Embed Size (px)
Citation preview
Configurer LDAPS sur un dc (avec une AC stand-alone) Auteur: Sébastien BOGDANOWITCH
Un DC utilise comme protocole d'accès à l'annuaire le LDAP (nativement passant par le port 389). Implémenter SSL sur LDAPS permet de sécuriser les échanges entre un client et le DC. Qui dit SSL dit certificat et donc Autorité de certification (AC).
Le principe sera donc de permettre à des clients reconnaissant l'AC et ayant eux même un certificat délivré par cette AC d'établir une session LADP(S) avec un DC.
Dans notre exemple nous allons donc prendre un DC et une AC Autonome (l'autorité de certification est un serveur membre n'appartenant pas au domaine du DC en question).
1-Ajouter une autorité de certification sur le DC
Pour obtenir les autorités reconnus (de confiance) par votre DC, ouvrer une MMC et ajouter le composant « Certificats » pour l'ordinateur local.
Sous « Trusted Root Certification Autorities » puis « Certificates » vous allez obtenir les AC reconnues pas votre ordinateur (Notre DC dans le cas présent).
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 2
Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc demander le certificat de cette AC.
Je vais faire la demande via le web site de l'AC, pour cela il faut cliquer sur « Download a CA certificate, certificate chain or CRL », sélectionner l'AC (dans le cas présent il n'y en a qu'une) et le format.
Vous allez obtenir un fichier CER qu'il va falloir importer. Pour cela revenez dans la MMC Certificates : « Trusted Root Certification Authorities » / « Certificates » / « All task » -> Import /
Sélectionner le fichier CER et lorsqu'il vous demandera ou devra être stocké le certificat, Sélectionner : « Trusted Root Certification Authorities »
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 3
Vous devez obtenir un message comme quoi l'importation s'est bien déroulée et si vous rafraichissez votre mmc « Certificates », vous devez voir apparaitre votre nouvelle AC.
L'AC ABAVRT01 est désormais digne de confiance…. Nous pouvons donc passer à la suite.
2-Création/validation/importation du certificat
A ce stade, nous allons générer un certificat à partir d'un Template (cette opération ne serait pas nécessaire si nous utilisions une AC Entreprise).
Dans le champ Subject, il faut placer le nom FQDN de votre DC, le champ KeyLength vous donnera la taille de la clé (1024,2048 etc….grande clé = + de sécurité et – de perf).
[Version]Signature="$Windows NT$ [NewRequest]Subject = "CN=<ABASADS01.aba.lab>" KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 4
Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper: CertReq –new request.inf requestDC.req Votre fichier *.req doit ressembler à cela : ----BEGIN NEW CERTIFICATE REQUEST---- MIIDizCCAnMCAQAwHDEaMBgGA1UEAwwRQUJBU0FEUzAxLmFiYS5sYWIwggEiMA0G CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC89jGsxnuFKC8E/6TpApZ1x55L8cJt 1GOxNHu7EKWnS34V48CNvKxlarR00ivKu7lm+/2cTPBgLxWriclIEso3WEay6/Rr iqKqwZLXBF8s5y7Y94EJqBmFcAv3N8lTNoq/24E+U4q7lUrASPXDo9a26cLHXahr 81FTdCrKIXvi/aVFYZSqDQ2kG7hV9aHIXzBMSuV8CjUgIKgrCSuSm3L93pUwaOBm ncVlPtWLlQDZcVm8wWGSGxZdCuO44GovnTRZsqG5maTb8CaYT7085XG6So2yqRgC yTlje/zQy5YuuRsIubJQFy9BDlcfbzZfQXRA8e6t31hR4yOMTF5PzWvvAgMBAAGg ggEoMBoGCisGAQQBgjcNAgMxDBYKNi4xLjc2MDAuMjBBBgkrBgEEAYI3FRQxNDAy AgEJDBFBQkFTQURTMDEuYWJhLmxhYgwRQUJBXGFkbWluaXN0cmF0b3IMB2NlcnRy ZXEwUwYJKoZIhvcNAQkOMUYwRDAOBgNVHQ8BAf8EBAMCBaAwEwYDVR0lBAwwCgYI KwYBBQUHAwEwHQYDVR0OBBYEFOnbI3f8u6zi6QPBrf4hF/A2lazDMHIGCisGAQQB gjcNAgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBo AGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQEFBQADggEBACzM5GXWCZHLjtV56SnJF2Ys ksNFtKJvUzTAn9lKTWakHlQ6Quy9ywrgnkvTzB9x5K5g33nYSWqgRbogiiGZNdvI pL1GUI+PkhAl00ngxz1B2J2BN8LINFXmOp6VFkDvTcJzH3YQRDWqSQ6E+9ztZ3eo 74EpvwLsI6X8DH96Jgx/1XI/8WkTHIINyw6IxpwmfBSxnL/SH/CWimpd7MqnE/1f ChXvLLTjZ0juu+Z2vaO955rSXSnAj0TfO7n4GyIW0VoDM84dj6n7OJ2PkAIy/nbN 3ZJIyxWXwHWDe/lvs2ENoL19U7LuP5SS2gMcECzcqaODlLGwCAXReJBg+WkspA8= ----END NEW CERTIFICATE REQUEST---
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 5
Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC.
Pour cela vous retournez sur l'interface web de votre AC :
Request a certificate
Submit an advanced certificate request
Submit a certifiate request using by using a base 64-encoded CMC or PKCS#10 ……
Il faut ensuite faire un copier/coller du contenu du fichier REQ dans le champ « saved request » et faire un Submit.
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 6
Une fois que la requête a été soumise il faut aller la valider sur l'AC et une fois celle-ci validée (ce n'est pas l'objet de l'article donc je passe ce point) il faut retourner sur l'interface web, (dans pending request) et enregistrer le certificat.
Il ne reste plus qu'à l'importer, via la MMC certificate dans Personnal\certificates ou via une invite de commande avec la commande suivant :
Certreq –accept <Certificate>
Dans les deux cas, voici le résultat que vous devriez obtenir dans la MMC certificats.
Nous voyons bien le certificat émis par notre AC ABAVRT01
(avec comme Enhanced Key Usage = Server Authentication)
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 7
A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ; Pour tester ouvrez LDP :
Connections
Server : votre DC
Port : 636
SSL : coché
OK
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 8
Vous devriez obtenir le résultat ci-dessus, avec dans l'entête « ldaps//DC/DC=domaine,DC=com»
LADP over SSL est donc actif sur ce DC (uniquement sur ce DC) et la connexion via cette méthode ne pourra se faire qu'à partir de client ayant eux même un certificat serveur délivré par notre AC.
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - [email protected] 9
![AFRASE · Socialeg (INSS, qui remplaçait I 'INRAI_) Mais la d'un dc dc elle d' une avec le et de de Masse du dc I'lntormation ctde la de Iu R DPL, et el]e t tout uvre de - qui cst](https://img.pdfslide.fr/doc/110x75/606194acf9c4e9663126f310/socialeg-inss-qui-remplaait-i-inrai-mais-la-dun-dc-dc-elle-d-une-avec-le.jpg)
