kurz: konfigurace protokolu secure LDAP pro doménu spravovanou službou Azure Active Directory domain Services

pro komunikaci se spravovanou doménou služby Azure Active Directory Domain Services (Azure služba AD DS) se používá protokol LDAP (Lightweight Directory Access Protocol). Ve výchozím nastavení nejsou přenosy LDAP šifrované, což je bezpečnostní zabezpečení pro mnoho prostředí.

V případě Azure služba AD DS můžete nakonfigurovat spravovanou doménu tak, aby používala zabezpečený protokol LDAPs (Lightweight Directory Access Protocol). Pokud používáte zabezpečený protokol LDAP, přenos se zašifruje. Protokol Secure LDAP se také označuje jako protokol LDAP over SSL (Secure Sockets Layer) (SSL)/TLS (Transport Layer Security).

V tomto kurzu se dozvíte, jak nakonfigurovat LDAPs pro spravovanou doménu Azure služba AD DS.

V tomto kurzu se naučíte:

Pokud ještě nemáte předplatné Azure, vytvořte si účet před tím, než začnete.

Požadavky

K dokončení tohoto kurzu potřebujete následující prostředky a oprávnění:

• Musíte mít aktivní předplatné Azure.
  • Pokud nemáte předplatné Azure, vytvořte účet.
• tenant Azure Active Directory přidružený k vašemu předplatnému, buď synchronizovaný s místním adresářem, nebo jenom s cloudovým adresářem.
  • v případě potřeby vytvořte tenanta Azure Active Directory nebo přidružte předplatné Azure k vašemu účtu.
• ve vašem tenantovi Azure AD je povolená a nakonfigurovaná doména spravovaná doménovou službou Azure Active Directory.
  • v případě potřeby vytvořte a nakonfigurujte spravovanou doménu Azure Active Directory domain Services.
• V počítači je nainstalovaný nástroj LDP.exe .
  • V případě potřeby nainstalujte nástroje pro vzdálenou správu serveru (RSAT) pro Active Directory Domain Services a protokol LDAP.

Přihlášení k webu Azure Portal

V tomto kurzu nakonfigurujete zabezpečený protokol LDAP pro spravovanou doménu pomocí Azure Portal. Chcete-li začít, nejprve se přihlaste k Azure Portal.

Vytvoření certifikátu pro zabezpečený protokol LDAP

Chcete-li použít zabezpečený protokol LDAP, je k šifrování komunikace použit digitální certifikát. Tento digitální certifikát se použije ve vaší spravované doméně a umožňuje nástrojům, jako je LDP.exe při dotazování na data použít zabezpečenou šifrovanou komunikaci. Existují dva způsoby, jak vytvořit certifikát pro zabezpečený přístup LDAP ke spravované doméně:

• Certifikát od veřejné certifikační autority (CA) nebo certifikační autority organizace.
  • Pokud vaše organizace získá certifikáty od veřejné certifikační autority, Získejte certifikát zabezpečeného protokolu LDAP od této veřejné certifikační autority. Pokud ve vaší organizaci používáte certifikační autoritu organizace, Získejte certifikát zabezpečeného protokolu LDAP od certifikační autority organizace.
  • Veřejná certifikační autorita funguje jenom v případě, že používáte vlastní název DNS se spravovanou doménou. Pokud končí název domény DNS vaší spravované domény v . onmicrosoft.com, nemůžete vytvořit digitální certifikát pro zabezpečení připojení s touto výchozí doménou. Společnost Microsoft vlastní doménu . onmicrosoft.com , takže Veřejná certifikační autorita nevydá certifikát. V tomto scénáři vytvořte certifikát podepsaný svým držitelem a použijte ho ke konfiguraci zabezpečeného protokolu LDAP.
• Certifikát podepsaný svým držitelem, který vytvoříte sami.
  • Tento přístup je dobrý pro účely testování a je to, co tento kurz ukazuje.

