我的目标是在 ovirt4 上启用 AD 身份验证。它需要我的 AD 上的 ldaps。我找到了很多关于如何使用自签名证书启用 ldap over ssl 的说明(例如https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl -with-a-third-party-certification-authority),但它们都描述了单个域控制器案例。我该如何处理两个域控制器的情况?我应该在每台机器上创建证书还是创建通配符证书是合理的?
问问题
2201 次
1 回答
0
是的,您需要在两台机器上创建 SSL 证书。两个域控制器都需要 SSL 证书,因为如果您连接到域名而不是特定的域控制器主机名,您可能会轮询到任一域控制器,因此您将需要它们两个证书。避免使用通配符证书,除非您在实验室场景中,否则在 PKI 世界中,这些证书被认为是主要的安全风险。此外,通配符证书也不能用于域控制器,因为域控制器的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM)必须出现在 SSL 证书中的以下位置之一:
- 主题字段中的通用名称 (CN)。
- 主题备用名称扩展中的 DNS 条目。
有关详细信息,请参阅 MS KB 321051。
于 2017-03-16T22:01:14.807 回答