我想使用 TLS 保护我的 Active Directory 2012R2 环境。
我可以使用通配符商业 SSL 证书吗?AD 的安全版本(端口 636)可以与默认版本(端口 389)共存吗?
答案1
该证书将在端口 636 上启用 LDAPS。Active Directory 使用签名和密封,在使用端口 389 时已经很安全。是的,它们可以同时共存
本文应该有助于解释 LDAPS。http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx
本文介绍如何使用第三方证书启用 LDAPS https://support.microsoft.com/en-us/kb/321051
根据这篇文章,证书必须颁发给服务器的 FQDN。因此通配符证书可能不起作用 https://technet.microsoft.com/en-us/library/cc725767(WS.10).aspx
答案2
您不需要商业证书来保护 Active Directory 中的 LDAP;所有访问它的计算机都将根据定义成为域成员 (*),因此您可以使用 Windows 自己的证书服务来构建 AD 集成证书颁发机构,该证书颁发机构将自动受到域中所有用户和计算机的信任。
(*) 如果您需要从未加入域的设备执行 LDAP 查询,您只需将 CA 的根证书导入其受信任的证书存储中。