Certifikát, který požadujete nebo vytvoříte, musí splňovat následující požadavky. Pokud povolíte zabezpečený protokol LDAP s neplatným certifikátem, zjistí vaše spravovaná doména tyto problémy:

• Důvěryhodný Vystavitel – certifikát musí být vydán autoritou, která je důvěryhodná pro počítače připojující se ke spravované doméně pomocí protokolu Secure LDAP. tato autorita může být veřejná certifikační autoritou nebo Enterprise certifikační autoritou, kterou tyto počítače důvěřují.
• Doba života – certifikát musí být platný minimálně v následujících 3-6 měsících. Po vypršení platnosti certifikátu dojde k přerušení přístupu k spravované doméně protokol Secure LDAP.
• Název subjektu – název subjektu v certifikátu musí být vaše spravovaná doména. Pokud je vaše doména například s názvem aaddscontoso.com, musí být název subjektu certifikátu *. aaddscontoso.com.
  • Název DNS nebo alternativní název subjektu certifikátu musí být certifikátem se zástupným znakem, aby zabezpečený protokol LDAP správně fungoval s Azure AD Domain Services. Řadiče domény používají náhodné názvy a je možné je odebrat nebo přidat, abyste zajistili, že služba zůstane dostupná.
• Použití klíče – certifikát musí být nakonfigurovaný pro digitální podpisy a šifrování klíče.
• Účel certifikátu – certifikát musí být platný pro ověřování serveru TLS.

K dispozici je několik nástrojů pro vytvoření certifikátu podepsaného svým držitelem, jako je OpenSSL, nástroj pro vytváření, MakeCert, rutina New-SelfSignedCertificate atd.

V tomto kurzu vytvoříme certifikát podepsaný svým držitelem pro zabezpečení LDAP pomocí rutiny New-SelfSignedCertificate .

Otevřete okno PowerShellu jako správce a spusťte následující příkazy. Nahraďte $DnsName PROMĚNNOU názvem DNS použitým vaší vlastní spravovanou doménou, například aaddscontoso.com:

# Define your own DNS name used by your managed domain
$dnsName="aaddscontoso.com"

# Get the current date to set a one-year expiration
$lifetime=Get-Date

# Create a self-signed certificate for use with Azure AD DS
New-SelfSignedCertificate -Subject *.$dnsName `
  -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
  -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName

Následující příklad výstupu ukazuje, že certifikát se úspěšně vygeneroval a je uložený v místním úložišti certifikátů (úložišti LocalMachine\MY):

PS C:\WINDOWS\system32> New-SelfSignedCertificate -Subject *.$dnsName `
>>   -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment `
>>   -Type SSLServerAuthentication -DnsName *.$dnsName, $dnsName.com

   PSParentPath: Microsoft.PowerShell.Security\Certificate::LocalMachine\MY

Thumbprint                                Subject
----------                                -------
959BD1531A1E674EB09E13BD8534B2C76A45B3E6  CN=aaddscontoso.com

Pochopení a export požadovaných certifikátů

Aby bylo možné používat zabezpečený protokol LDAP, je síťový provoz zašifrovaný pomocí infrastruktury veřejných klíčů (PKI).

• Privátní klíč se použije ve spravované doméně.
  • Tento privátní klíč se používá k dešifrování zabezpečeného provozu LDAP. Privátní klíč by měl být použit pouze pro spravovanou doménu a není široce distribuován do klientských počítačů.
  • Certifikát, který obsahuje privátní klíč, používá . Formát souboru PFX.
  • Při exportování certifikátu je nutné zadat šifrovací algoritmus TripleDES-SHA1 . To platí jenom pro soubor. pfx a nemá vliv na algoritmus používaný samotným certifikátem. Všimněte si, že možnost TripleDES-SHA1 je k dispozici pouze od Windows Server 2016.
• Veřejný klíč se použije pro klientské počítače.
  • Tento veřejný klíč slouží k šifrování zabezpečeného přenosu LDAP. Veřejný klíč lze distribuovat do klientských počítačů.
  • Certifikáty bez privátního klíče používají . Formát souboru CER.

Tyto dva klíče, privátní a veřejné klíče, zajistí, že mezi sebou můžou úspěšně komunikovat jenom příslušné počítače. Pokud používáte veřejnou certifikační autoritu nebo certifikační autoritu organizace, vydáváte certifikát, který obsahuje privátní klíč, a můžete ho použít pro spravovanou doménu. Veřejný klíč by již měl být známý a důvěryhodný pro klientské počítače.

V tomto kurzu jste vytvořili certifikát podepsaný svým držitelem s privátním klíčem, takže potřebujete exportovat příslušné privátní a veřejné součásti.

Export certifikátu pro Azure služba AD DS

Předtím, než budete moci použít digitální certifikát vytvořený v předchozím kroku se spravovanou doménou, exportujte certifikát do . Soubor certifikátu PFX, který obsahuje privátní klíč.

