我正在尝试向客户提供身份验证即服务. LDAP身份验证非常适用于此,但我不是明文会话的粉丝….请输入LDAPS. Active Directory当然已打开LDAPS,但使用的证书是自签名或本地域.由于各种原因,这成为问题.我不能要求我的客户信任我的自己或本地签名的证书.我的客户确实信任的第三方证书可以使用,但除非我每次启动无法运行的域控制器时创建和购买新证书.好的……所以第三方通配符证书应该可以使用,但是你如何实现呢?
我当然有谷歌,并阅读:How to enable LDAP over SSL with a third-party certification authority和Enable LDAP over SSL – Using Wildcard Cert?和Wildcard Certificate on a DC for LDAPS.
所有这些都很棒,但我仍然遗漏了一些东西……
要遵循的具体步骤是什么?
我只是按照How to enable LDAP over SSL with a third-party certification authority的步骤,但使用CN = *.domain.ext而不是CN = mydc.domain.ext?
除了将AD DS暴露给互联网之外 – 名为KB 321051的说法:
The Active Directory fully qualified domain name of the domain controller (for example,
DC01.DOMAIN.COM) must appear in one of the following places:The Common Name (CN) in the Subject field.
DNS entry in the Subject Alternative Name extension.