我在我的外围networking上运行Server 2012 R2 Core上有一个AD RODC。 我正在使用这个外部/托pipe的应用程序,可以做基于LDAPS的身份validation。 我的问题是服务器的FQDN是一个内部的名字(rodc-01.company.local)。 我在外部DNS和外部DNS中有一个友好名称的logging(auth.company.com)。 我已经validation通过端口389的正常的非SSL LDAPstream量对于内部和外部应用都可以正常工作。
理想情况下,我只想使用LDAPS,但根据微软的说法,服务器的FQDN需要使用公用名称或证书的SAN。 鉴于我需要与外部应用程序一起使用,我需要一个可信的第三方证书。 我通过GoDaddy获得了一个auth.company.com。 RODC拒绝识别证书(CAPI2日志提供主机名称不匹配错误)。 受信任的第三方证书提供商不会为.local域颁发证书。 有没有解决的办法? 我可以从我的内部CA基础架构颁发证书,但外部应用程序拒绝连接,因为他们不信任证书,并不是所有的应用程序都使我能够提供他们信任的证书。
有没有人有知识,或有经验使这项工作? 微软通过把这个要求放在LDAPS上,让我们真正的感受到了。
张贴的力量…我终于find这篇文章 :
基本上,为了做到这一点,你必须在NTDS服务证书商店有证书。 问题是,在SErver Core框中,Microsoft提供了正确的0个官方工具/工具来执行此操作。 您不能使用私钥将证书远程添加到NTDS证书存储区,并且不能使用Core框中的MMCpipe理单元,也不能使用除LocalMachine和当前用户以外的任何内容的Certutil.exe或内置PowerShell cmdlet。 。
您必须从LocalMachine存储中导出与您的证书有关的registry项,然后将这些设置导入到NTDS证书存储的registry位置的registry中。
重新启动后,接受auth.company.com的LDAPS连接没有任何问题。