Brána firewall Zyxel - Windows Server 2025 Active Directory a brána firewall Zyxel (ZLD 5.40 / uOS 1.32)

Windows Server 2025 zavádí přísnější zásady zabezpečení, včetně vynuceného používání zabezpečených kanálů pro dotazy LDAP. To má vliv na standardní integraci firewallů Zyxel s Active Directory - zejména při použití ověřování uživatelů pro služby, jako je IKEv2 VPN nebo řízení zásad.

Podporované produkty:

• Firewally Zyxel (ZLD 5.40 a vyšší, uOS 1.32 a vyšší)
• Windows Server 2025 (úroveň doménové struktury 2025)

Bránu Zyxel Firewall lze řádně integrovat se systémem Windows Server 2025 prostřednictvím zabezpečeného kanálu LDAPS (port 636), který splňuje bezpečnostní požadavky společnosti Microsoft a zajišťuje stabilní ověřování. Počínaje touto verzí systému Windows Server musí být všechny požadavky LDAP prováděny prostřednictvím LDAPS. Následující příručka vysvětluje, jak bezpečně připojit brány Zyxel Firewall k Active Directory pomocí certifikátů SSL.

Tento článek se zaměřuje na konfiguraci integrace LDAPS mezi bránou Zyxel Firewall a službou Windows Server 2025 Active Directory.
Podrobnosti o otázkách kompatibility ověřování naleznete v souvisejícím článku, na který je odkaz dole.
Informace o problémech s kompatibilitou ověřovacích protokolů se systémem Windows Server 2025 (například výzvy MS-CHAPv2 a NTLM) při použití brány Zyxel Firewall naleznete v tomto článku:
👉 Brána Zyxel Firewall - kompatibilita ověřování se systémem Windows Server 2025

Instalace certifikační služby Active Directory

• Otevřete Správce serveru → Přidat role a funkce.
• Nainstalujte roli Active Directory Certificate Services.
• Podrobné pokyny k instalaci a konfiguraci certifikační autority v systému Windows Server 2022/2025 naleznete v oficiální dokumentaci společnosti Microsoft. Příručka společnosti Microsoft
• Pokračujte s výchozími možnostmi a dokončete nastavení.
• Po instalaci restartujte server.

Konfigurace certifikační autority

• Vyberte služby rolí, které chcete nakonfigurovat:

  ✅ Certifikační autorita

• Zvolte certifikační autoritu Enterprise CA.
• Vyberte kořenovou certifikační autoritu.

• Vytvořte nový soukromý klíč (výchozí možnost).
• Přijměte výchozí kryptografické nastavení (RSA 2048 nebo vyšší).

• Zadejte společný název (např. Zyxel-InternalCA).
• Přijměte výchozí dobu platnosti nebo ji přizpůsobte podle potřeby.
• Potvrďte a dokončete konfiguraci.
• Restartujte server.

Ověření vydání certifikátu SSL

• Otevřete Certifikační autoritu z nabídky Start.
• Rozbalte strom a přejděte na položku Vydané certifikáty.
• Zkontrolujte, zda byl automaticky vydán certifikát pro řadič domény.

Volitelně: Chcete-li ověřit pomocí prostředí PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Konfigurace brány Zyxel Firewall pro použití protokolu LDAPS (port 636)

Přistupte k webovému rozhraní brány Zyxel Firewall. Přejděte na Objekt > Server AAA nebo Ověřování > LDAP. Vytvořte novou položku LDAP: Adresa serveru: IP nebo FQDN serveru AD Port: 636 Šifrování: ŠIFROVÁNÍ: SSL Základní DN: DC=example,DC=local Bind DN: CN=ldapbind,OU=Users,DC=example,DC=local Heslo: pro uživatele bind Importujte certifikát kořenové certifikační autority do seznamu důvěryhodných certifikátů firewallu (Objekt > Certifikát > Důvěryhodná certifikační autorita).

Otestujte ověřování

• Použijte nástroj Test autentizace v grafickém rozhraní brány firewall.
• Potvrďte úspěšnou komunikaci prostřednictvím protokolu LDAPS (636).

Volitelně: Integrace IKEv2 VPN

Pokud používáte protokol IKEv2 VPN:

• Přejděte do nabídky VPN > Nastavení brány IKEv2/autentizace.
• Jako zdroj uživatelů vyberte nový objekt ověřování LDAP/SSL.
• Otestujte ověřování z klienta VPN.