我的目标是在 ovirt4 上启用 AD 身份验证。它需要我的 AD 上的 ldaps。 我发现了很多关于如何使用自签名证书(例如 https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority)通过 ssl 启用 ldap 的说明,但它们都描述了单个域 Controller 的情况。 我应该如何处理有两个域 Controller 的情况?我应该在每台机器上创建证书还是创建通配符证书是合理的?
最佳答案
是的,您需要在两台机器上创建 SSL 证书。两个域 Controller 都需要 SSL 证书,因为如果您连接到域名而不是特定的域 Controller 主机名,您可能会轮询到任一域 Controller ,因此您需要在它们上都使用证书。避免使用通配符证书,除非您在实验室场景中,否则在 PKI 世界中这些被认为是主要的安全风险。此外,域 Controller 也不能使用通配符证书,因为域 Controller 的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM)必须出现在以下位置之一的 SSL 证书中:
- 主题字段中的通用名称 (CN)。
- 主题备用名称扩展中的 DNS 条目。
有关详细信息,请参阅 MS KB 321051。
关于ssl - 在多个 AD 域 Controller 上启用 ldaps,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42843601/