SlideShare uma empresa Scribd logo

Configurer ldaps sur un dc (avec une

Novencia Groupe
Novencia Groupe
1 de 9
Baixar para ler offline
Configurer LDAPS sur un dc (avec une AC stand-alone) Auteur: Sébastien BOGDANOWITCH
Un DC utilise comme protocole d'accès à l'annuaire le LDAP (nativement passant par le port 389). Implémenter SSL sur LDAPS permet de sécuriser les échanges entre un client et le DC. Qui dit SSL dit certificat et donc Autorité de certification (AC). Le principe sera donc de permettre à des clients reconnaissant l'AC et ayant eux même un certificat délivré par cette AC d'établir une session LADP(S) avec un DC. Dans notre exemple nous allons donc prendre un DC et une AC Autonome (l'autorité de certification est un serveur membre n'appartenant pas au domaine du DC en question). 1-Ajouter une autorité de certification sur le DC Pour obtenir les autorités reconnus (de confiance) par votre DC, ouvrer une MMC et ajouter le composant « Certificats » pour l'ordinateur local. Sous « Trusted Root Certification Autorities » puis « Certificates » vous allez obtenir les AC reconnues pas votre ordinateur (Notre DC dans le cas présent). 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 2
Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc demander le certificat de cette AC. Je vais faire la demande via le web site de l'AC, pour cela il faut cliquer sur « Download a CA certificate, certificate chain or CRL », sélectionner l'AC (dans le cas présent il n'y en a qu'une) et le format. Vous allez obtenir un fichier CER qu'il va falloir importer. Pour cela revenez dans la MMC Certificates : « Trusted Root Certification Authorities » / « Certificates » / « All task » -> Import / Sélectionner le fichier CER et lorsqu'il vous demandera ou devra être stocké le certificat, Sélectionner : « Trusted Root Certification Authorities » 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 3
Vous devez obtenir un message comme quoi l'importation s'est bien déroulée et si vous rafraichissez votre mmc « Certificates », vous devez voir apparaitre votre nouvelle AC. L'AC ABAVRT01 est désormais digne de confiance…. Nous pouvons donc passer à la suite. 2-Création/validation/importation du certificat A ce stade, nous allons générer un certificat à partir d'un Template (cette opération ne serait pas nécessaire si nous utilisions une AC Entreprise). Dans le champ Subject, il faut placer le nom FQDN de votre DC, le champ KeyLength vous donnera la taille de la clé (1024,2048 etc….grande clé = + de sécurité et – de perf). [Version]Signature="$Windows NT$ [NewRequest]Subject = "CN=<ABASADS01.aba.lab>" KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 4
Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper: CertReq –new request.inf requestDC.req Votre fichier *.req doit ressembler à cela : ----BEGIN NEW CERTIFICATE REQUEST---- MIIDizCCAnMCAQAwHDEaMBgGA1UEAwwRQUJBU0FEUzAxLmFiYS5sYWIwggEiMA0G CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC89jGsxnuFKC8E/6TpApZ1x55L8cJt 1GOxNHu7EKWnS34V48CNvKxlarR00ivKu7lm+/2cTPBgLxWriclIEso3WEay6/Rr iqKqwZLXBF8s5y7Y94EJqBmFcAv3N8lTNoq/24E+U4q7lUrASPXDo9a26cLHXahr 81FTdCrKIXvi/aVFYZSqDQ2kG7hV9aHIXzBMSuV8CjUgIKgrCSuSm3L93pUwaOBm ncVlPtWLlQDZcVm8wWGSGxZdCuO44GovnTRZsqG5maTb8CaYT7085XG6So2yqRgC yTlje/zQy5YuuRsIubJQFy9BDlcfbzZfQXRA8e6t31hR4yOMTF5PzWvvAgMBAAGg ggEoMBoGCisGAQQBgjcNAgMxDBYKNi4xLjc2MDAuMjBBBgkrBgEEAYI3FRQxNDAy AgEJDBFBQkFTQURTMDEuYWJhLmxhYgwRQUJBXGFkbWluaXN0cmF0b3IMB2NlcnRy ZXEwUwYJKoZIhvcNAQkOMUYwRDAOBgNVHQ8BAf8EBAMCBaAwEwYDVR0lBAwwCgYI KwYBBQUHAwEwHQYDVR0OBBYEFOnbI3f8u6zi6QPBrf4hF/A2lazDMHIGCisGAQQB gjcNAgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBo AGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQEFBQADggEBACzM5GXWCZHLjtV56SnJF2Ys ksNFtKJvUzTAn9lKTWakHlQ6Quy9ywrgnkvTzB9x5K5g33nYSWqgRbogiiGZNdvI pL1GUI+PkhAl00ngxz1B2J2BN8LINFXmOp6VFkDvTcJzH3YQRDWqSQ6E+9ztZ3eo 74EpvwLsI6X8DH96Jgx/1XI/8WkTHIINyw6IxpwmfBSxnL/SH/CWimpd7MqnE/1f ChXvLLTjZ0juu+Z2vaO955rSXSnAj0TfO7n4GyIW0VoDM84dj6n7OJ2PkAIy/nbN 3ZJIyxWXwHWDe/lvs2ENoL19U7LuP5SS2gMcECzcqaODlLGwCAXReJBg+WkspA8= ----END NEW CERTIFICATE REQUEST--- 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 5
Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC. Pour cela vous retournez sur l'interface web de votre AC : Request a certificate Submit an advanced certificate request Submit a certifiate request using by using a base 64-encoded CMC or PKCS#10 …… Il faut ensuite faire un copier/coller du contenu du fichier REQ dans le champ « saved request » et faire un Submit. 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 6
Une fois que la requête a été soumise il faut aller la valider sur l'AC et une fois celle-ci validée (ce n'est pas l'objet de l'article donc je passe ce point) il faut retourner sur l'interface web, (dans pending request) et enregistrer le certificat. Il ne reste plus qu'à l'importer, via la MMC certificate dans Personnalcertificates ou via une invite de commande avec la commande suivant : Certreq –accept <Certificate> Dans les deux cas, voici le résultat que vous devriez obtenir dans la MMC certificats. Nous voyons bien le certificat émis par notre AC ABAVRT01 (avec comme Enhanced Key Usage = Server Authentication) 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 7
A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ; Pour tester ouvrez LDP : Connections Server : votre DC Port : 636 SSL : coché OK 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 8
Vous devriez obtenir le résultat ci-dessus, avec dans l'entête « ldaps//DC/DC=domaine,DC=com» LADP over SSL est donc actif sur ce DC (uniquement sur ce DC) et la connexion via cette méthode ne pourra se faire qu'à partir de client ayant eux même un certificat serveur délivré par notre AC. 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 9

