Вопрос: Сертификат Wildcard сторонних производителей по DC для LDAPS


Я пытаюсь предоставить Аутентификацию как услугу своим клиентам. Аутентификация LDAP идеально подходит для этого, но я не поклонник четких текстовых сессий .... введите LDAPS. В Active Directory, конечно же, включен LDAPS, но используемый сертификат принадлежит самому себе или локальному домену. Это становится проблематичным по разным причинам. Я не могу требовать, чтобы мои клиенты доверяли себе или локально подписанному сертификату. Третий сертификат, который мои клиенты доверяют, будет работать, но если я не собираюсь создавать и покупать новый сертификат каждый раз, когда я вызываю контроллер домена, который не будет работать. Хорошо ... так что сторонний подстановочный сертификат ДОЛЖЕН работать, но как вы его реализуете?

Я, конечно же, Google'd и прочитал: Как включить LDAP через SSL с сторонним центром сертификации а также Включить LDAP через SSL - с помощью Wildcard Cert? а также Подстановочный сертификат на DC для LDAPS,

Все это замечательно, но я все еще ничего не вижу ...
Каковы конкретные шаги?

Я просто следую шагам в Как включить LDAP через SSL с сторонним центром сертификации но используя CN=*.domain.ext вместо CN=mydc.domain.ext ?


5
2018-04-10 22:55


Источник


Вы публикуете эти DC в Интернете? Вы не должны. AD DS для этого не затвердевает. Используйте что-то вроде AD FS, доступное через Интернет через роль веб-приложения (WAP). - MDMarra
Сколько у вас DCs? Ваши внешние клиенты обращаются к вашим индивидуальным DC? Можете ли вы просто настроить балансировщик прокси / нагрузки на своей границе и применить к нему один общий сертификат? Похоже, это было бы легко сделать с чем-то вроде stunnel. - Zoredache
Никакие DC не будут открыты для открытого интернета. Для «прокси» сертификата нет балансировки нагрузки. Спасибо вам за ваши ответы. Кстати, именно так я и решил в прошлом решить эту проблему, так что это хорошее предложение, просто выходящее за рамки этой проблемы. - Aaron Wurthmann
Что касается AD DS, который подвергается воздействию Интернета, вы можете на самом деле закрепить DC до такого уровня, что риск будет смягчен, IDS, проверка пакетов, «только разрешенные хосты» или поршень порта. Это не для слабонервных, но это сносно. Я делал это в прошлом вместе с балансировщиком нагрузки, но это не подходит для ЭТОЙ проблемы. Большое спасибо за ответ. :-) - Aaron Wurthmann


Ответы:


Помимо чувства подверженности AD DS интернету - KB 321051 говорит:

Полноценное доменное имя Active Directory контроллера домена (например,   DC01.DOMAIN.COM) должен появиться в одном из следующих мест:

Общее имя (CN) в поле Subject.      Запись DNS в расширении альтернативного имени объекта.

Требование FQDN означает, что подстановочный знак не работает или, по крайней мере, обычно не должен работать (как всегда это зависит от кода клиента).


2
2018-05-27 09:59