1. chcete-li otevřít dialogové okno spustit , vyberte Windows + klíče R .

2. Otevřete konzolu MMC (Microsoft Management Console) tak, že v dialogovém okně Spustit zadáte MMC a pak vyberete OK.

3. Na příkazovém řádku pro řízení uživatelských účtů vyberte Ano , aby se MMC spouštěla jako správce.

4. V nabídce soubor vyberte Přidat nebo odebrat modul snap-in...

5. V průvodci modulem snap-in Certifikáty zvolte položku účet počítače a pak klikněte na tlačítko Další.

6. Na stránce Vybrat počítač zvolte místní počítač: (počítač, na kterém je spuštěna tato konzola) a pak vyberte Dokončit.

7. V dialogovém okně Přidat nebo odebrat moduly snap-in vyberte OK a přidejte modul snap-in Certifikáty do konzoly MMC.

8. V okně MMC rozbalte kořen konzoly. Vyberte certifikáty (místní počítač), potom rozbalte osobní uzel a potom uzel certifikáty .

   

9. Zobrazí se certifikát podepsaný svým držitelem, který jste vytvořili v předchozím kroku, například aaddscontoso.com. Vyberte tento certifikát pravým tlačítkem a pak vyberte všechny úlohy > exportovat...

   

10. V Průvodci exportem certifikátu vyberte Další.

11. Privátní klíč certifikátu musí být exportován. Pokud privátní klíč není zahrnutý v exportovaném certifikátu, akce pro povolení zabezpečeného LDAP pro spravovanou doménu se nezdařila.

    Na stránce exportovat soukromý klíč vyberte možnost Ano, exportovat privátní klíč a potom vyberte možnost Další.

12. Spravované domény podporují jenom . Formát souboru certifikátu PFX, který obsahuje privátní klíč. Neexportujte certifikát jako . Formát souboru certifikátu CER bez privátního klíče.

    na stránce formát souboru pro Export vyberte osobní údaje Exchange-PKCS #12 (. PFX) jako formát souboru pro exportovaný certifikát. Zaškrtněte políčko Zahrnout všechny certifikáty na cestě k certifikátu, pokud je to možné:

    

13. Vzhledem k tomu, že tento certifikát slouží k dešifrování dat, byste měli pečlivě řídit přístup. K ochraně použití certifikátu je možné použít heslo. Bez správného hesla nelze certifikát použít pro službu.

    Na stránce Zabezpečení zvolte možnost Pro ochranu hesla. Soubor certifikátu PFX. Šifrovací algoritmus musí být TripleDES-SHA1. Zadejte a potvrďte heslo a pak vyberte Další. Toto heslo se používá v další části k povolení protokolu LDAPS pro spravovanou doménu.

    Pokud exportujete pomocí rutiny powershellu export-pfxcertificate, musíte předat příznak -CryptoAlgorithmOption pomocí rutiny TripleDES_SHA1.

    

14. Na stránce Soubor k exportu zadejte název souboru a umístění, kam chcete certifikát exportovat, například C:\Users\název_účtu\azure-ad-ds.pfx. Poznamenejte si heslo a umístění . Soubor PFX, protože tyto informace by se vyžadovaly v dalších krocích.

15. Na stránce kontrola vyberte Dokončit a exportujte certifikát do . Soubor certifikátu PFX. Po úspěšném exportu certifikátu se zobrazí potvrzovací dialogové okno.

16. Nechte konzolu MMC otevřenou pro použití v následující části.

Export certifikátu pro klientské počítače

Klientské počítače musí důvěřovat vystavitele certifikátu protokolu SECURE LDAP, aby se mohl úspěšně připojit ke spravované doméně pomocí protokolu LDAPS. Klientské počítače potřebují certifikát pro úspěšné šifrování dat dešifrovaných pomocí Azure AD DS. Pokud používáte veřejnou certifikační autoritu, počítač by měl těmto vystavitelům certifikátů automaticky důvěřovat a mít odpovídající certifikát.

V tomto kurzu použijete certifikát podepsaný svým držitelem a v předchozím kroku jste vygeneroval certifikát, který obsahuje privátní klíč. Teď exportujte certifikát podepsaný svým držitelem a nainstalujte ho do úložiště důvěryhodných certifikátů v klientském počítači:

1. Zpět konzoly MMC pro certifikáty (místní počítač) > osobní > certifikáty. Zobrazí se certifikát podepsaný svým držitelem vytvořený v předchozím kroku, například aaddscontoso.com. Vyberte tento certifikát pravým tlačítkem a pak zvolte Všechny úlohy > Export...