Recomendados

Sécurisation des wcf
Sécurisation des wcfSécurisation des wcf
Sécurisation des wcf
Novencia Groupe
 
Les 3 modes de concurrence wcf
Les 3 modes de concurrence wcfLes 3 modes de concurrence wcf
Les 3 modes de concurrence wcf
Novencia Groupe
 
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
ENSET, Université Hassan II Casablanca
 
E mail security using Certified Electronic Mail (CEM)
E mail security using Certified Electronic Mail (CEM)E mail security using Certified Electronic Mail (CEM)
E mail security using Certified Electronic Mail (CEM)
Pankaj Bhambhani
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
Certifs x509
Certifs x509Certifs x509
Certifs x509
hamduvski
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSL
Fabian Vandendyck
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
SamiMessaoudi4
 

Recomendados

Sécurisation des wcf
Sécurisation des wcfSécurisation des wcf
Sécurisation des wcf
Novencia Groupe
 
Les 3 modes de concurrence wcf
Les 3 modes de concurrence wcfLes 3 modes de concurrence wcf
Les 3 modes de concurrence wcf
Novencia Groupe
 
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
Développement d'un site web jee de e commerce basé sur spring (m.youssfi)
ENSET, Université Hassan II Casablanca
 
E mail security using Certified Electronic Mail (CEM)
E mail security using Certified Electronic Mail (CEM)E mail security using Certified Electronic Mail (CEM)
E mail security using Certified Electronic Mail (CEM)
Pankaj Bhambhani
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
Certifs x509
Certifs x509Certifs x509
Certifs x509
hamduvski
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSL
Fabian Vandendyck
 
Mini projet bureau à distance sécurisé
Mini projet bureau à distance sécuriséMini projet bureau à distance sécurisé
Mini projet bureau à distance sécurisé
SamiMessaoudi4
 
3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
Manassé Achim kpaya
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
PRONETIS
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
Fabian Vandendyck
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
Ismail Rachdaoui
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
Moïse Guilavogui
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
Microsoft Technet France
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Afnic
 
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligiblesLivret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
Global Knowledge France
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
servinfo
 
Architecture Client-Serveur
Architecture Client-Serveur Architecture Client-Serveur
Architecture Client-Serveur
Khalid EDAIG
 
KSC 10
KSC 10KSC 10
KSC 10
yassine ouhani
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
Geoffrey DANIEL
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)
achraf_ing
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01
ssleuropa
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
dihiaselma
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
Manassé Achim kpaya
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
Alice and Bob
 
Datalake de l'idée à la plateforme
Datalake de l'idée à la plateformeDatalake de l'idée à la plateforme
Datalake de l'idée à la plateforme
Novencia Groupe
 
Ambient intelligence & bigdata
Ambient intelligence & bigdataAmbient intelligence & bigdata
Ambient intelligence & bigdata
Novencia Groupe
 

Mais conteúdo relacionado

Semelhante a Configurer ldaps sur un dc (avec une

3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
ASIP Santé
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
Microsoft Technet France
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
servinfo
 
Architecture Client-Serveur
Architecture Client-Serveur Architecture Client-Serveur
Architecture Client-Serveur
Khalid EDAIG
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
Geoffrey DANIEL
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
Alice and Bob
 

Semelhante a Configurer ldaps sur un dc (avec une (20)

3 certificats et csa - claire lenain
3 certificats et csa - claire lenain3 certificats et csa - claire lenain
3 certificats et csa - claire lenain
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
 
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?System Center 2012 Configuration Manager R2 : Quoi de neuf ?
System Center 2012 Configuration Manager R2 : Quoi de neuf ?
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligiblesLivret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
Livret pratique du Compte Personnel de Formation (CPF) : Formations éligibles
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Architecture Client-Serveur
Architecture Client-Serveur Architecture Client-Serveur
Architecture Client-Serveur
 
KSC 10
KSC 10KSC 10
KSC 10
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
TechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App FabricTechDays 2010 (CLO305) : Windows Azure App Fabric
TechDays 2010 (CLO305) : Windows Azure App Fabric
 
Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)Ssl et certification electronique - (construction de certification)
Ssl et certification electronique - (construction de certification)
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCOVPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
VPN NOMADE AVEC AUTHENTIFICATIO AD SOUS ROUTEUR CISCO
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 

Mais de Novencia Groupe

L’approche Big Data en finance de marché 2/2
L’approche Big Data en finance de marché 2/2L’approche Big Data en finance de marché 2/2
L’approche Big Data en finance de marché 2/2
Novencia Groupe
 
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
Novencia Groupe
 
Qualité de code, sonar, la dette
Qualité de code, sonar, la detteQualité de code, sonar, la dette
Qualité de code, sonar, la dette
Novencia Groupe
 
Euro II : Nouvelle donne 2012
Euro II : Nouvelle donne 2012Euro II : Nouvelle donne 2012
Euro II : Nouvelle donne 2012
Novencia Groupe
 
Les systèmes de compensation
Les systèmes de compensationLes systèmes de compensation
Les systèmes de compensation
Novencia Groupe
 
