要启用 LDAPS,我需要两个域控制器上的证书。我无法使用证书服务,因为我没有多余的 Windows 机器,而且在 DC 上安装该角色是大忌,所以我宁愿使用自签名证书,其中 SAN 覆盖两个 DC(FQDN 和短机器名称)。
我应该注意什么?例如:
- 证书是否应具有最长有效期(即 1 年、5 年、10 年、100 年)?
- 这会破坏/影响与客户端机器的连接吗(不太可能,因为 DC 目前没有证书);
- EFS – 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么?
1
最佳答案
1
要启用 LDAPS,除了使用 SSL 证书时的常见事项外,没有什么特别需要注意的。更多详细信息请参见:
回答你的例子:
- 持续时间完全取决于您和您的喜好。
- 通过安装适当的证书首先启用 LDAPS 时不会出现停机,更新证书时也不会出现停机。
- 客户端只需信任该证书,最好通过根证书,该证书出现在服务器证书链中
要测试您的 LDAPS 是否正常工作,您可以使用中的 ldp.exe 。只需将端口更改为 636 并在连接时选中“SSL”复选框即可。
2
-
客户端只需要信任证书 – 这是否仅对需要 LDAPS 的客户端(在本例中为单个客户端)才有必要,或者任何Windows 域客户端都会自动开始使用 LDAPS,从而要求信任每个客户端上的自签名(或根)证书?
– -
据我所知,要在客户端上使用 LDAPS 而不是 LDAP,必须明确指定。如果您不想冒险(如果您问我,其实没有风险),只需通过 GPO 分发根证书即可。
–
|
–
|