Active Directory: configuración del protocolo LDAPS

Windows Server 2019Windows Server 2022Windows Server 2025

En este tutorial explicaré cómo configurar el protocolo LDAPS en un entorno Directorio activo con conexiones seguras a controladores de dominio mediante una conexión SSL.

En la práctica, como veréis en este tutorial, no hay ninguna configuración a nivel de Active Directory, sino que donde hay SSL, hay un certificado, y eso es lo que veremos en este tutorial, cómo emitir un certificado a los controladores de dominio para poder responder a la petición LDAPS en el puerto 636.

Para comenzar, necesitará una autoridad de certificación empresarial. AD CS.

Es posible utilizar certificados autofirmados, pero considero que esta opción es complicada de implementar porque luego hay que implementar el certificado y no tenemos la posibilidad de revocarlos.

Tabla de contenido

Configurar la plantilla de certificado

El primer paso será configurar una plantilla de certificado para la conexión LDAPS, para ello utilizaremos la plantilla de certificado de Autenticación Kerberos, ya que nos permite tener en los nombres DNS, además del nombre del servidor que realiza la petición, el nombre DNS del dominio, lo que nos permite configurar la conexión LDAPS utilizando el nombre DNS del dominio en lugar del nombre del controlador de dominio.

Comience abriendo la consola de administración de la autoridad de certificación, luego vaya a la carpeta Plantillas de certificado 1.

Haga clic derecho en Plantillas de certificado y haga clic en Administrar 1.

Haga clic con el botón derecho en la plantilla de autenticación Kerberos y haga clic en Duplicar plantilla 1.

En la pestaña General, ingrese el nombre del modelo 1.

En la pestaña Procesamiento de solicitud, marque la casilla Permitir exportación de clave privada 1 si cree que necesita exportar el certificado con ella.

En la pestaña Nombre del sujeto, verifique que la opción seleccionada sea Generar a partir de esta información de Active Directory 1 y que la opción Nombre DNS 2 esté marcada.

A continuación, vaya a la pestaña Extensiones, seleccione Política de aplicación 1 y haga clic en el botón Editar 2.

Seleccione Autenticación KDC 1 y haga clic en Eliminar 2 y haga lo mismo con el inicio de sesión con tarjeta inteligente.

Con las estrategias configuradas, haga clic en Aceptar 1 para cerrar la ventana.

Haga clic en Aplicar 1 y Aceptar 2 ahora para crear la nueva plantilla.

Se crea el modelo LDAPS.

De regreso a la consola de administración de la Autoridad de Certificación, haga clic con el botón derecho en Plantillas de certificado, luego vaya a Nuevo 1 y haga clic en Plantilla de certificado a emitir 2.

Seleccione el modelo LDAPS 1 que acabamos de crear y luego haga clic en Aceptar 2 para agregarlo.

Se ha añadido el modelo LDAPS a los certificados emitidos por la autoridad de certificación.

Solicitar el certificado a un controlador de dominio

Abra la consola MMC de certificados en la computadora local (busque desde el menú Inicio) y vaya a la carpeta Personal / Certificados.

Haga clic derecho en el área central, luego vaya a Todas las tareas 1 y haga clic en Solicitar un nuevo certificado 2.

Al iniciar el asistente, haga clic en el botón Siguiente 1.

Seleccione: Estrategia de registro de Active Directory 1 y luego haga clic en el botón Siguiente 2.

En la lista de modelos, elija el modelo LDAPS 1 que creamos y luego haga clic en Registro 2.

Se ha generado el certificado, cierre el asistente haciendo clic en Finalizar 1.

El certificado se agrega al almacén personal de la computadora.

Probar la conexión LDAPS

Para finalizar este tutorial, verificaremos la conexión LDAPS a nuestro controlador de dominio. Desde Windows, usaremos ldp.exe. Si tiene otro controlador de dominio, conéctese a él; de lo contrario, instale las herramientas de administración disponibles en las características de Windows Server.

Ejecute ldp.exe desde una ventana de ejecución.

Desde el menú, haga clic en Conexión 1 y luego en Conectar 2.

Ingrese el FQDN 1 del controlador de dominio, ingrese el puerto 636 2, marque la casilla SSL 3 y luego haga clic en el botón Aceptar 4.

Estamos conectados al controlador de dominio a través de LDAPS.

Ahora sabe cómo utilizar una conexión LDAPS dentro de su entorno de Active Directory utilizando una autoridad de certificación ADCS.

Es posible generar automáticamente el certificado utilizando un política de grupo si es necesario.

Active directory
Active DirectoryCertificadoLDAPSeguridadSSL
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Arquitecto de sistemas | MCSE: Infraestructura básica
Experto en infraestructura de TI con más de 15 años de experiencia en el sector. Actualmente, como Gerente de Proyectos de Sistemas y Redes y experto en Seguridad de Sistemas de Información (ISS), utilizo mi experiencia para garantizar la fiabilidad y seguridad de los entornos tecnológicos.

Deja un comentario