Présentation des marché de capitaux
Présentation des marché de capitauxPrésentation des marché de capitaux
Présentation des marché de capitaux
Novencia Groupe
 
Nouveautés disponibles dans asp
Nouveautés disponibles dans aspNouveautés disponibles dans asp
Nouveautés disponibles dans asp
Novencia Groupe
 
Introduction à la finance de marché
Introduction à la finance de marchéIntroduction à la finance de marché
Introduction à la finance de marché
Novencia Groupe
 
Utilisation d'une api web avec asp
Utilisation d'une api web avec aspUtilisation d'une api web avec asp
Utilisation d'une api web avec asp
Novencia Groupe
 
Déployer une application directement depuis visual studio 2010
Déployer une application directement depuis visual studio 2010Déployer une application directement depuis visual studio 2010
Déployer une application directement depuis visual studio 2010
Novencia Groupe
 

Mais de Novencia Groupe (20)

Datalake de l'idée à la plateforme
Datalake de l'idée à la plateformeDatalake de l'idée à la plateforme
Datalake de l'idée à la plateforme
 
Ambient intelligence & bigdata
Ambient intelligence & bigdataAmbient intelligence & bigdata
Ambient intelligence & bigdata
 
Workshop Fonctionnel - Mecanisme surveillance unique
Workshop Fonctionnel - Mecanisme surveillance uniqueWorkshop Fonctionnel - Mecanisme surveillance unique
Workshop Fonctionnel - Mecanisme surveillance unique
 
Workshop Fonctionnel - TITRISATION : LE RETOUR
Workshop Fonctionnel - TITRISATION : LE RETOURWorkshop Fonctionnel - TITRISATION : LE RETOUR
Workshop Fonctionnel - TITRISATION : LE RETOUR
 
L’approche Big Data en finance de marché 2/2
L’approche Big Data en finance de marché 2/2L’approche Big Data en finance de marché 2/2
L’approche Big Data en finance de marché 2/2
 
L’approche Big Data en finance de marché 1/2
L’approche Big Data en finance de marché 1/2L’approche Big Data en finance de marché 1/2
L’approche Big Data en finance de marché 1/2
 
Les Acronymes financiers de 2014
Les Acronymes financiers de 2014Les Acronymes financiers de 2014
Les Acronymes financiers de 2014
 
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
FATCA et DODD-FRANK : Deux lois américaines qui s’imposent aux banques europé...
 
Qualité de code, sonar, la dette
Qualité de code, sonar, la detteQualité de code, sonar, la dette
Qualité de code, sonar, la dette
 
Sonar
Sonar Sonar
Sonar
 
Visual studio 2012
Visual studio 2012Visual studio 2012
Visual studio 2012
 
Euro II : Nouvelle donne 2012
Euro II : Nouvelle donne 2012Euro II : Nouvelle donne 2012
Euro II : Nouvelle donne 2012
 
Les systèmes de compensation
Les systèmes de compensationLes systèmes de compensation
Les systèmes de compensation
 
Présentation des marché de capitaux
Présentation des marché de capitauxPrésentation des marché de capitaux
Présentation des marché de capitaux
 
Mobile development
Mobile developmentMobile development
Mobile development
 
Nouveautés disponibles dans asp
Nouveautés disponibles dans aspNouveautés disponibles dans asp
Nouveautés disponibles dans asp
 
La crise de l'euro
La crise de l'euroLa crise de l'euro
La crise de l'euro
 
Introduction à la finance de marché
Introduction à la finance de marchéIntroduction à la finance de marché
Introduction à la finance de marché
 
Utilisation d'une api web avec asp
Utilisation d'une api web avec aspUtilisation d'une api web avec asp
Utilisation d'une api web avec asp
 
Déployer une application directement depuis visual studio 2010
Déployer une application directement depuis visual studio 2010Déployer une application directement depuis visual studio 2010
Déployer une application directement depuis visual studio 2010
 

