使用证书和LDAP验证的SSL ***

最新推荐文章于 2023-05-26 16:07:56 发布
原创 最新推荐文章于 2023-05-26 16:07:56 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ldap #java #c#

本文介绍如何通过配置Active Directory (AD) 和 Adaptive Security Appliance (ASA) 实现远程客户端的身份验证及证书颁发流程。具体包括ASA设备的基本配置、LDAP集成、证书申请步骤等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

拓扑:

 

实验目的:

1 实验证书验证远程客户。

2 验证成功后,通过AD属性映射group-policy。

3 客户端使用在线申请证书。

本文以WIN 2003 作为域服务器和证书服务器,XP作为客户端。(win2008 做AD和CA,WIN 7做客户端,和本文基本相同,唯一要注意的是要使用HTTPS)

域和证书服务器的安装不在这里给出。下面是WIN 2003 的设置

 

 

客户端生气证书:

 

 

 

ASA配置;

hostname asa
domain-name wenlf136.net
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.20.254 255.255.255.0
!
clock timezone GMT 8
domain-name wenlf136.net
access-list out extended permit icmp any any
access-list out extended permit udp any host 192.168.10.10 eq domain
access-list out extended permit tcp any host 192.168.10.10 eq www
access-list out extended permit tcp any host 192.168.10.10 eq https
access-group out in interface outside
ldap attribute-map group-to-policy
map-name memberOf IETF-Radius-Class
map-value memberOf CN=group,OU=HROU,DC=wenlf136,DC=net sslgroup
dynamic-access-policy-record DfltAccessPolicy
aaa-server ldapgroup protocol ldap
aaa-server ldapgroup host 192.168.10.10
ldap-base-dn dc=wenlf136, dc=net
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password *
ldap-login-dn cn=administrator, cn=users, dc=wenlf136, dc=net
server-type microsoft
ldap-attribute-map group-to-policy
crypto ca trustpoint CA
enrollment terminal
fqdn asa.wenlf136.net
subject-name cn=asa.wenlf136.net
keypair sslkey

ssl trust-point CA outside
ssl certificate-authentication interface outside port 443
web***
enable outside
group-policy sslgroup internal
group-policy sslgroup attributes
banner value Welcome
tunnel-group DefaultWEB***Group general-attributes
authorization-server-group ldapgroup
authorization-required
authorization-dn-attributes CN
tunnel-group DefaultWEB***Group web***-attributes
authentication certificate

 

给ASA 申请证书:

 

验证:

 

 

 