2. V Průvodci exportem certifikátu vyberte Další.

3. Vzhledem k tomu, že privátní klíč pro klienty nepotřebujete, na stránce Exportovat privátní klíč zvolte Ne, privátní klíč neexportujte a pak vyberte Další.

4. Na stránce Formát souboru pro export vyberte X.509 s kódováním Base-64 (. CER) jako formát souboru exportovaného certifikátu:

   

5. Na stránce Soubor k exportu zadejte název souboru a umístění, kam chcete certifikát exportovat, například C:\Users\název_účtu\azure-ad-ds-client.cer.

6. Na stránce kontrola vyberte Dokončit a exportujte certifikát do . Soubor certifikátu CER. Po úspěšném exportu certifikátu se zobrazí potvrzovací dialogové okno.

. Soubor certifikátu CER se teď může distribuovat do klientských počítačů, které potřebují důvěřovat zabezpečenému připojení LDAP ke spravované doméně. Pojďme certifikát nainstalovat na místní počítač.

1. Otevřete Průzkumník souborů a přejděte do umístění, kam jste uložili . Soubor certifikátu CER, například C:\Users\název_účtu\azure-ad-ds-client.cer.

2. Pravým tlačítkem vyberte . Soubor certifikátu CER a pak zvolte Nainstalovat certifikát.

3. V Průvodci importem certifikátu zvolte uložení certifikátu do místního počítače a pak vyberte Další:

   

4. Po zobrazení výzvy zvolte Ano, aby počítač měl možnost provádět změny.

5. Zvolte Automaticky vybrat úložiště certifikátů na základě typu certifikátu a pak vyberte Další.

6. Na stránce revize vyberte Dokončit a naimportujte . Certifikát CER. soubor Po úspěšném importu certifikátu se zobrazí potvrzovací dialogové okno.

Povolení protokolu Secure LDAP pro Azure AD DS

Po vytvoření a exportu digitálního certifikátu, který obsahuje privátní klíč, a klientský počítač nastavený tak, aby připojení důvěřoval, teď ve spravované doméně povolte protokol Secure LDAP. Pokud chcete povolit protokol Secure LDAP ve spravované doméně, proveďte následující kroky konfigurace:

1. V části Azure Portaldo pole Hledat prostředky zadejte domain services. Ve Azure AD Domain Services hledání vyberte Azure AD Domain Services.

2. Zvolte spravovanou doménu, například aaddscontoso.com.

3. Na levé straně okna Azure AD DS zvolte protokol Secure LDAP.

4. Ve výchozím nastavení je přístup secure LDAP k vaší spravované doméně zakázaný. Přepněte protokol Secure LDAP povolit.

5. protokol Secure LDAP přístup k vaší spravované doméně přes internet je ve výchozím nastavení zakázaný. Když povolíte veřejný zabezpečený přístup LDAP, vaše doména bude náchylná k útokům hrubou silou na hesla přes internet. V dalším kroku je skupina zabezpečení sítě nakonfigurovaná tak, aby uzamknout přístup pouze k požadovaným rozsahům zdrojových IP adres.

   Přepněte Povolit zabezpečený přístup PŘES PROTOKOL LDAP přes internet na Povolit.

6. Vyberte ikonu složky vedle . Soubor PFX s certifikátem protokolu LDAPS . Přejděte na cestu . Soubor PFX a pak vyberte certifikát vytvořený v předchozím kroku, který obsahuje privátní klíč.

   Důležité

   Jak je uvedené v předchozí části týkající se požadavků na certifikáty, nemůžete použít certifikát z veřejné certifikační autority s výchozí doménou .onmicrosoft.com. Microsoft vlastní doménu .onmicrosoft.com, takže veřejná certifikační autorita nevydá certifikát.

   Ujistěte se, že je váš certifikát ve vhodném formátu. Pokud tomu tak není, platforma Azure generuje chyby ověření certifikátu při povolení protokolu Secure LDAP.

7. Zadejte heslo pro dešifrování . Soubor PFX nastavený v předchozím kroku při exportu certifikátu do . Soubor PFX.

8. Výběrem možnosti Uložit povolte protokol Secure LDAP.

   

Zobrazí se oznámení o konfiguraci protokolu Secure LDAP pro spravovanou doménu. Dokud se tato operace nedokoní, nemůžete upravit další nastavení spravované domény.

