我正在AD服务器上设置LDAPS,以使用内部CA证书encryption域和Web服务器之间的LDAPauthentication。 AD服务器和Web服务器位于防火墙的一侧,但CA不是。 我们有两个AD服务器用于冗余。 我是否必须将两个AD服务器的证书安装到Web服务器上,以便从端到端encryptionLDAPS?
你没有提到networking服务器软件的细节。 这就是真正的依赖。
如果Web服务器软件未validation用于CA根证书的LDAPS证书,则不需要执行任何操作。 这在一定程度上破坏了使用LDAPS的目的(因为您打开自己的MiTM攻击),所以它是有道理的安装您的CA根证书作为Web服务器上的受信任的根。 你怎么做,具体取决于Web服务器的操作系统和软件。
如果Web服务器是Windows Server计算机,而该计算机是您的内部CA用作企业根的Active Directory域的成员,则该信任将是自动的。
由于这些证书可能是由您的CA根签名的(根据上面的说法,应由Web服务器信任),所以不需要从DC安装任何证书。
不,内部CA的根证书应该由LDAPS客户端信任,而不是域控制器的单个实体证书。
假设Web服务器是该域的成员,则该信任在默认configuration中是自动的。