他们要求我在我们的 Active Directory 中安装 TLS 证书,以使我们的 Meraki 路由器与 AD 配合使用。我们目前有一些使用 AD 用户的服务,包括数据库。如果我安装此证书会出现问题吗?例如身份验证错误或禁用使用 AD 用户的当前连接。
答案1
从您提供的链接来看,您需要在域控制器上启用 LDAPS(基于 SSL 的 LDAP)。这需要每个 DC 上都有可与服务器的 FQDN 匹配的有效证书。证书必须由受信任的证书颁发机构颁发。
在 Active Directory 环境中实现此目的的常用方法是使用 Active Directory 证书服务 (AD CS) 创建内部证书颁发机构;如果您创建 AD 集成 CA(也称为“企业”),域控制器将自动请求和注册适当的证书并使用它们启用 LDAPS;对于使用普通 LDAP 的人来说,这不会造成任何身份验证问题,因为普通 LDAP 访问仍然可用(除非您通过 GPO 明确禁用它)。
由于这将是一个私人证书颁发机构,因此 AD 域之外的任何人都不会自动信任其证书;因此,您需要在网络设备中导入 CA 的根证书。
请不要在域控制器上安装证书颁发机构;当您需要降级、重命名或替换该 DC 时,这将成为一个严重的问题。
您还可以使用由公共证书颁发机构颁发的证书,该证书将自动受到所有系统的信任;但您必须购买它并在 DC 上手动安装,并定期更新;此外,只有当您的 AD 域名是您拥有的公共 DNS 域时才能执行此操作;没有人会向您出售“server.domain.local”的证书。
答案2
我不认为这会引发任何问题。
您可以使用组策略部署证书。