Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Azure AD Domain Services

Questo articolo illustra come abilitare l'accesso LDAPS (Secure Lightweight Directory Access Protocol) per il dominio gestito di Servizi di dominio Azure AD. L'accesso LDAP sicuro è noto anche come LDAP (Lightweight Directory Access Protocol) su SSL (Secure Sockets Layer) / TLS (Transport Layer Security).

Prima di iniziare

Per eseguire le attività elencate in questo articolo sono necessari gli elementi seguenti:

  1. Una sottoscrizione di Azurevalida.
  2. Una directory di Azure AD sincronizzata con una directory locale o con una directory solo cloud.
  3. Servizi di dominio Azure AD devono essere abilitati per la directory di Azure AD. Se non è stato fatto, eseguire tutte le attività descritte nella guida introduttiva.
  4. Un certificato da usare per abilitare l'accesso LDAP sicuro.

    • È consigliabile ottenere un certificato da un'autorità di certificazione pubblica attendibile. Questa opzione di configurazione è più sicura.
    • In alternativa, è anche possibile scegliere di creare un certificato autofirmato , come illustrato più avanti in questo articolo.


Requisiti per il certificato LDAP sicuro

Acquisire un certificato valido in base alle linee guida riportate di seguito prima di abilitare l'accesso LDAP sicuro. Se si prova ad abilitare l'accesso LDAP sicuro per il dominio gestito con un certificato non valido o non corretto, si verificano errori.

  1. Autorità di certificazione attendibile : il certificato deve essere emesso da un'autorità ritenuta attendibile dai computer connessi al dominio gestito tramite accesso LDAP sicuro. L'autorità può essere un'autorità di certificazione pubblica considerata attendibile da questi computer.
  2. Durata : il certificato deve essere valido almeno per i 3-6 mesi successivi. L'accesso LDAP sicuro al dominio gestito viene interrotto allo scadere del certificato.
  3. Nome soggetto : il nome del soggetto nel certificato deve includere un carattere jolly per il dominio gestito. Ad esempio, se il dominio è denominato "contoso100.com", il nome del soggetto nel certificato deve essere "*.contoso100.com". Impostare il nome DNS (nome soggetto alternativo) su questo nome con caratteri jolly.
  4. Utilizzo chiavi : il certificato deve essere configurato per l'uso nelle firme digitali e nella crittografia a chiave.
  5. Scopo del certificato : il certificato deve essere valido per l'autenticazione server SSL.
Nota

Autorità di certificazione globali (enterprise): Azure AD Domain Services attualmente non supporta l'uso di certificati LDAP sicuri rilasciati dall'autorità di certificazione globale (enterprise) dell'organizzazione. Questa restrizione è dovuta al fatto che il servizio non considera attendibile la CA come autorità di certificazione radice. Si prevede di aggiungere il supporto per le CA globali (enterprise) in futuro. Se è indispensabile usare certificati rilasciati dalla CA globale (enterprise), contattare il supporto tecnico per assistenza.


Attività 1: Ottenere un certificato per l'accesso LDAP sicuro

La prima attività consiste nell'ottenere un certificato da usare per l'accesso LDAP sicuro al dominio gestito. Sono disponibili due opzioni:

  • Ottenere un certificato da un'autorità di certificazione. L'autorità può essere un'autorità di certificazione pubblica.
  • Creare un certificato autofirmato.

Se l'organizzazione ottiene i certificati da un'autorità di certificazione pubblica, è necessario ottenere il certificato LDAP sicuro dall'autorità di certificazione pubblica.

Quando si richiede un certificato, assicurarsi di soddisfare tutti i requisiti descritti nella sezione Requisiti per il certificato LDAP sicuro.

Nota

I computer client che devono connettersi al dominio gestito tramite l'accesso LDAP sicuro devono considerare attendibile l'autorità emittente del certificato LDAP sicuro.

Opzione B: creare un certificato autofirmato per l'accesso LDAP sicuro

Se non si prevede di usare un certificato di un'autorità di certificazione pubblica, è possibile scegliere di creare un certificato autofirmato per LDAP sicuro.

Creare un certificato autofirmato con PowerShell

Per creare un nuovo certificato autofirmato in un computer Windows, aprire una nuova finestra di PowerShell come amministratore e digitare i comandi seguenti.

$lifetime=Get-Date

New-SelfSignedCertificate -Subject *.contoso100.com -NotAfter $lifetime.AddDays(365) -KeyUsage DigitalSignature, KeyEncipherment -Type SSLServerAuthentication -DnsName *.contoso100.com

Nell'esempio precedente sostituire ".contoso100.com" con il nome di dominio DNS del dominio gestito. Ad esempio, se è stato creato un dominio gestito chiamato 'contoso100.onmicrosoft.com', sostituire '. contoso100.com' nello script precedente con '*.contoso100.onmicrosoft.com').

Selezionare una directory di Azure AD

Il certificato autofirmato appena creato viene inserito nell'archivio certificati del computer locale.

Passaggio successivo

Attività 2: Esportare il certificato LDAP sicuro in un file PFX