JAVA通过LDAP+SSL证书)实现用户组织(部门)增删改查.zip
07-15
JAVA通过LDAP+SSL证书)实现用户组织(部门)增删改查(Java代码部分),里面包含源码文档,以便大家测试。
ldap ssl java_使用JavaLDAP over SSL
weixin_35793018的博客
02-12 306
以下代码工作正常:public static void main(String[] args) {String userName = "admin";String password = "s3cret";Hashtable env = new Hashtable();env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtx...
LDAP SSL
joy_gw的博客
10-07 191
引用:http://www.experts-exchange.com/Programming/Languages/Java/New_to_Java/Q_24254611.html [code="java"] package beans; import java.util.*; import javax.naming.*; import javax.naming.direct...
LDAP部署、java连接、SSL协议,以及遇到的证书问题
代码研究院
05-18 4908
写在前面的话: 部署openLDAP 2.4.44 (centOS 7.X 直接yum 安装的版本),之前在网上查找过教程,大多数openLDAP 2.3.X 初始配置已经有了很大变化。说直接改/etc/openldap/slapd.conf 没有就新建,或者修改/etc/openldap/slapd.d/下的文件。最后导致slapd服务总是起不来。所以写下这个教程,避坑。 我的环境 CentOS 7 关闭防火墙(开放指定的端口也是可以的,这里也很容易出问题) yum 服务安装 yum ins.
LDAP SSL 连接
热门推荐
penngrove的专栏
10-13 1万+
使用SSL来连接LDAP server有多种方法(http://yagodnoe.ifmo.ru/~ad/Documentation/jndi-1_4_2-tutorial/ldap/security/ssl.html#SERVER),但大都需要client端指定keystorepassword,其实对于大部分应用,client会接受server端的证书,所以更通用的方法是应用前面链接中提到的Custom Socket Factory.下面给出示例:DummyTrustManager:package co
JAVA ldap AD 域 免证书 查询 修改 删除 新增 启用 禁用 修改密码
11-15
在这篇文章中,我们将探讨使用 JAVA 实现 LDAP 的 AD 域免证书查询、修改、删除、新增、启用、禁用修改密码的操作。 首先,让我们了解什么是 LDAP AD 域。LDAP(Lightweight Directory Access Protocol)是一...
Ubuntu+svn+ssl+ldap
06-04
6. **启用SSL**:安装`openssl``ssl-cert`,创建SSL证书,修改Apache配置以支持HTTPS。 完成上述步骤后,你将拥有一个配置了SSL安全LDAP认证的Ubuntu SVN服务器,允许团队成员通过HTTP/HTTPS安全地访问操作...
Java实现LDAP+SSL用户组织管理操作指南
SSL通过使用数字证书验证服务器客户端的身份,并确保数据在两个实体间传输过程中的安全。 在Java中,SSL通信通常需要使用Java安全套接字扩展(JSSE)提供的实现。数字证书一般由权威的证书颁发机构(CA)签发,...
从 OpenLDAP 2.4 版本开始,默认配置方式从传统的 `slapd.conf` 转向了动态配置(**OLC: On-Line Configuration**),配置信息存储在 `slapd.d` 目录中。以下是针对动态配置(`slapd.d`)添加 SSL/TLS 支持的完整步骤: --- ### **1. 生成 SSL 证书** #### 1.1 创建证书目录(如果不存在) ```bash sudo mkdir -p /etc/ldap/ssl cd /etc/ldap/ssl ``` #### 1.2 生成自签名证书(测试用) ```bash # 生成根 CA 证书 sudo openssl req -x509 -newkey rsa:2048 -days 3650 -nodes \ -keyout ca.key -out ca.crt \ -subj "/CN=My LDAP CA/O=My Org/C=US" # 生成服务器证书请求(CSR) sudo openssl req -newkey rsa:2048 -nodes \ -keyout server.key -out server.csr \ -subj "/CN=ldap.example.com/O=My Org/C=US" # 用根 CA 签发服务器证书 sudo openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \ -CAcreateserial -out server.crt -days 3650 ``` #### 1.3 设置证书权限 ```bash sudo chown -R openldap:openldap /etc/ldap/ssl sudo chmod 400 /etc/ldap/ssl/*.key sudo chmod 444 /etc/ldap/ssl/*.crt ``` --- ### **2. 配置 OpenLDAP 启用 SSL/TLS** #### 2.1 创建 LDIF 文件(`tls.ldif`) 创建文件 `/tmp/tls.ldif`,内容如下: ```ldif dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ldap/ssl/ca.crt - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ldap/ssl/server.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ldap/ssl/server.key - add: olcTLSCipherSuite olcTLSCipherSuite: HIGH:!aNULL:!eNULL:!3DES - add: olcTLSProtocolMin olcTLSProtocolMin: 3.3 ``` #### 2.2 应用配置 ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/tls.ldif ``` #### 2.3 修改监听地址 创建文件 `/tmp/listen.ldif`,内容如下: ```ldif dn: cn=config changetype: modify replace: olcTLSCertificateFile olcTLSCertificateFile: /etc/ldap/ssl/server.crt - replace: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ldap/ssl/server.key - replace: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ldap/ssl/ca.crt - replace: olcSecurity olcSecurity: tls=1 ``` 应用配置: ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/listen.ldif ``` --- ### **3. 重启 OpenLDAP 服务** ```bash # Ubuntu/Debian sudo systemctl restart slapd # RHEL/CentOS sudo systemctl restart slapd ``` --- ### **4. 