之前兩篇文章介紹了LDAP的安全加固,其中提到了TLS加密LDAP通信。對於通常的網頁加密,RDP加密都可以在對應的管理界面中選擇使用哪個證書來加密。那麼對於LDAP服務,怎麼確定當前使用的是哪張證書,如何更換對應的證書呢?
首先需要確定當前域控上使用哪個證書來加密LDAP。可以在本地的證書管理單元中查看計算機證書,但是對於有多張證書的服務器來說,需要確定具體哪張證書來加密LDAP就比較重要了。做了幾次實驗,發現後申請的證書會被優先用於加密。但是必須要有確實的證據證明使用了哪個證書。這裏需要用到一個工具openssl,用它檢測服務器使用的證書。
命令如下:openssl s_client -connect 10.11.24.232:636 如果看不到圖,請點我。
返回結果中有服務器加密LDAP證書的信息,但是不好辨識。可以複製------BEGIN CERTIFICARE-----到-----END CERTIFICATE-----的這些內容,然後粘貼到記事本中,保存爲cer文件。然後雙擊打開cer文件查看其中的序列號和指紋來確定究竟使用的是哪一張證書了。
如果要更換證書怎麼辦呢?其實在證書管理單元中也可以操作。運行mmc,添加證書,選擇服務賬戶service account
然後再選擇目錄服務Active Directory Domain Services
在NTDS\Personal下就能看到當前使用的證書,默認是空的。可以在這裏明確指定一張證書供LDAP使用。
