Netscaler配置LDAP证书和389端口无法通过

Arce

　　简单说下为什么写这个文章
　　1.LDAPS使用SSL636端口，Citrix ADC做slb需要绑定证书，这个证书从哪里来，随便申请一个Server证书就可以吗？还是有特殊要求（希望有人能解答）
　　2.在项目中配置citrix Gatway碰到如下报错，配置域控认证时候，提示端口正常，ldap服务器也是有效的，但是用户名和密码无效，再三确认用户名和密码正确，就是无法通过。


　　结论:
　　微软的安全更新ADV190023包含两个设置建议：1.LDAP服务器通道绑定要求 2.LDAP服务器签名要求
　　根据抓包里的错误信息，是因为客户的AD开启了LDAP服务器签名要求导致了认证失败，具体请参阅以下KB：
　　https://support.citrix.com/article/CTX269461
　　具体解决办法就是使用SSL 636，没办法了使用636把，一切为了安全。
　　废话说了一大堆，开始搬砖
　　一：创建证书模板
　　1.在CA服务器通过“开始”>“运行”和命令certsrv.msc打开证书控制台。


　　3.在证书模板控制台中，右键单击Web服务器，然后选择“复制模板”。


　　5.请求处理选择"允许导出私钥"


　　7.“”安全“”里面设置
.

　　在“安全性”下，单击新添加的DC


　　9.关闭证书模板控制台，返回证书控制台，然后右键单击“证书模板”的详细信息区域，点击这里新建，然后在证书模板是问题


　　二：申请通配符证书
　　1.在MMC控制台中，单击“文件”，然后单击“添加/删除管理单元”。


　　3.在“证书管理单元”窗口中，选择“计算机帐户”，然后单击“下一步”。


　　5.控制台到“证书（本地计算机）”>“个人”>“证书”文件夹，右键单击该文件夹，然后单击“所有任务”和“申请新证书”


　　7.选择配置


　　9.在“常规”选项卡中，在“友好名称”下输入证书的显示名称


　　11.签入“私钥”选项卡，选中“使私钥可导出”，然后单击“确定”进行确认。


　　13.查看证书


　　三：导出证书PFX
　　1.用鼠标右键单击先前创建的证书，然后单击“所有任务并导出”


　　3.导出格式



　　四：配置LDAPS  SSL LoadBlance
　　1.配置Moniter



　　3.导入证书


　　五：配置citrix gatway ,验证通过，可以看出使用636端口