在多个AD域控制器上启用ldaps

时间:2017-03-16 19:51:43

标签: ssl active-directory ldap domaincontroller ovirt

我的目标是在ovirt4上启用AD身份验证。它需要我的AD上的ldaps。 我发现了很多指令如何使用自签名证书(例如https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)启用ldap over ssl,但它们都描述了单个域控制器案例。 我该如何处理两个域控制器的情况?我应该在每台机器上创建证书,或者创建通配符证书是否合理?

1 个答案:

答案 0 :(得分:0)

是的,您需要在两台计算机上创建SSL证书。两个域控制器都需要SSL证书,因为如果您连接到域名而不是特定域控制器主机名,则可以将其循环到任一域控制器,因此您需要两个证书。避免使用通配符证书,除非您在实验室场景中,在PKI世界中,这些被认为是主要的安全风险。此外,通配符证书也不是域控制器,因为域控制器的Active Directory完全限定域名(例如,DC01.DOMAIN.COM)必须出现在以下某个位置的SSL证书中:< / p>

  1. “主题”字段中的公用名(CN)。
  2. 主题备用名称扩展名中的DNS条目。
  3. 有关详细信息,请参阅MS KB 321051.