Povolení protokolu LDAPS pro spravovanou doménu trvá několik minut. Pokud zadaný certifikát secure LDAP neodpovídá požadovaným kritériím, akce povolení protokolu Secure LDAP pro spravovanou doménu selže.

Mezi běžné důvody selhání dochází v případě nesprávného názvu domény, šifrovacího algoritmus certifikátu není TripleDES-SHA1 nebo platnost certifikátu brzy vyprší nebo už vypršela. Můžete znovu vytvořit certifikát s platnými parametry a pak pomocí tohoto aktualizovaného certifikátu povolit protokol Secure LDAP.

Změna certifikátu, u který vyprší platnost

1. Vytvořte náhradní certifikát protokolu Secure LDAP pomocí postupu vytvoření certifikátu pro protokol SECURE LDAP.
2. Pokud chcete použít náhradní certifikát pro Azure AD DS, v nabídce vlevo pro Azure AD DS v Azure Portal vyberte protokol Secure LDAP a pak vyberte Změnit certifikát.
3. Distribuujte certifikát klientům, kteří se připojují pomocí protokolu Secure LDAP.

Uzamknutí přístupu secure LDAP přes internet

Když povolíte zabezpečený přístup LDAP přes internet ke spravované doméně, vytvoří se bezpečnostní hrozba. Spravovaná doména je přístupná z internetu na portu TCP 636. Doporučuje se omezit přístup ke spravované doméně na konkrétní známé IP adresy pro vaše prostředí. K omezení přístupu k protokolu Secure LDAP je možné použít pravidlo skupiny zabezpečení sítě Azure.

Vytvoříme pravidlo, které povolí příchozí přístup přes protokol LDAP přes port TCP 636 ze zadané sady IP adres. Výchozí pravidlo DenyAll s nižší prioritou platí pro všechny ostatní příchozí přenosy z internetu, takže se k vaší spravované doméně mohou dostat jenom zadané adresy pomocí protokolu Secure LDAP.

1. V Azure Portal levém navigačním panelu vyberte Skupiny prostředků.

2. Zvolte skupinu prostředků, například myResourceGroup, a pak vyberte skupinu zabezpečení sítě, například aaads-nsg.

3. Zobrazí se seznam existujících příchozích a odchozích pravidel zabezpečení. Na levé straně okna skupiny zabezpečení sítě zvolte Nastavení > příchozí pravidla zabezpečení.

4. Vyberte Přidat a pak vytvořte pravidlo, které povolí port TCP 636. Pro lepší zabezpečení zvolte zdroj jako IP adresy a pak zadejte vlastní platnou IP adresu nebo rozsah pro vaši organizaci.

   Nastavení	Hodnota
   Zdroj	IP adresy
   Zdrojové IP adresy / rozsahy CIDR	Platná IP adresa nebo rozsah pro vaše prostředí
   Rozsahy zdrojových portů	*
   Cíl	Libovolný
   Rozsahy cílových portů	636
   Protokol	TCP
   Akce	Povolit
   Priorita	401
   Název	AllowLDAPS

5. Až budete připravení, uložte a použijte pravidlo výběrem možnosti Přidat.

   

Konfigurace zóny DNS pro externí přístup

S povoleným zabezpečeným přístupem LDAP přes internet aktualizujte zónu DNS tak, aby klientské počítače tuto spravovanou doménu dokázaly najít. Externí protokol Secure LDAP IP adresa je uvedená na kartě Vlastnosti pro vaši spravovanou doménu:

Nakonfigurujte externího poskytovatele DNS tak, aby vytvořil záznam hostitele, například ldaps, a překládejte ho na tuto externí IP adresu. Pokud chcete nejprve testovat místně na svém počítači, můžete vytvořit položku v souboru Windows hostitelů. Pokud chcete úspěšně upravit soubor hostitelů na místním počítači, otevřete Poznámkový blok jako správce a pak otevřete soubor C:\Windows\System32\drivers\etc\hosts.

Následující příklad položky DNS, buď u externího poskytovatele DNS, nebo v souboru místních hostitelů, překládá provoz pro ldaps.aaddscontoso.com na externí IP adresu 168.62.205.103:

168.62.205.103    ldaps.aaddscontoso.com

Testování dotazů na spravovanou doménu

Pokud se chcete připojit ke spravované doméně a prohledat protokol LDAP, použijte nástroj LDP.exe. Tento nástroj je součástí balíčku Nástroje pro vzdálenou správu serveru (RSAT). Další informace najdete v tématu instalace Nástroje pro vzdálenou správu serveru.

