我担心将每个域的20个域控制器的证书上传到每个客户端的操作负担(20个DC x 3个域x 4个客户端= 240个SSL证书导入)。
此初始配置不是一次性问题,因为证书会定期到期,如果客户端在发生时未更新,则很难确定哪个证书尚未在哪个客户端上更新。我不希望每个客户端每个域为每个域控制器更新一个证书,我希望我能够将证书颁发机构设置为可信证书颁发机构,或者为每个客户端上载中间证书。在该配置下,客户端只维护一个受信任的证书颁发机构,并通过证书链验证所有LDAP和AD证书。
LDAP客户端是否需要链中所有证书的副本才能验证叶证书?
是否存在完整的证书链,是否无需将每个域控制器的叶证书导入客户端?
答案 0 :(得分:1)
任何 SSL客户端都需要一个可信证书,该证书与服务器发送的链中的任何一个证书相匹配。这不是以任何方式特定于LDAP。
答案 1 :(得分:0)
您可以使用组策略将信任链分发给您的客户,这样您就不需要手动管理它。