当我尝试将证书导入 Entra Domain Services 以保护 LDAPS 服务时。我阅读了CN=<domain name>有关如何执行此操作的说明(等)。自签名证书工作正常,但我无法导入 Let's Encrypt 颁发和签名的证书。Entra 控制台中没有错误消息。我仔细检查了主题和 SAN,它们与我的自签名证书 100% 相同。
知道 Let's Encrypt 的证书为何被拒绝吗?有人遇到过类似的情况吗?
答案1
您请求或创建的证书必须满足以下要求。如果您使用无效证书启用安全 LDAP,您的托管域会遇到问题:
- 受信任的颁发者 证书必须由使用安全 LDAP 连接到托管域的计算机信任的颁发机构颁发。此颁发机构可以是这些计算机信任的公共 CA 或企业 CA。
- 有效期证书必须至少在接下来的 3-6 个月内有效。证书过期后,对托管域的安全 LDAP 访问将中断。
- 使用者名称证书上的使用者名称必须是您的托管域。例如,如果您的域名为 aaddscontoso.com,则证书的使用者名称必须是 *.aaddscontoso.com。证书的 DNS 名称或使用者备用名称必须是通配符证书,以确保安全 LDAP 与域服务正常工作。域控制器使用随机名称,可以删除或添加以确保服务保持可用。
- 密钥用法必须配置证书以进行数字签名和密钥加密。
- 证书用途 - 该证书必须对 TLS 服务器身份验证有效。
请检查您的证书是否符合这些要求