Настраиваем LDAPS на контроллерах домена на базе операционных систем Windows Server 2008 и 2012
проверяем, что контроллер домена не настроен на работу по протоколу LDAPS, для чего запускаем утилиту LDP и пробуем подключиться с использованием SSL к порту 636 контроллера домена. Подключение должно завершиться ошибкой
создаем для контроллера домена сертификат и закрытый ключ и сохраняем их в формате PKCS#12 (как это сделать, рассказывается здесь и здесь). При этом должны выполняться следующие условия:
cертификат выдан центром сертификации, которому доверяют и контроллер домена, и клиенты LDAPS
расширение улучшенного ключа включает OID проверки подлинности сервера (1.3.6.1.5.5.7.3.1)
полное доменное имя контроллера домена отображается либо в общем имени, либо в DNS-записи дополнительного имени субъекта
открываем оснастку "Сертификаты - Учетная запись службы - Локальный компьютер - Доменные службы Active Directory" и импортируем сертификат и закрытый ключ в хранилище "NTDS\Личное"
Замечание: для начала использования сертификата перезапуск сервера или каких-либо служб не требуется
запускаем утилиту LDP и пробуем подключиться с использованием SSL к порту 636 контроллера домена. Подключение должно быть успешно установлено