Firewall Zyxel - Windows Server 2025 Active Directory e Firewall Zyxel (ZLD 5.40 / uOS 1.32)

Windows Server 2025 introduce criteri di sicurezza più severi, tra cui l'uso forzato di canali sicuri per le query LDAP. Ciò influisce sull'integrazione standard dei firewall Zyxel con Active Directory, in particolare quando si utilizza l'autenticazione degli utenti per servizi come IKEv2 VPN o Policy Control.

Prodotti supportati:

• Firewall Zyxel (ZLD 5.40 e successivi, uOS 1.32 e successivi)
• Windows Server 2025 (livello foresta 2025)

Zyxel Firewall può essere integrato correttamente con Windows Server 2025 tramite un canale LDAPS sicuro (porta 636), che soddisfa i requisiti di sicurezza di Microsoft e garantisce un'autenticazione stabile. A partire da questa versione di Windows Server, tutte le richieste LDAP devono essere effettuate tramite LDAPS. La seguente guida spiega come collegare in modo sicuro i firewall Zyxel ad Active Directory utilizzando i certificati SSL.

Questo articolo si concentra sulla configurazione dell'integrazione LDAPS tra Zyxel Firewall e Windows Server 2025 Active Directory.
Per informazioni dettagliate sui problemi di compatibilità dell'autenticazione, consultare l'articolo collegato in fondo.
Per informazioni sui problemi di compatibilità dei protocolli di autenticazione con Windows Server 2025 (come le sfide MS-CHAPv2 e NTLM) quando si utilizzano i firewall Zyxel, consultare:
👉 F irewall Zyxel - Compatibilità di autenticazione con Windows Server 2025

Installare i servizi di certificazione di Active Directory

• Aprire Server Manager → Aggiungere ruoli e funzioni.
• Installare il ruolo Active Directory Certificate Services.
• Per istruzioni dettagliate sull'installazione e la configurazione dell'Autorità di certificazione su Windows Server 2022/2025, consultare la documentazione ufficiale Microsoft. Guida Microsoft
• Procedere con le opzioni predefinite e completare l'installazione.
• Riavviare il server dopo l'installazione.

Configurazione dell'Autorità di certificazione

• Selezionare i servizi di ruolo da configurare:

  Autorità di certificazione

• Scegliere Enterprise CA.
• Selezionare Root CA.

• Creare una nuova chiave privata (opzione predefinita).
• Accettare le impostazioni crittografiche predefinite (RSA 2048 o superiore).

• Specificare un nome comune (ad esempio, Zyxel-InternalCA).
• Accettare il periodo di validità predefinito o personalizzarlo in base alle esigenze.
• Confermare e completare la configurazione.
• Riavviare il server.

Verifica del rilascio del certificato SSL

• Aprire Autorità di certificazione dal menu Start.
• Espandere la struttura e andare su Certificati rilasciati.
• Verificare che sia stato emesso automaticamente un certificato per il controller di dominio.

Facoltativo: Per verificare tramite PowerShell:

Get-ChildItem -Path Cert:\LocalMachine\My

Configurazione di Zyxel Firewall per l'utilizzo di LDAPS (porta 636)

Accedere all'interfaccia web di Zyxel Firewall. Andare su Oggetto > Server AAA o Autenticazione > LDAP. Creare una nuova voce LDAP: Indirizzo server: IP o FQDN del server AD Porta: 636 Crittografia: SSL DN di base: DC=esempio,DC=locale DN di bind: CN=ldapbind,OU=Users,DC=example,DC=local Password: per l'utente bind Importare il certificato della CA principale nell'elenco dei certificati attendibili del firewall (Oggetto > Certificato > CA attendibile).

Testare l'autenticazione

• Utilizzare lo strumento Test Authentication nella GUI del firewall.
• Confermare l'esito positivo della comunicazione tramite LDAPS (636).

Opzionale: integrazione VPN IKEv2

Se si utilizza una VPN IKEv2:

• Andare su VPN > Impostazioni gateway/Auth IKEv2
• Selezionare il nuovo oggetto di autenticazione LDAP/SSL come origine utente.
• Testare l'autenticazione da un client VPN.