如何在Windows 2000域控制器中配置数字证书来确保 LDAP 和 SMTP 复制的安全

本页内容

	目标
	适用范围
	小结
	必须了解的信息
	安装和配置域控制器证书的基础结构
	为 LDAP 或 SMTP 测试数字证书
	域控制器证书的要求
	更多信息

目标

使用本模块可以实现：

适用范围

本模块适用于下列产品和技术：

小结

本模块显示了如何在域控制器中配置数字证书，从而确保 LDAP 和 SMTP 复制的安全。

必须了解的信息

数字证书可由任意满足证书格式要求的证书颁发机构 (CA) 向您的域控制器 (DC) 颁发。颁发标准格式数字证书的一种简便方法是，先配置 Microsoft Windows 2000 企业 CA（即 Microsoft Active Directory® 注册的 CA），然后在 Active Directory 中配置 DC 证书来自动注册 DC。

在运行 Windows 2000 Server 或更高版本的域控制器中安装数字证书至少有两种原因：支持简单邮件传输协议 (SMTP) 复制、支持安全的轻型目录访问协议 (LDAP) 事务。

SMTP 复制的数字证书

Active Directory 主要通过两种协议在域控制器间复制目录信息：默认的远程过程调用 (RPC) 和 SMTP。

RPC 复制在大多数企业中都比较适用，而 SMTP 复制更适用于由高滞后时间或低带宽网络链路所分隔的不同 Active Directory 站点间。

由于 SMTP 是明文协议，且目录复制信息一般是敏感材料，因此设计的 SMTP 复制只能在 DC 具有网络 SMTP 数据流加密方法时才启动。选择的加密方法是 Secure/MIME（或 S/MIME），这是一种支持邮件加密的多用途 Internet 邮件扩展 (MIME) 协议。Windows 2000 要求每个 DC 都有数字证书，因为复制将在复制链路的双方向发生。

所有可能启用 SMTP 复制的 DC 都应注册 DC 证书。每个 SMTP 复制伙伴都在“Active Directory 站点和服务”MMC 管理单元中单独配置，因此您应清楚哪些 DC 需要证书。通常最方便的方法是，向所有 DC 颁发证书，尤其是使用 Active Directory 组策略通过自动注册功能来注册域控制器组织单元 (OU) 中的所有成员的 DC。

一旦所有 DC 都注册了数字证书，只要 DC 的配置是优先选择 SMTP 复制而非 Internet 协议 (IP) 复制，它们就都可以自动调用 SMTP 复制。

确保 LDAP 安全的数字证书

Windows 2000 域控制器支持 TCP 端口 389 上的 LDAP，它在网络中明文传输。DC 还支持 TCP 端口 636 上 LDAP 的安全套接字层 (SSL) 加密，从而可加密 LDAP 身份验证、LDAP 数据请求和响应。这是企业 LDAP 应用程序最一般的要求，因为网络中通过 LDAP 应用程序传输的信息可能非常敏感（不仅有 LDAP 请求/响应数据，还有身份验证 ID 和密码）。

在为 LDAP 请求启用 SSL 之前，DC 必须安装特定类型的数字证书。数字证书的格式必须正确，以确保 LDAP 应用程序正常运行。

所有可能采用 SSL 连接的 DC 都应注册 DC 证书。有些 LDAP 应用程序的配置是向单个 LDAP 服务器发出 LDAP 请求，因此这些应用程序每次向同一 DC 发出请求。 其他 LDAP 应用程序可能使用 Active Directory。因此，域或林中的所有 DC 都可收到 LDAP 的 SSL 请求。最佳做法是，为所有 DC 注册 DC 证书来支持范围最广的 LDAP 应用程序方案。

最后，一旦 DC 准备好接收 SSL 连接，LDAP 应用程序必须配置为请求 SSL 连接。DC 不能对所有传入 LDAP 请求强制使用 SSL 连接，它只能配置为仅对请求 SSL 的应用程序支持 SSL。

安装和配置域控制器证书的基础结构

安装企业 CA

该过程的第一阶段是安装企业 CA 并确认已启用 DomainController 证书模板。

如果尚未在 Active Directory 林中安装企业 CA，请在 Active Directory 林某个域的成员 Windows 2000 服务器中安装企业 CA。有关安装企业 CA 的详细信息，请参阅“Step-by-Step Guide to Setting Up a Certification Authority”（英文），网址是：http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.asp。

确认域控制器证书模板的可用性

使用下列步骤确认域控制器证书模板是否可用。

配置自动注册

下面要在每个域的组策略中配置自动注册。

分配证书注册权限

最后要为域中的每个域控制器安全组授予注册 DC 证书的权限。

为 LDAP 或 SMTP 测试数字证书

测试通过 SSL 连接的 LDAP 应用程序

一旦您的域控制器能接受 LDAP 请求的 SSL 连接，每个 LDAP 应用程序都必须重新配置为默认使用 SSL 通信（TCP 端口 636）。

在本例中，LDAP 应用程序是 Microsoft Outlook® Express 的通讯簿。Outlook Express 安装在 Windows 2000 工作站中，该工作站不是 Active Directory 林的一部分。本例有助于阐明客户端如何通过配置来信任颁发 DC 证书的 CA。

配置通讯簿

仅适用于由客户端信任的 CA 向 DC 颁发证书的情况。使用下列步骤验证您的 DC 证书是否正常工作。

在 Active Directory 中搜索用户

使用下列步骤在 Active Directory 中搜索用户。

配置 SMTP 复制

如果尚未配置 SMTP 复制（例如，由于复制 DC 要求有 DC 证书），必须在要求该复制的 DC 间建立 SMTP 复制站点链接。

有关配置 SMTP 复制的详细信息，请参阅“Step-by-Step Guide to Setting up ISM-SMTP Replication”（英文），网址是：http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/ismsmtp.asp

验证对象连接

使用下列步骤验证对象连接。

SMTP 链接优先于 IP 链接

使用下列步骤使 SMTP 链接优先于 IP 链接。

域控制器证书的要求

要支持安全的 LDAP 或 SMTP 站点间 Active Directory 复制，必须在 DC 中安装满足下列要求的证书：

更多信息

请参阅 Microsoft 知识库文章 321051 How to Enable LDAP over SSL with a Third-Party Certification Authority（英文）。

请参阅 Microsoft 知识库文章 247078 HOW TO: Enable Secure Socket Layer (SSL) Communication Over LDAP for Windows 2000 Domain Controllers（英文）。

请参阅 Microsoft 知识库文章 296975 Unable to Connect to a Domain Controller by Using LDAP Connection over SSL（英文）。

请参阅 Microsoft 知识库文章 319970 How to Use the Address Book to Test SSL Connectivity（英文）。

请参阅 Microsoft 知识库文章 222962 Microsoft Certificate Authority Is Required to Perform Inter-Site SMTP（英文）。