Déployer une application directement depuis visual studio 2010
Configurer ldaps sur un dc (avec une
1. Configurer LDAPS sur un dc (avec une AC stand-alone) Auteur: Sébastien BOGDANOWITCH
2. Un DC utilise comme protocole d'accès à l'annuaire le LDAP (nativement passant par le port
389). Implémenter SSL sur LDAPS permet de sécuriser les échanges entre un client et le DC. Qui
dit SSL dit certificat et donc Autorité de certification (AC).
Le principe sera donc de permettre à des clients reconnaissant l'AC et ayant eux même un
certificat délivré par cette AC d'établir une session LADP(S) avec un DC.
Dans notre exemple nous allons donc prendre un DC et une AC Autonome (l'autorité de
certification est un serveur membre n'appartenant pas au domaine du DC en question).
1-Ajouter une autorité de certification sur le DC
Pour obtenir les autorités reconnus (de confiance) par votre DC, ouvrer une MMC et ajouter le
composant « Certificats » pour l'ordinateur local.
Sous « Trusted Root Certification Autorities » puis « Certificates » vous allez obtenir les AC
reconnues pas votre ordinateur (Notre DC dans le cas présent).
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 2
3. Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc
demander le certificat de cette AC.
Je vais faire la demande via le web site de l'AC, pour cela il faut cliquer sur « Download a CA
certificate, certificate chain or CRL », sélectionner l'AC (dans le cas présent il n'y en a qu'une) et le
format.
Vous allez obtenir un fichier CER qu'il va falloir importer. Pour cela revenez dans la MMC Certificates : « Trusted
Root Certification Authorities » / « Certificates » / « All task » -> Import /
Sélectionner le fichier CER et lorsqu'il vous demandera ou devra être stocké le certificat, Sélectionner :
« Trusted Root Certification Authorities »
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 3
4. Vous devez obtenir un message comme quoi l'importation s'est bien déroulée et si vous rafraichissez
votre mmc « Certificates », vous devez voir apparaitre votre nouvelle AC.
L'AC ABAVRT01 est désormais digne de confiance…. Nous pouvons donc passer à la suite.
2-Création/validation/importation du certificat
A ce stade, nous allons générer un certificat à partir d'un Template (cette opération ne serait pas
nécessaire si nous utilisions une AC Entreprise).
Dans le champ Subject, il faut placer le nom FQDN de votre DC, le champ KeyLength vous
donnera la taille de la clé (1024,2048 etc….grande clé = + de sécurité et – de perf).
[Version]Signature="$Windows NT$ [NewRequest]Subject = "CN=<ABASADS01.aba.lab>"
KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = False
PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName =
"Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12RequestType = PKCS10
KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server
Authentication
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 4
5. Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper:
CertReq –new request.inf requestDC.req
Votre fichier *.req doit ressembler à cela :
----BEGIN NEW CERTIFICATE REQUEST----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=
----END NEW CERTIFICATE REQUEST---
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 5
6. Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC.
Pour cela vous retournez sur l'interface web de votre AC :
Request a certificate
Submit an advanced certificate request
Submit a certifiate request using by using a base 64-encoded CMC or PKCS#10 ……
Il faut ensuite faire un copier/coller du contenu du fichier REQ dans le champ « saved request » et
faire un Submit.
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 6
7. Une fois que la requête a été soumise il faut aller la valider sur l'AC et une fois celle-ci validée (ce
n'est pas l'objet de l'article donc je passe ce point) il faut retourner sur l'interface web, (dans
pending request) et enregistrer le certificat.
Il ne reste plus qu'à l'importer, via la MMC certificate dans Personnalcertificates ou via une invite
de commande avec la commande suivant :
Certreq –accept <Certificate>
Dans les deux cas, voici le résultat que vous devriez obtenir dans la MMC certificats.
Nous voyons bien le certificat émis par notre AC ABAVRT01
(avec comme Enhanced Key Usage = Server Authentication)
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 7
8. A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ;
Pour tester ouvrez LDP :
Connections
Server : votre DC
Port : 636
SSL : coché
OK
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 8
9. Vous devriez obtenir le résultat ci-dessus, avec dans l'entête « ldaps//DC/DC=domaine,DC=com»
LADP over SSL est donc actif sur ce DC (uniquement sur ce DC) et la connexion via cette méthode
ne pourra se faire qu'à partir de client ayant eux même un certificat serveur délivré par notre AC.
24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 9