我正在尝试向我的客户提供身份验证服务。LDAP 身份验证非常适合此目的,但我不喜欢明文会话……进入 LDAPS。Active Directory 当然已启用 LDAPS,但使用的证书是自我签名或本地域签名的。由于各种原因,这会变得有问题。我不能要求我的客户信任我自己或本地签名的证书。我的客户信任的第三方证书可以工作,但除非我每次启动域控制器时都要创建和购买新证书,否则它将无法工作。好的……第三方通配符证书应该可以工作,但您如何实现?
我当然已经用 Google 搜索过并且读到了:如何使用第三方证书颁发机构启用 LDAP over SSL和通过 SSL 启用 LDAP - 使用通配符证书?和DC 上用于 LDAPS 的通配符证书。
所有这些都很棒,但我仍然缺少一些东西...
具体要遵循的步骤是什么?
我是否只是按照如何使用第三方证书颁发机构启用 LDAP over SSL但使用CN=*.domain.ext而不是CN=mydc.domain.ext?
答案1
除了将 AD DS 暴露给互联网的意义之外 - 称为 KB 321051 的内容如下:
域控制器的 Active Directory 完全限定域名 (例如,DC01.DOMAIN.COM) 必须出现在下列位置之一:
主题字段中的通用名称 (CN)。主题备用名称扩展中的 DNS 条目。
FQDN 要求意味着通配符将不起作用,或者至少通常不起作用(因为它始终取决于客户端代码)。
答案2
更新:使用 Windows Server 2016,我使用 LDAPS 通配符证书没有任何问题。我能够使用ldp.exe端口 636 上的实用程序建立测试连接,并选中“SSL”。
将通配符证书导入个人(“我的”)证书存储后,LDAPS 即可立即工作,无需重新启动。我可以确认它正在工作,因为在与 ldp.exe 建立连接后,我看到 CA 的根证书已下载到根证书存储中。
我的应用程序需要 LDAPS(在本例中为 Tableau Server),它还在其升级脚本中建立了成功的测试连接。