如何启用活动目录SSL连接

ad:http://www.cnblogs.com/chnking/archive/2006/03/07/344506.aspx

Windows2003 Server的活动目录缺省是不提供SSL连接的，原因是因为没有一个有效的证书，为了启用SSL，必须给AD安装一个正确的证书，主要安装步骤：

1、申请一个证书

  方法1：使用以下模版，结合certreq -new request.inf request.req命令生成证书请求文件request.req：

java 代码

----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=ldap.comwave.com,OU=BPM,O=Comwave,L=xiamen,S=fujian,C=CN" ;注意，cn必须与DC的fqdn相同
KeySpec = 1
KeyLength = 1024
; Can be 1024, 2048, 4096, 8192, or 16384.
; Larger key sizes are more secure, but have
; a greater impact on performance.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

;-----------------------------------------------

 

然后向CA证书中心请求证书，结果保存为certnew.cer，注意必须是base64编码，不能是der编码

方法2：使用DC上的IIS发出证书请求（注意公共名必须为DC的fqdn），然后向CA证书中心请求证书，结果保存为certnew.cer，编码必须为base64编码；

2、安装证书：证书申请完后，在DC上执行certreq -accept certnew.cer安装证书

3、检查证书：启动mmc，添加证书单元－本地计算机，然后查看证书－个人，正常的话，这里有一个刚刚安装的证书；

4、如果AD环境没有CA证书服务器，而是向第三方CA申请的证书，必须把第三放的CA根证书添加到“受信任的根证书颁发机构”的证书列表里头。