Active Directory "sådan gør du"-sider

Sådan installerer du SSL-certifikater i Active Directory

Active Directorys læse- og skriveanmodninger på tværs af netværket kan sikres med SSL. Det kræver et CA (certifikatmyndighed)-certifikat. Denne artikel forklarer trinnene til at konfigurere SSL-certifikater i Active Directory.

Forudsætninger for at installere SSL-certifikater:

• Internet Information Services – IIS er påkrævet, før du installerer
  Windows-certifikattjenester.
• Windows-certifikattjenester.

Trin til at installere et SSL-certifikat:

Trin 1: Installer Active Directorys certifikattjenester

• Log ind på din Active Directory-server som administrator.
• Open Server Manager → Roles Summary→ Add roles.

  

• I guiden Tilføj roller skal du vælge Serverroller. Vælg Certifikattjenester i Active Directory blandt de anførte muligheder, og klik på Næste. På næste skærm skal du klikke på Næste igen for at fortsætte.

  

• På næste side skal du vælge certifikatmyndighedens (CA) rolletjeneste for at udstede og administrere certifikater.

  

• På siden Angiv opsætningstype skal du vælge Virksomhed, da din server er en del af AD-miljøet. Klik på Næste.

  

• Næste side er "Angiv CA-type". Hvis dette er din første CA, skal du vælge Rod-CA. Ellers skal du vælge Underordnet CA.

  

• Indstil den private nøgle, der skal bruges med denne CA. Da dette er en ny CA, skal du vælge "Opret en ny privat nøgle" og klikke på Næste. På næste skærm skal du klikke på Næste igen for at fortsætte.

  

• På næste side skal du vælge et almindeligt navn og et entydigt navnesuffiks for din CA. Tjek forhåndsvisningen af din CA's komplette entydige navn, og klik derefter på Næste, hvis du er tilfreds med dine valg.

  

• På siden "Indstil gyldighed" kan du acceptere standardværdien eller indstille din egen gyldighedsperiode. CA'en udsteder certifikater, som kun er gyldige i denne periode.

  

• Vælg en placering til opbevaring af certifikatdatabasen og certifikatdatabasens logfiler.

  

• Bekræft dine installationskonfigurationer, og klik på Installer. Når installationen er afsluttet korrekt, skal du lukke guiden.

  

Trin 2: Hent servercertifikatet

Når du har installeret certifikatmyndigheden, skal du føje de SSL-certifikater, der bruges af dine applikationsservere, til listen over accepterede certifikater.

Active Directory-certifikatet genereres automatisk og gemmes i roden af C-drevet. For at eksportere certifikatet skal du udføre denne kommando på serveren:
certutil -ca.cert client.crt

Trin 3: Importér servercertifikatet

Certifikatet skal importeres til dit Java Runtime Environment, for at en applikationsserver kan stole på dit AD-certifikat. JDK gemmer pålidelige certifikater i en fil, der kaldes en nøgle-store. Standardnøgle-store-filen hedder cacerts, og den er gemt i undermappen jre\lib\security i din Java-installation. Kør følgende kommandoer på din server for at importere certifikaterne.

• Naviger til den mappe, hvor Java er installeret.
  cd /d C:\Program Files\Java\jdk1.5.0_12
• Kør kommandoen nedenfor, hvor server-certificate.crt er navnet på filen fra din mappeserver.
  keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt
• Indtast standardnøgle-store-adgangskoden changeit, når du bliver bedt om det.
• When prompted Trust this certificate? [no]: enter yes to confirm the key import:

  Indtast nøgle-store-adgangskoden "changeit"
  Owner: CN=ad01, C=US
  Issuer: CN=ad01, C=US
  Serial number: 15563d6677a4e9e4582d8a84be683f9
  Valid from: Tue Aug 21 01:10:46 ACT 2007 until: Tue Aug 21 01:13:59 ACT 2012
  Certificate fingerprints:
  MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
  SHA1:73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
  Trust this certificate? [no]: yes
  Certifikat blev føjet til nøgle-store

• Ændr "URL" til at bruge LDAP over SSL, og brug indstillingen "Secure SSL", når du forbinder din applikation til din mappeserver.

Når certifikatet er blevet importeret i henhold til ovenstående instruktioner, skal du genstarte applikationen for at anvende ændringerne.