Come installare i certificati SSL in Active Directory?
Le richieste di lettura e scrittura di Active Directory effettuate attraverso la rete possono essere rese sicure tramite SSL. Richiede un certificato CA (Certificate Authority). Questo articolo illustra i passaggi da seguire durante la configurazione del certificato SSL in Active Directory.
Prerequisiti per installare i certificati SSL:
- Internet Information Services: è necessario IIS prima dell'installazione
Servizi di certificazione Windows. - Servizi di certificazione Windows.
Passaggi per installare il certificato SSL:
Passaggio 1: installazione dei servizi certificati Active Directory
- Accedi al tuo server Active Directory come amministratore.
- Apri Server Manager → Roles Summary→ Add roles.
- Nella procedura guidata Add Roles, seleziona Server Roles. Dalle opzioni elencate, seleziona Active Directory Certificate Services e fai clic su Next. Nella schermata successiva, fai nuovamente clic su Next per procedere.
- Nella pagina successiva, seleziona il servizio di ruolo Certification Authority per emettere e gestire i certificati.
- Nella pagina Specify Setup Type, seleziona Enterprise, poiché il server fa parte dell'ambiente AD. Fai clic su Next.
- Quindi, verrà visualizzata la pagina "Specify CA Type". Se questa è la tua prima CA, seleziona Root CA. Altrimenti, seleziona Subordinate CA.
- Imposta la chiave privata da utilizzare per questa CA. Poiché si tratta di una nuova CA, seleziona "Create a new private key" e fai clic su Next. Nella schermata successiva, fai nuovamente clic su Next per procedere.
- Nella pagina successiva, scegli un nome comune e un suffisso distinto per la tua CA. Controlla l'anteprima del nome distinto completo della CA, quindi fai clic su Next se sei soddisfatto delle selezioni effettuate.
- In "Set validity page", accetta il valore predefinito o imposta un periodo di validità personalizzato. La CA emetterà certificati validi solo fino a questo periodo.
- Seleziona una posizione in cui archiviare il database dei certificati e i registri del database dei certificati.
- Conferma le configurazioni di installazione e fai clic su Install. Una volta completata con successo l'installazione, chiudi la procedura guidata.
Passaggio 2: ottieni il certificato del server
Dopo aver installato la CA, è ora necessario aggiungere i certificati SSL utilizzati dai server delle applicazioni all'elenco dei certificati accettati.
Il certificato di Active Directory viene generato automaticamente e archiviato nella radice dell'unità C. Per esportare il certificato, esegui questo comando sul server:
certutil -ca.cert client.crt
Passaggio 3: importa il certificato del server
Il certificato deve essere importato nel tuo Java Runtime Environment affinché un server delle applicazioni consideri attendibile il tuo certificato AD. Il JDK archivia i certificati affidabili in un file chiamato keystore. Il file keystore predefinito si chiama cacerts ed è memorizzato nella sottodirectory jre\ lib\ security dell'installazione di Java. Esegui i seguenti comandi sul tuo server per importare i certificati.
- Accedi alla directory in cui è installato Java.
cd /d C:\Program Files\Java\jdk1.5.0_12 - Esegui il comando indicato di seguito, dove server-certificate.crt è il nome del file dal tuo server di directory.
keytool -importcert -keystore .\jre\lib\security\cacerts -file server-certificate.crt - Inserisci la password predefinita del keystore e cambiala quando richiesto.
- Quando ti viene chiesto Trust this certificate? [no]: digita "yes" per confermare l'importazione della chiave:
Inserisci la password del keystore: changeit
Proprietario: CN=ad01, C=US
Emittente: CN=ad01, C=US
Numero di serie: 15563d6677a4e9e4582d8a84be683f9
Valido da: martedì 21 agosto 01:10:46 ACT 2007 fino a: martedì 21 agosto 01:13:59 ACT 2012
Impronte digitali del certificato:
MD5:D6:56:F0:23:16:E3:62:2C:6F:8A:0A:37:30:A1:84:BE
SHA1:73:73:4E:A6:A0:D1:4E:F4:F3:CD:CE:BE:96:80:35:D2:B4:7C:79:C1
Trust this certificate? [no]: yes
Il certificato è stato aggiunto al keystore - Cambia "URL" per utilizzare LDAP su SSL e usa l'opzione "Secure SSL" quando colleghi l'applicazione al tuo server di directory.
Una volta che il certificato è stato importato secondo le istruzioni precedenti, sarà necessario riavviare l'applicazione per applicare le modifiche apportate.
Esplora il controllo e la reportistica di Active Directory con ADAudit Plus.
- prodotti correlati
- ADManager Plus Active Directory Management & Reporting
- ADAudit Plus Real-time Active Directory Auditing and UBA
- EventLog Analyzer Real-time Log Analysis & Reporting
- ADSelfService Plus Self-Service Password Management
- AD360 Integrated Identity & Access Management
- Log360 Comprehensive SIEM and UEBA
- AD Free Tools Active Directory FREE Tools