验证 SSL 配置** #### 4.1 使用 `ldapsearch` 测试加密连接 ```bash ldapsearch -x -H ldaps://localhost:636 -b "dc=example,dc=com" -D "cn=admin,dc=example,dc=com" -W ``` #### 4.2 检查 SSL 握手 ```bash openssl s_client -connect localhost:636 -showcerts ``` #### 4.3 查看日志(调试用) ```bash journalctl -u slapd -f # 实时查看日志(Systemd系统) ``` --- ### **5. 客户端信任 CA 证书** #### 5.1 将 CA 证书复制到客户端 ```bash # Ubuntu/Debian sudo cp /etc/ldap/ssl/ca.crt /usr/local/share/ca-certificates/ sudo update-ca-certificates # RHEL/CentOS sudo cp /etc/ldap/ssl/ca.crt /etc/pki/ca-trust/source/anchors/ sudo update-ca-trust ``` --- ### **6. 强制禁用明文 LDAP(可选)** 创建文件 `/tmp/disable_plain.ldif`: ```ldif dn: cn=config changetype: modify replace: olcSecurity olcSecurity: tls=1 ssf=256 ``` 应用配置: ```bash sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f /tmp/disable_plain.ldif ``` --- ### **7. 常见问题处理** #### 错误:`TLS error -8172: Peer's certificate issuer is not recognized` - **原因**:客户端未信任 CA 证书。 - **解决**:确保客户端已正确安装 `ca.crt`。 #### 错误:`Permission denied` 访问证书 - **解决**: ```bash sudo chown openldap:openldap /etc/ldap/ssl/* sudo chmod 400 /etc/ldap/ssl/server.key ``` #### SELinux 限制(RHEL/CentOS) 允许 `slapd` 访问证书文件: ```bash sudo setsebool -P slapd_can_connect_ldap=true ``` --- ### **总结** 通过动态配置(`slapd.d`)启用 SSL/TLS 的步骤与传统 `slapd.conf` 不同,但核心逻辑一致。关键点: 1. 使用 `ldapmodify` 修改 `cn=config` 条目。 2. 确保证书路径权限正确。 3. 客户端必须信任 CA 证书
最新发布
05-16
可以使用 OpenSSL 工具创建自签名证书或者通过第三方机构申请正式证书。以下是生成自签名证书的步骤: ##### (1)生成私钥 执行以下命令生成一个 RSA 私钥文件: ```bash openssl genrsa -out /etc/openldap/...
LDAP 客户端通过 SSLLDAP 服务器进行通信
tanken welcome
12-03 5493
 LDAP 客户端包括如以下过程使用 Wldap 32.dll,任何进程: 使用 Active Directory Services Interfaces (ADSI) 来调用的过程。 使用 LDAP 从 Windows 通讯簿 (WAB) 的过程。 此过程会启动通过使用 Microsoft Outlook Express 或使用搜索对话框。因为 Wldap 32.dll 是基础技
基于SSLldap安全访问AD认证
04-12
基于SSLldap安全访问AD认证,对密码进行加密认证!
2018 LDAP(3)Ldap and SSL
快马扬鞭须努力!
04-12 646
2018 LDAP(3)Ldap and SSL SSL Fail in LDAP > ldapwhoami -H ldaps://ldapexport.lifesizecloudbeta.com -x -ZZ ldap_start_tls: Can't contact LDAP server (-1) additional info: SSLHandshake() failed:...
LDAP集成SSL/TLS
tangshiweibbs的专栏
05-02 6211
目录: 方案1:自签名证书   1.Server制作自签名证书  2.修改目录权限及所有者   3.修改配置文件,添加证书路径   4.重新生成配置文件 并启动服务   5.客户端配置及测试 方案2:CA中心签名    CA中心简介    一、建立Ca中心    二、客户机公钥签名      创建证书的另一种方法    三、将签名证书CA证书导入ldap ser
ldap ssl java_JAVA操作LDAPSSL操作篇
weixin_39907131的博客
02-12 312
第一步:执行命令导入服务器上的证书keytool -import -trustcacerts -alias umapad-ssl -file f:/ssl-ldap.cer -keystore "e:/ssl-ldap-mapad.jks"第二步:在代码中设置信任证书库及证书库口令System.setProperty("javax.net.ssl.trustStore", "e:/ssl-ldap...
C# LDAP+SSL连接
木偶的博客
03-10 614
LDAP+SSL连接
ldap ssl java_Java通过SSL忽略Certificate访问LDAP服务器【转】
weixin_33329746的博客
02-12 543
最近负责AD账户同步,遇到证书问题。搜索后都说从AD服务器拿下证书,导入到java的cacerts中,尝试多次后无效。绝望之际,看到https://www.iteye.com/blog/chnic-2065877的一篇文章,想起请求https接口时做的绕过证书操作,发现基本一个原理。以下为大神的原文:前两天工作遇到一个基于C/S结构的LDAP+SSL访问的问题,由于LDAP的服务器都是内网服务...
Windows LDAP加固之LDAP over SSL通道绑定
qishine的专栏
10-07 5311
很多网络通信都可以用SSL来加密的,LDAP也不列外,同样可以用SSL加密。 LDAPS使用证书必须满足以下几个条件: 1.证书的增强性密钥用法中必须有服务器身份验证Server Authentication 2.证书的名称或者SAN名称中的第一个是域控的FQDN 3.服务器端有证书的私钥 4.证书被客户端信任 如果看不到图,请点我。 从客户端上测试一下基于LDAPS的Simp...
LDAPjava操作AD域 解决常见问题,SSL连接
weixin_49245941的博客
10-09 1871
LDAP(轻型目录访问协议) 通过IP协议提供访问控制维护分布式信息的目录信息 是一个为查询、浏览搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样。 1、LDAP的结构用树来表示,而不是用表格。可以使用JDBC方式或者JNDI方式操作。 2、LDAP可以很快地得到查询结果,不过在写方面,就慢得多。 3、LDAP提供了静态数据的快速查询方式。 4、Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具。 5、LDAP是一种开放Internet标准,LD
内网渗透(八十四)之ADCS配置启用基于SSLLDAP(LDAPS)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-26 1724
然后会有一个Kerberos身份验证的副本,右键更改名称,更改为LDAPS。然后一直下一步,到了下面选择之前创建的LDAPS。设置模板属性,请求处理——>允许导出私钥(O)选择Kerberos身份验证,右键 复制模板。至此,已经完成了LDAPS的配置了。打开AD CS,选择证书颁发机构。配置为计算机账户,点击下一步。选择“本地计算机”,点击完成。然后打开控制台,输入MMC。选择LDAPS,右键属性。选择证书模板,右键管理。点击添加或删除管理单元。选择“证书”,点击添加。选择LDAPS,确定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值