ldaps 證書用於使用 domain.local 而不是 fqdn 的連接

我們有多個 Windows Server 2016 AD 域控制器，我們需要用 LDAPS 連接替換所有 LDAP 連接。對於高可用性，我們希望將所有 LDAPS 會話連接到“domain.local”。問題是所有域控制器都將自簽名證書註冊到其 FQDN。當 LDAPS 會話連接到“domain.local”時，其中一個域控制器使用自己的證書進行回答，但它們不匹配。

我可以用包含“domain.local”作為主題備用名稱的新證書替換那些自簽名證書。但我不確定這是正確的方法。我認為它也破壞了這些證書的自動續訂過程，因為不可能為證書模板提供“domain.local”SAN。

肯定有更多像我們這樣的裝置，我討厭重新發明輪子，所以肯定有人對此有答案嗎？

TIA，沃特

如果您使用的是 Microsoft“企業 CA”，正確的方法是使用"Kerberos Authentication"模板向 DC 頒發證書（如 @Crypt32 所示）。該"Kerberos Authentication"模板將不僅包括 DC FQDN，還包括 SAN 中允許直接作為域名進行連接的域的 FQDN。

值得注意的是，"Domain Controller"(Server 2000) 和"Domain Controller Authentication"(Server 2003) 模板是比"Kerberos Authentication"(Server 2008) 模板更舊的版本。我建議在您的 CA 上禁用這些模板以防止混淆。

引用自：https://serverfault.com/questions/1004493