Configurer ldaps sur un dc (avec une

  • 1. Configurer LDAPS sur un dc (avec une AC stand-alone) Auteur: Sébastien BOGDANOWITCH
  • 2. Un DC utilise comme protocole d'accès à l'annuaire le LDAP (nativement passant par le port 389). Implémenter SSL sur LDAPS permet de sécuriser les échanges entre un client et le DC. Qui dit SSL dit certificat et donc Autorité de certification (AC). Le principe sera donc de permettre à des clients reconnaissant l'AC et ayant eux même un certificat délivré par cette AC d'établir une session LADP(S) avec un DC. Dans notre exemple nous allons donc prendre un DC et une AC Autonome (l'autorité de certification est un serveur membre n'appartenant pas au domaine du DC en question). 1-Ajouter une autorité de certification sur le DC Pour obtenir les autorités reconnus (de confiance) par votre DC, ouvrer une MMC et ajouter le composant « Certificats » pour l'ordinateur local. Sous « Trusted Root Certification Autorities » puis « Certificates » vous allez obtenir les AC reconnues pas votre ordinateur (Notre DC dans le cas présent). 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 2
  • 3. Pour notre test nous allons utiliser une AC non reconnue (ABAVRT01), Nous allons donc demander le certificat de cette AC. Je vais faire la demande via le web site de l'AC, pour cela il faut cliquer sur « Download a CA certificate, certificate chain or CRL », sélectionner l'AC (dans le cas présent il n'y en a qu'une) et le format. Vous allez obtenir un fichier CER qu'il va falloir importer. Pour cela revenez dans la MMC Certificates : « Trusted Root Certification Authorities » / « Certificates » / « All task » -> Import / Sélectionner le fichier CER et lorsqu'il vous demandera ou devra être stocké le certificat, Sélectionner : « Trusted Root Certification Authorities » 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 3
  • 4. Vous devez obtenir un message comme quoi l'importation s'est bien déroulée et si vous rafraichissez votre mmc « Certificates », vous devez voir apparaitre votre nouvelle AC. L'AC ABAVRT01 est désormais digne de confiance…. Nous pouvons donc passer à la suite. 2-Création/validation/importation du certificat A ce stade, nous allons générer un certificat à partir d'un Template (cette opération ne serait pas nécessaire si nous utilisions une AC Entreprise). Dans le champ Subject, il faut placer le nom FQDN de votre DC, le champ KeyLength vous donnera la taille de la clé (1024,2048 etc….grande clé = + de sécurité et – de perf). [Version]Signature="$Windows NT$ [NewRequest]Subject = "CN=<ABASADS01.aba.lab>" KeySpec = 1 KeyLength = 1024 Exportable = TRUE MachineKeySet = TRUE SMIME = False PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12RequestType = PKCS10 KeyUsage = 0xa0 [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 4
