我正在尝试向客户提供身份validation即服务。 LDAP身份validation是完美的,但我不是清晰的文本会话的粉丝….进入LDAPS。 Active Directory当然有LDAPS打开,但使用的证书是自签名或本地域签名的。 由于各种原因,这成为问题。 我不能要求我的客户信任我自己或本地签署的证书。 我的客户信任的第三方证书可以工作,但是除非每次调出不起作用的域控制器时,我都要创build并购买新的证书。 好的…所以第三方的通配符证书应该可以工作,但是如何实现呢?
我当然有Google'd,并且已经阅读: 如何使用第三方证书颁发机构 启用LDAP over SSL并通过SSL启用LDAP – 使用通配符证书? 和LDAPS的DC上的通配符证书 。
所有这些都很好,但我仍然错过了一些东西…
什么是确切的步骤?
我只是按照如何使用第三方证书颁发机构启用LDAP over SSL,但使用CN=*.domain.ext CN=mydc.domain.ext而不是CN=mydc.domain.ext ?
除了将AD DS暴露给互联网的感觉 – 称为KB 321051说:
域控制器的Active Directory完全限定的域名(例如,DC01.DOMAIN.COM)必须出现在以下位置之一:
主题字段中的通用名称(CN)。 “主题备用名称”扩展名中的DNS条目。
FQDN要求意味着通配符不起作用,或者至less通常不应该起作用(通常取决于客户端代码)。