我们有多个 Windows Server 2016 AD 域控制器,我们需要用 LDAPS 连接替换所有 LDAP 连接。为了实现高可用性,我们希望将所有 LDAPS 会话连接到“domain.local”。问题是所有域控制器都已将自签名证书注册到其 FQDN。当 LDAPS 会话连接到“domain.local”时,其中一个域控制器会使用自己的证书进行应答,但它们不匹配。
我可以用包含“domain.local”作为主题备用名称的新证书替换这些自签名证书。但我不确定这是正确的做法。我认为这也会破坏这些证书的自动续订过程,因为无法向证书模板提供“domain.local”SAN。
肯定还有更多像我们这样的安装,我不想重新发明轮子,所以肯定有人能解答这个问题吧?
TIA,沃特
答案1
如果您使用的是 Microsoft“企业 CA”,正确的方法是使用模板向 DC 颁发证书"Kerberos Authentication"(如 @Crypt32 所示)。"Kerberos Authentication"模板不仅包括 DC FQDN,还包括 SAN 中允许直接以域名形式进行连接的域的 FQDN。
值得注意的是,"Domain Controller"(Server 2000) 和"Domain Controller Authentication"(Server 2003) 模板的版本比"Kerberos Authentication"(Server 2008) 模板的版本要旧。我建议在您的 CA 上禁用这些模板,以免造成混淆。
答案2
这个问题有点老了,但是这是 MSFT 创建新的指南“域控制器身份验证 (Kerberos)”证书模板(支持 Windows Hello)引导您顺利创建新模板并取代以前的 DC 证书模板。(当开始讨论注册证书时,请跳过文档的其余部分。)
新的模板基于 Kerberos 身份验证模板(因为您需要“KDC 身份验证”OID),但它将加密算法更新为密钥长度为 2048 的 RSA。RSA 比内置 Kerberos 模板中的旧算法性能更高。
我现在在我所有的 DC 上都执行此操作,即使在没有 Windows Hello 的环境中也是如此。