Aar*_*ann 5 windows windows-server-2008 active-directory windows-server-2012
我正在尝试向我的客户提供身份验证即服务。LDAP 身份验证非常适合于此,但我不喜欢明文会话....输入 LDAPS。Active Directory 当然已打开 LDAPS,但使用的证书是自签名或本地域签名的。由于各种原因,这变得有问题。我不能要求我的客户信任我自己或本地签名的证书。我的客户信任的第三方证书可以工作,但除非我每次启动无法正常工作的域控制器时都要创建和购买新证书。好的...所以第三方通配符证书应该可以工作,但是您如何实施?
我当然已经谷歌并阅读过:如何使用第三方证书颁发机构启用 LDAP over SSL和启用 LDAP over SSL - Using Wildcard Cert?和通配符证书上的DC为LDAPS。
所有这些都很棒,但我仍然缺少一些东西......
要遵循的确切步骤是什么?
我是否只是按照如何使用第三方证书颁发机构启用 LDAP over SSL 中的步骤,CN=*.domain.ext而不是使用CN=mydc.domain.ext?
小智 2
除了将 AD DS 暴露到互联网之外 - 称为 KB 321051 说:
域控制器的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM)必须出现在以下位置之一:
主题字段中的通用名称 (CN)。主题备用名称扩展中的 DNS 条目。
FQDN 要求意味着通配符不起作用,或者至少通常不应该起作用(一如既往,它取决于客户端代码)。