LDAP over SSL oder Sercure LDAP (LDAPs) mit Server 2008/R2

In der vergangenen Woche stand ich vor der vermeintlich einfachen Aufgabe LDAPs auf Windows Server 2008R2 Domain Controllern zu aktivieren. Eine spezielle Anwendung setzt eine verschlüsselte LDAP Verbindung voraus, da hier unter anderem auch Passwortänderungen über LDAP ausgeführt werden.

Mit meinen jugendlichen Leichtsinn dachte ich: ganz einfach – ein Serverzertifikat für den DC erstellen und mit der Zertifikate MMC für den Computeraccount unter “personal” importieren – fertig.

Doch so einfach geht das mit Windows Server 2008 / 2008R2 nicht mehr…

Mit dem auf diese Weise installierten Serverzertifikat wurde auf dem DC ordnungsgemäß der Port 636 für LDAPs aktiv. Eine Telnet Verbindung war ebenfalls möglich. Leider kam keine LDAPs Verbindung mit dem Anwendungsserver zu Stande (Ja, das Root Zertifikat wurde auf dem Anwendungsserver installiert).

Nachforschungen ergaben, dass hier eine Änderung mit Windows Server 2008 / 2008R2 eingeführt wurde. Das Serverzertifikat muss in den “AD DS personal store” importiert werden – und das geht so:

 MMC Console / Add or Remove Snap-Ins / Certificates

Select Computer: Local Computer

Select Service Account: Active Directory Domain Services

Das Zertifikat wird in den Store “NTDS\Personal” importiert:

Link zum Microsoft Technet Artikel