажмите на кнопку Next:
-
На открывшейся форме Installation progress выберите пункт Configure Active Directory Certificate Services on the destination server и нажмите на кнопку Close:
-
На открывшейся форме Credentials нажмите на кнопку Next:
Можно использовать текущего вошедшего в систему пользователя для настройки служб ролей, так как он принадлежит к локальной группе администраторов. 
-
На открывшейся форме Role Services в списке ролей выберите Certification Authority и нажмите на кнопку Next:
-
На открывшейся форме Setup Type выберите радио-кнопку Enterprise CA и нажмите на кнопку Next:
-
На открывшейся форме CA Type выберите радио-кнопку Root CA и нажмите на кнопку Next:
-
На открывшейся форме Private Key выберите радио-кнопку Create a new private key и нажмите на кнопку Next:
-
На открывшейся форме Cryptography for CA из выпадающего списка Select the hash algorithm for signing certificates issued by this CA выберите в качестве алгоритма хеширования значение SHA256 и нажмите на кнопку Next:
Рекомендуется выбирать самый последний алгоритм хеширования. 
-
На открывшейся форме CA Name нажмите на кнопку Next:
-
На открывшейся форме Validity Period укажите срок действия сертификата, выбрав значение по умолчанию 5 years, и нажмите на кнопку Next:
-
На открывшейся форме CA Database выберите расположение базы данных по умолчанию и нажмите на кнопку Next:
-
На открывшейся форме Confirmation подтвердите свои действия, нажав кнопку Configure:
-
На открывшейся форме Results убедитесь в успешной настройке и нажмите на кнопку Close:
Создание шаблона сертификата
-
Перейдите в Windows Key+R, запустите команду
certtmpl.mscи выберите шаблон Kerberos Authentication:
-
Щелкните правой кнопкой по Kerberos Authentication и из выпадающего списка выберите значение Duplicate Template:
-
В открывшейся форме Properties of New Template настройте параметры в соответствии с вашими требованиями.
-
Перейдите на вкладку General и включите опцию Publish certificate in Active Directory:
-
Перейдите на вкладку Request Handling и включите опцию Allow private key to be exported:
-
Перейдите на вкладку Subject Name, включите формат имени субъекта как DNS Name и нажмите сначала кнопку Apply, а затем OK:
Выпуск шаблона сертификата
-
Выберите Start > Certification Authority.
-
Щелкните правой кнопкой мыши по папке Certificate Templates и выберите New > Certificate Template to Issue:
-
На открывшейся форме Enable Certificate Templates выберите созданный шаблон сертификата и нажмите на кнопку ОК:
Запрос нового сертификата для созданного шаблона сертификата
-
Перейдите в Windows Key+R > mmc > File > Add/Remove snap-in — откроется форма Add or Remove Snap-ins.
-
В поле Available snap-ins выберите Certificates, нажмите на кнопку Add и подтвердите свои действия, нажав кнопку ОК:
-
На открывшейся форме Certificates snap-in выберите радио-кнопку Computer account и нажмите кнопку Next:
-
Щелкните правой кнопкой мыши по папке Certificates, выберите All Tasks > Request for new Certificate:
-
На открывшейся форме Before you begin нажмите на кнопку Next:
-
На открывшейся форме Select Certificate Enrollment Policy нажмите на кнопку Next:
-
На открывшейся форме Request Certificates выберите сертификат и нажмите на кнопку Enroll:
-
Завершите свои действия, нажав кнопку Finish:
Экспорт созданного сертификата
-
Щелкните правой кнопкой мыши по созданному сертификату и выберите All tasks > Export:
-
На открывшейся форме приветствия нажмите на кнопку Next:
-
На открывшейся форме Export Private Key выберите опцию Do not export the private key и нажмите на кнопку Next:
-
Выберите формат файла Base-64 encoded X.509 и нажмите Next:
-
Экспортируйте файл с сертификатом .CER в локальный путь и нажмите Next:
-
После того как сертификат будет успешно экспортирован, завершите ваши действия, нажав кнопку Finish:
Проверка работы LDAP over SSL
-
Перейдите в Windows Key+R и выполните команду
ldp.exe:
-
Выберите пункт меню Connection > Connect:
-
На форме Connect:
-
В поле Server укажите значение localhost.
-
В поле Port укажите значение 636.
-
Включите опцию SSL.
-
-
Результатом корректной настройки LDAP over SSL будет успешное подключение и вывод подобный примеру:
