要启用 LDAPS,我需要两个域控制器上的证书。我无法使用证书服务,因为我没有多余的 Windows 机器,而且在 DC 上安装该角色是大忌,所以我宁愿使用自签名证书,其中 SAN 覆盖两个 DC(FQDN 和短机器名称)。
我应该注意什么?例如:
- 证书是否应具有最长有效期(即 1 年、5 年、10 年、100 年)?
- 这会破坏/影响与客户端机器的连接吗(不太可能,因为 DC 目前没有证书);
- EFS - 没有 CA 意味着客户端自己负责他们的密钥。自签名证书会发生什么?
要启用 LDAPS,我需要两个域控制器上的证书。我无法使用证书服务,因为我没有多余的 Windows 机器,而且在 DC 上安装该角色是大忌,所以我宁愿使用自签名证书,其中 SAN 覆盖两个 DC(FQDN 和短机器名称)。
我应该注意什么?例如:
要启用 LDAPS,除了使用 SSL 证书时的常见事项外,没有什么特别需要注意的。更多详细信息请参见:
使用第三方认证机构启用 LDAP over SSL
回答你的例子:
要测试您的 LDAPS 是否正常工作,您可以使用RSAT 集合中的 ldp.exe 。只需将端口更改为 636 并在连接时选中“SSL”复选框。