由于各种原因,我们决定不建立内部 CA,而将使用第三方(GoDaddy)SAN 证书来管理各个内部站点,并为 LDAP 提供安全保护,以准备2020 年 3 月的 Microsoft 更新将阻止未加密的 LDAP 流量。
为了省钱,我们想购买 SAN 证书,但我读到的文档相互矛盾,不知道这是否适合我们的用例(2x DCs)。
Petri 的文档中写道:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
而微软的文档则说:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
微软没有指定它必须是第一的入口。
如果我理解正确的话,因为我们想在两个都域控制器,两个主机名不可能被首先列出。
哪一个来源是正确的?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc