我想用TLS来保护我的Active Directory 2012R2环境。
我可以使用通配商业SSL证书吗?AD(端口636)的安全版本可以与默认版本(端口389)共存吗?
证书将在端口636上启用LDAPS。活动目录使用标志和密封,并且在使用端口389时已经是安全的。是的,它们可以同时共存
这篇文章应该帮助解释LDAPS。 http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx
本文解释如何使用第三方证书来启用LDAPS https://support.microsoft.com/en-us/kb/321051
根据这篇文章,证书必须发布到服务器的FQDN。 所以通配符证书可能不起作用https://technet.microsoft.com/zh-cn/library/cc725767(WS.10).aspx
您不需要商业证书来保护Active Directory中的LDAP; 所有访问它的计算机将被定义为域成员(*),因此您可以使用Windows自己的证书服务来构build一个AD集成的证书颁发机构,该域将由所有用户和计算机自动信任。
(*)如果您需要从非join域的设备执行LDAP查询,则只需将CA的根证书导入其可信证书库即可。