  • 5. Sauvegarder le fichier en xxxx.inf (request.inf dans le cas présent). Ensuite sous une invite de commande taper: CertReq –new request.inf requestDC.req Votre fichier *.req doit ressembler à cela : ----BEGIN NEW CERTIFICATE REQUEST---- MIIDizCCAnMCAQAwHDEaMBgGA1UEAwwRQUJBU0FEUzAxLmFiYS5sYWIwggEiMA0G CSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC89jGsxnuFKC8E/6TpApZ1x55L8cJt 1GOxNHu7EKWnS34V48CNvKxlarR00ivKu7lm+/2cTPBgLxWriclIEso3WEay6/Rr iqKqwZLXBF8s5y7Y94EJqBmFcAv3N8lTNoq/24E+U4q7lUrASPXDo9a26cLHXahr 81FTdCrKIXvi/aVFYZSqDQ2kG7hV9aHIXzBMSuV8CjUgIKgrCSuSm3L93pUwaOBm ncVlPtWLlQDZcVm8wWGSGxZdCuO44GovnTRZsqG5maTb8CaYT7085XG6So2yqRgC yTlje/zQy5YuuRsIubJQFy9BDlcfbzZfQXRA8e6t31hR4yOMTF5PzWvvAgMBAAGg ggEoMBoGCisGAQQBgjcNAgMxDBYKNi4xLjc2MDAuMjBBBgkrBgEEAYI3FRQxNDAy AgEJDBFBQkFTQURTMDEuYWJhLmxhYgwRQUJBXGFkbWluaXN0cmF0b3IMB2NlcnRy ZXEwUwYJKoZIhvcNAQkOMUYwRDAOBgNVHQ8BAf8EBAMCBaAwEwYDVR0lBAwwCgYI KwYBBQUHAwEwHQYDVR0OBBYEFOnbI3f8u6zi6QPBrf4hF/A2lazDMHIGCisGAQQB gjcNAgIxZDBiAgEBHloATQBpAGMAcgBvAHMAbwBmAHQAIABSAFMAQQAgAFMAQwBo AGEAbgBuAGUAbAAgAEMAcgB5AHAAdABvAGcAcgBhAHAAaABpAGMAIABQAHIAbwB2 AGkAZABlAHIDAQAwDQYJKoZIhvcNAQEFBQADggEBACzM5GXWCZHLjtV56SnJF2Ys ksNFtKJvUzTAn9lKTWakHlQ6Quy9ywrgnkvTzB9x5K5g33nYSWqgRbogiiGZNdvI pL1GUI+PkhAl00ngxz1B2J2BN8LINFXmOp6VFkDvTcJzH3YQRDWqSQ6E+9ztZ3eo 74EpvwLsI6X8DH96Jgx/1XI/8WkTHIINyw6IxpwmfBSxnL/SH/CWimpd7MqnE/1f ChXvLLTjZ0juu+Z2vaO955rSXSnAj0TfO7n4GyIW0VoDM84dj6n7OJ2PkAIy/nbN 3ZJIyxWXwHWDe/lvs2ENoL19U7LuP5SS2gMcECzcqaODlLGwCAXReJBg+WkspA8= ----END NEW CERTIFICATE REQUEST--- 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 5
  • 6. Une fois que le fichier .Req a bien été généré, il faut maintenant le faire signer par notre AC. Pour cela vous retournez sur l'interface web de votre AC : Request a certificate Submit an advanced certificate request Submit a certifiate request using by using a base 64-encoded CMC or PKCS#10 …… Il faut ensuite faire un copier/coller du contenu du fichier REQ dans le champ « saved request » et faire un Submit. 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 6
  • 7. Une fois que la requête a été soumise il faut aller la valider sur l'AC et une fois celle-ci validée (ce n'est pas l'objet de l'article donc je passe ce point) il faut retourner sur l'interface web, (dans pending request) et enregistrer le certificat. Il ne reste plus qu'à l'importer, via la MMC certificate dans Personnalcertificates ou via une invite de commande avec la commande suivant : Certreq –accept <Certificate> Dans les deux cas, voici le résultat que vous devriez obtenir dans la MMC certificats. Nous voyons bien le certificat émis par notre AC ABAVRT01 (avec comme Enhanced Key Usage = Server Authentication) 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 7
  • 8. A partir de maintenant nous avons tous les ingrédients pour que LADPS fonctionne sur votre DC ; Pour tester ouvrez LDP : Connections Server : votre DC Port : 636 SSL : coché OK 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 8
  • 9. Vous devriez obtenir le résultat ci-dessus, avec dans l'entête « ldaps//DC/DC=domaine,DC=com» LADP over SSL est donc actif sur ce DC (uniquement sur ce DC) et la connexion via cette méthode ne pourra se faire qu'à partir de client ayant eux même un certificat serveur délivré par notre AC. 24/01/2012 Groupe NOVENCIA - 25 Rue de Maubeuge 75009 PARIS - Tél. : 01 44 63 53 13 - Fax : 01 44 63 53 14 - www.novencia.com - contact@novencia.com 9