我正在生产环境中构建 Splunk。简而言之,为了从运行 Windows Server 2012 R2 的域控制器获取我需要的相关 AD 内容,我需要启用 LDAPS。由于多种原因(成本、CA 不能位于域控制器上等),无法使用证书颁发机构创建 LDAPS。
因此,关键是我需要在我们的域控制器上启用 LDAPS,没有使用 CA。我有一台 Mac,过去曾使用过 OpenSSL,但我不知道该怎么做。我在这里找到了一个相关链接,但我有点困惑,需要一些澄清。
https://kostya.ws/projects/windows/ldaps-on-server-2008-r2-without-ca/
如果有人能帮助我,提供更多见解,无论什么,我都会很感激。
感谢您的时间。
答案1
我认为你的术语有点混乱。只要你使用证书,你总会在某个地方有一个 CA,无论是你自己的还是第三方的。你的javaxt.com 链接甚至是“创建证书颁发机构”
我认为您想问的是如何在没有运行基于 Windows 的 CA 的情况下在 Active Directory 中配置 LDAPS。前面提到的链接准确地描述了如何使用 OpenSSL 执行此操作。高级步骤如下:
- 创建 CA
- 在所有客户端上安装/信任您的 CA 证书
- 为你的 DC 生成证书
- 在你的 DC 上安装证书
- 重启
答案2
如果它仅适用于 Splunk,或者仅适用于您自己的域内加入域和企业控制的设备,您可以使用自签名证书进行 LDAPS;这只是在您的特定设备中注册证书以便他们信任它的问题。