1. Otevřete LDP.exe a připojte se ke spravované doméně. Vyberte Připojení a pak zvolte Připojení....
2. Zadejte název domény DNS protokolu Secure LDAP vaší spravované domény vytvořené v předchozím kroku, například ldaps.aaddscontoso.com. Pokud chcete použít protokol Secure LDAP, nastavte Port na 636 a potom zaškrtněte políčko SSL.
3. Vyberte OK a připojte se ke spravované doméně.

Dále vytvořte vazbu na spravovanou doménu. Pokud jste pro spravovanou doménu zakázali synchronizaci hodnot hash hesel NTLM, uživatelé (a účty služeb) nemůže provádět jednoduché vazby protokolu LDAP. Další informace o zakázání synchronizace hodnot hash hesel NTLM najdete v tématu Zabezpečení spravované domény.

1. Vyberte možnost nabídky Připojení a pak zvolte Vytvořit vazbu....
2. Zadejte přihlašovací údaje uživatelského účtu, který patří do spravované domény. Zadejte heslo uživatelského účtu a zadejte doménu, například aaddscontoso.com.
3. Jako Typ vazby zvolte možnost Vytvořit vazbu s přihlašovacími údaji.
4. Vyberte OK a vytvořte vazbu na spravovanou doménu.

Zobrazení objektů uložených ve spravované doméně:

1. Vyberte možnost nabídky Zobrazení a pak zvolte Strom.

2. Pole BaseDN ponechte prázdné a pak vyberte OK.

3. Zvolte kontejner, například Uživatelé AADDC, vyberte kontejner pravým tlačítkem a zvolte Hledat.

4. Ponechte předem vyplněná pole nastavená a pak vyberte Spustit. Výsledky dotazu se zobrazí v pravém okně, jak je znázorněno v následujícím příkladu výstupu:

   

Pokud chcete přímo zadat dotaz na konkrétní kontejner, můžete v nabídce Zobrazit > strom zadat základní název domény, například OU=AADDC Users,DC=AADDSCONTOSO,DC=COM nebo OU=AADDC Computers,DC=AADDSCONTOSO,DC=COM. Další informace o formátování a vytváření dotazů najdete v tématu Základy dotazů LDAP.

Vyčištění prostředků

Pokud jste přidali položku DNS do souboru místních hostitelů vašeho počítače pro otestování připojení pro tento kurz, odeberte tuto položku a přidejte do zóny DNS formální záznam. Pokud chcete položku odebrat ze souboru místních hostitelů, proveďte následující kroky:

1. Na místním počítači otevřete Poznámkový blok jako správce.
2. Přejděte do složky C:\Windows\System32\drivers\etc\hosts a otevřete ho.
3. Odstraňte řádek přidaného záznamu, například . 168.62.205.103 ldaps.aaddscontoso.com

Řešení potíží

Pokud se zobrazí chyba s oznámením, LDAP.exe se připojit, zkuste projít různé aspekty získání připojení:

1. Konfigurace řadiče domény
2. Konfigurace klienta
3. Sítě
4. Vytvoření relace protokolu TLS

Pro shodu názvu subjektu certifikátu řadič domény použije název domény Azure AD DS (ne název domény Azure AD) k vyhledání certifikátu v jeho úložiště certifikátů. Pravopisné chyby například brání řadiči domény ve výběru vhodného certifikátu.

Klient se pokusí navázat připojení TLS pomocí názvu, který jste poskytli. Provoz musí projít celým směrem. Řadič domény odešle veřejný klíč ověřovacího certifikátu serveru. Certifikát musí mít správné použití v certifikátu, název podepsaný v názvu subjektu musí být kompatibilní, aby klient důvěřl tomu, že server je název DNS, ke kterému se připojujete (to znamená, že zástupný znak bude fungovat bez pravopisných chyb) a klient musí vystavitele důvěřovat. Všechny problémy v tomto řetězci můžete zkontrolovat v systémovém protokolu v Prohlížeč událostí a filtrovat události, u kterých se zdroj rovná Schannel. Jakmile jsou tyto části na místě, tvoří klíč relace.

Další informace najdete v tématu Metody handshake protokolu TLS.

Další kroky

V tomto kurzu jste se naučili: