我即将在已经是我们的 Active Directory 服务器的 Windows Server 2012 R2 上安装角色 Active Directory 证书颁发机构。
原因是,我想启用 LDAPShttps://docs.moodle.org/310/en/Active_Directory#MS_Active_Directory_.2B_SSL
所以我想知道会发生什么问题?
- Active Directory 会停止接受未加密的连接吗?
- 已建立的证书会失效吗?
- 其他无需加密即可正常工作的服务器(例如域控制器)是否会尝试 LDAPS 并失败,因为它们不信任证书?
- 由于 VPN 依赖于 LDAP,我是否将无法再登录并修复它?
答案1
安装功能齐全的证书颁发机构以便为您的域控制器签署单个证书似乎需要付出很多努力,但收获不大。如果您只需要在单个域控制器上使用 LDAPS,那么您可能最好花时间购买第三方证书(CA 也提供免费证书),假设您的域名是您实际拥有的域名,而不是类似这样的域名corp.local。以下是一些可以提供帮助的文档:
如果你因为某种原因不能使用公共 CA,我仍然可能会选择类似新自签名证书而不是为单个证书安装 ADCS。
回答您的问题。
- 不会,添加证书后 AD 不会停止接受未加密的连接。TLS 加密服务在不同的端口上运行。
- 我不确定您所说的“已建立证书”到底是什么意思。但一般来说,安装 ADCS 不会干扰现有证书存储,除了将新的根 CA 证书添加为受信任证书。
- 如果其他服务器已配置为使用 TLS 并且未配置为信任 CA 根证书,则它们将无法连接(除非它们还配置为禁用证书验证,这通常是一个坏主意)。(这是公共证书的另一个好处,即它已经受到客户的信任)
- 除非您配置 VPN 以进行身份验证,否则您的 VPN 不太可能开始使用 LDAPS 进行身份验证。但是一旦您配置了,就可以了。VPN 身份验证将依赖于正常运行的 TLS。