在多个 AD 域控制器上启用 ldaps
Enable ldaps on multiple AD domain controllers
我的目标是在 ovirt4 上启用 AD 身份验证。它需要我的 AD 上的 ldaps。
我发现了很多关于如何使用自签名证书(例如 https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)通过 ssl 启用 ldap 的说明,但它们都描述了单个域控制器的情况。
我应该如何处理有两个域控制器的情况?我应该在每台机器上创建证书还是创建通配符证书是合理的?
是的,您需要在两台机器上创建 SSL 证书。两个域控制器都需要 SSL 证书,因为如果您连接到域名而不是特定的域控制器主机名,您可能会轮询到任何一个域控制器,因此您将需要两个域控制器上的证书。避免使用通配符证书,除非您在实验室场景中,否则在 PKI 世界中这些被认为是主要的安全风险。此外,域控制器也不能使用通配符证书,因为域控制器的 Active Directory 完全限定域名(例如,DC01.DOMAIN.COM)必须出现在以下位置之一的 SSL 证书中:
- 主题字段中的通用名称 (CN)。
- 主题备用名称扩展中的 DNS 条目。
有关详细信息,请参阅 MS KB 321051。
我的目标是在 ovirt4 上启用 AD 身份验证。它需要我的 AD 上的 ldaps。 我发现了很多关于如何使用自签名证书(例如 https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)通过 ssl 启用 ldap 的说明,但它们都描述了单个域控制器的情况。 我应该如何处理有两个域控制器的情况?我应该在每台机器上创建证书还是创建通配符证书是合理的?
是的,您需要在两台机器上创建 SSL 证书。两个域控制器都需要 SSL 证书,因为如果您连接到域名而不是特定的域控制器主机名,您可能会轮询到任何一个域控制器,因此您将需要两个域控制器上的证书。避免使用通配符证书,除非您在实验室场景中,否则在 PKI 世界中这些被认为是主要的安全风险。此外,域控制器也不能使用通配符证书,因为域控制器的 Active Directory 完全限定域名(例如,DC01.DOMAIN.COM)必须出现在以下位置之一的 SSL 证书中:
- 主题字段中的通用名称 (CN)。
- 主题备用名称扩展中的 DNS 条目。
有关详细信息,请参阅 MS KB 321051。