Netscaler配置LDAP证书和389端口无法通过

简单说下为什么写这个文章

1.LDAPS使用SSL636端口，Citrix ADC做slb需要绑定证书，这个证书从哪里来，随便申请一个Server证书就可以吗？还是有特殊要求（希望有人能解答）

2.在项目中配置citrix Gatway碰到如下报错，配置域控认证时候，提示端口正常，ldap服务器也是有效的，但是用户名和密码无效，再三确认用户名和密码正确，就是无法通过。

抓包分析可以看到如下报错。

结论:
微软的安全更新ADV190023包含两个设置建议：1.LDAP服务器通道绑定要求 2.LDAP服务器签名要求

根据抓包里的错误信息，是因为客户的AD开启了LDAP服务器签名要求导致了认证失败，具体请参阅以下KB：
https://support.citrix.com/article/CTX269461

具体解决办法就是使用SSL 636，没办法了使用636把，一切为了安全。

废话说了一大堆，开始搬砖
一：创建证书模板
1.在CA服务器通过“开始”>“运行”和命令certsrv.msc打开证书控制台。

2.用鼠标右键单击“证书模板”，然后单击“管理”。

3.在证书模板控制台中，右键单击Web服务器，然后选择“复制模板”。

4.在出现的窗口中，编辑重复的模板。在常规下更改以下内容更改模板显示名称

5.请求处理选择"允许导出私钥"

6.在使用者名称选择“在请求中提供”

7.“”安全“”里面设置
.

在“安全性”下，单击新添加的DC

8.在“扩展”下，再次检查是否将“服务器身份验证”也选择为“应用程序策略”。单击确定确认输入。

9.关闭证书模板控制台，返回证书控制台，然后右键单击“证书模板”的详细信息区域，点击这里新建，然后在证书模板是问题

10.选择新创建的模板，然后单击“确定”。

二：申请通配符证书
1.在MMC控制台中，单击“文件”，然后单击“添加/删除管理单元”。

2.在以下窗口中，选择左侧的证书，然后单击添加。

3.在“证书管理单元”窗口中，选择“计算机帐户”，然后单击“下一步”。

4.在“选择计算机”下，选择“本地计算机”，然后单击“完成”。

5.控制台到“证书（本地计算机）”>“个人”>“证书”文件夹，右键单击该文件夹，然后单击“所有任务”和“申请新证书”

6.默认下一步，然后点开AD注册策略

7.选择配置

8.在使用者添加值，点击中间添加

9.在“常规”选项卡中，在“友好名称”下输入证书的显示名称

10.在扩展选项卡中，检查是否同时选择了数字签名和密钥加密

11.签入“私钥”选项卡，选中“使私钥可导出”，然后单击“确定”进行确认。

12.填写完所有要求后，单击“注册”

13.查看证书


三：导出证书PFX
1.用鼠标右键单击先前创建的证书，然后单击“所有任务并导出”

2.选择导出私钥，否则ADC无法使用

3.导出格式




四：配置LDAPS SSL LoadBlance
1.配置Moniter



2.配置SERVICE

3.导入证书

4.配置VS

五：配置citrix gatway ,验证通过，可以看出使用636端口