HowTo: Enable LDAP over SSL with a third-party certification authority

Nachdem ich letzte Woche den neusten NetScaler 11 Kurs für XenApp Administratoren besuchen durfte (CNS-222 Early Access), stand ich vor dem Problem, mich endlich mal mit Secure LDAP (LDAPS) auseinander setzen zu müssen. Bei uns wird fast immer auf die Microsoft eigene PKI (Microsoft Certificate Authority aka the AD-CS role) verzichtet. Stattdessen setzen wir auf OpenSSL in Verbindung mit TinyCA (Linux) oder xca (Windows). Nach ein bisschen Recherche hat sich das ganze als doch Recht einfach herausgestellt. Hier nun meine Ergebnisse:

1. In xca muss bereits eine CA samt Key existieren (http://xca.sourceforge.net/xca-14.html#ss14.1)
2. Der DC und alle beteiligten müssen der CA vertrauen
3. Mit xca ein Zertifikat erstellen
4. Hashwert muss mindestens SHA256 sein, besser SHA512
5. Der Private Key sollte eine länge von RSA2048 haben
6. Der Common Name entspricht dem FQDN des Domain Controllers
7. Der Zertifikat muss das Attribut „TLS Web Server Authentication“ bzw. „Server Authentication (1.3.6.1.5.5.7.3.1)“ beinhalten!
8. Das Zertifikat sollte ein großzügige Gültigkeit haben
9. Export des Zertifikat als PKCS #12 (ohne Kette) mit Kennwort
10. Import über die Zertifikatsverwaltung des DC in das Computerkonto
11. Hierzu administrative mmc starten und das Zertifikate AddIn hinzufügen
12. Import in den Bereich „Personal“ bzw. „Eigene Zertifikate“
13. Anschließend Test über ldp.exe (über cmd starten)
    1. Server: FQDN
    2. Port: 636
    3. SSL: Checked
    4. Ergebnis in Zeile 5: „Host supports SSL, SSL cipher strength = 256 bits“

Quellen:
https://support.microsoft.com/en-us/kb/321051
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc-configuration