Windows

ldaps 證書用於使用 domain.local 而不是 fqdn 的連接

  • July 13, 2020

我們有多個 Windows Server 2016 AD 域控制器,我們需要用 LDAPS 連接替換所有 LDAP 連接。對於高可用性,我們希望將所有 LDAPS 會話連接到“domain.local”。問題是所有域控制器都將自簽名證書註冊到其 FQDN。當 LDAPS 會話連接到“domain.local”時,其中一個域控制器使用自己的證書進行回答,但它們不匹配。

我可以用包含“domain.local”作為主題備用名稱的新證書替換那些自簽名證書。但我不確定這是正確的方法。我認為它也破壞了這些證書的自動續訂過程,因為不可能為證書模板提供“domain.local”SAN。

肯定有更多像我們這樣的裝置,我討厭重新發明輪子,所以肯定有人對此有答案嗎?

TIA,沃特

如果您使用的是 Microsoft“企業 CA”,正確的方法是使用"Kerberos Authentication"模板向 DC 頒發證書(如 @Crypt32 所示)。該"Kerberos Authentication"模板將不僅包括 DC FQDN,還包括 SAN 中允許直接作為域名進行連接的域的 FQDN。

值得注意的是,"Domain Controller"(Server 2000) 和"Domain Controller Authentication"(Server 2003) 模板是比"Kerberos Authentication"(Server 2008) 模板更舊的版本。我建議在您的 CA 上禁用這些模板以防止混淆。

引用自:https://serverfault.com/questions/1004493