我正在 AD 服务器上设置 LDAPS,以使用内部 CA 证书加密域和 Web 服务器之间的 LDAP 身份验证。AD 服务器和 Web 服务器位于防火墙的一侧,但 CA 不在。我们有两个 AD 服务器以实现冗余。我是否必须将两个 AD 服务器的证书都安装到 Web 服务器上,才能从端到端加密 LDAPS?
答案1
您没有提到网络服务器软件的具体细节。这才是真正要考虑的问题。
如果 Web 服务器软件没有根据 CA 根证书验证用于 LDAPS 的证书,那么您无需执行任何操作。这在某种程度上违背了使用 LDAPS 的目的(因为您会受到 MiTM 攻击),因此将您的 CA 根证书作为受信任的根证书安装在 Web 服务器上是有意义的。具体如何执行此操作取决于 Web 服务器操作系统和软件。
如果 Web 服务器是 Windows Server 计算机,并且是 Active Directory 域的成员,而您的内部 CA 充当该域的企业根,那么这种信任将是自动的。
没有必要安装来自 DC 本身的任何证书,因为这些证书大概是由您的 CA 根证书签名的(如上所述,该证书应该受到 Web 服务器的信任)。
答案2
不,LDAPS 客户端应该信任内部 CA 的根证书,而不是域控制器的单个实体证书。
假设 Web 服务器是该域的成员,则此信任在默认配置中是自动的。