Windows – LDAP上的DC的第三方通配符证书

发布时间：2020-12-14 00:00:22 所属栏目：Windows 来源：网络整理

导读：我正在尝试向客户提供身份验证即服务. LDAP身份验证非常适用于此,但我不是明文会话的粉丝….请输入LDAPS. Active Directory当然已打开LDAPS,但使用的证书是自签名或本地域.由于各种原因,这成为问题.我不能要求我的客户信任我的自己或本地签名的证书.我的客户

我正在尝试向客户提供身份验证即服务. LDAP身份验证非常适用于此,但我不是明文会话的粉丝….请输入LDAPS. Active Directory当然已打开LDAPS,但使用的证书是自签名或本地域.由于各种原因,这成为问题.我不能要求我的客户信任我的自己或本地签名的证书.我的客户确实信任的第三方证书可以使用,但除非我每次启动无法运行的域控制器时创建和购买新证书.好的……所以第三方通配符证书应该可以使用,但是你如何实现呢？

我当然有谷歌,并阅读：How to enable LDAP over SSL with a third-party certification authority和Enable LDAP over SSL – Using Wildcard Cert?和Wildcard Certificate on a DC for LDAPS.

所有这些都很棒,但我仍然遗漏了一些东西……
要遵循的具体步骤是什么？

我只是按照How to enable LDAP over SSL with a third-party certification authority的步骤,但使用CN = *.domain.ext而不是CN = mydc.domain.ext？

除了将AD DS暴露给互联网之外 – 名为KB 321051的说法：

The Active Directory fully qualified domain name of the domain controller (for example,
DC01.DOMAIN.COM) must appear in one of the following places:

The Common Name (CN) in the Subject field.
DNS entry in the Subject Alternative Name extension.

FQDN要求意味着通配符不起作用,或者至少通常不起作用(一如既往地取决于客户端代码).

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!