LDAP 客户端是否需要链中所有证书的副本才能验证叶证书?

Does LDAP client require a copy of all certificates in the chain in order to validate a leaf certificate?

我担心将每个域的 20 个域控制器中的每一个的证书上传到每个客户端(20 个 DC x 3 个域 x 4 个客户端 = 240 个 SSL 证书导入)的操作负担。

此初始配置不是一次性问题,因为证书会定期过期,如果在这种情况下客户端未更新,则很难确定哪个证书未在哪个客户端上更新。我希望我能够将证书颁发机构设置为受信任的证书颁发机构,或者为每个客户端上传一个中间证书,而不是每个客户端每个域控制器更新一个证书。在该配置下,客户端将只维护一个受信任的证书颁发机构,并通过证书链验证所有 LDAP 和 AD 证书。

LDAP 客户端是否需要链中所有证书的副本才能验证叶证书?

完整证书链的存在是否可以消除将叶证书从每个域控制器导入客户端的需要?

Any SSL 客户端需要一个 可信证书,该证书与服务器发送的链中的任何一个证书相匹配。这在任何方面都不特定于 LDAP。

您可以使用组策略将信任链分配给您的客户端,这样您就不需要手动管理它。