我的外围网络中的 Server 2012 R2 Core 上运行着一个 AD RODC。我将其用于可以执行基于 LDAPS 的身份验证的外部/托管应用程序。我的问题是服务器的 FQDN 是一个仅限内部使用的名称 (rodc-01.company.local)。我在外部 DNS 和外部 DNS 中都有一个友好名称 (auth.company.com) 的 A 记录。我已经验证了通过端口 389 进行的正常非 SSL LDAP 流量对于内部和外部应用程序都运行正常。
理想情况下,我只想使用 LDAPS,但根据 Microsoft 的说法,服务器的 FQDN 需要位于证书的通用名称或 SAN 中。鉴于我需要将其与外部应用程序一起使用,我需要一个受信任的第三方证书。我通过 GoDaddy 为 auth.company.com 获得了一个证书。RODC 拒绝识别该证书(CAPI2 日志提供主机名不匹配错误)。受信任的第三方证书提供商不为 .local 域颁发证书。有办法解决这个问题吗?我可以从我的内部 CA 基础设施颁发证书,但外部应用程序拒绝连接,因为它们不信任该证书,并且并非所有应用程序都允许我向他们提供要信任的证书。
有没有人有这方面的知识或经验?微软对 LDAPS 提出了这个要求,让我们陷入了困境。
答案1
发帖的力量……我终于找到了本文:
基本上,为了做到这一点,您必须将证书放在 NTDS 服务证书存储中。问题是,在 SErver Core 框中,Microsoft 提供 0 个官方实用程序/工具来执行此操作。您无法远程将带有私钥的证书添加到 NTDS 证书存储中,也无法使用 Core 框中的 MMC 管理单元,certutil.exe 或内置 PowerShell cmdlet 也无法与 LocalMachine 和当前用户以外的任何对象一起使用。
您必须从 LocalMachine 存储区导出与您的证书相关的注册表项,然后将这些设置导入注册表中的 NTDS 证书存储区的注册表位置。
重新启动后,与 auth.company.com 的 LDAPS 连接被接受,没有任何问题。