さまざまな理由から、内部CAを立ち上げないことに決め、さまざまな内部サイトと、LDAPのセキュリティ確保のためにサードパーティ(GoDaddy)SAN証明書を使用することにしました。2020 年 3 月の Microsoft 更新プログラムでは、暗号化されていない LDAP トラフィックがブロックされます。
コストを節約するために、SAN 証明書を購入したいのですが、これが私たちのユースケース (2 つの DC) で機能するかどうかについて矛盾したドキュメントを読んでいます。
Petri のドキュメントには次のように書かれています:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
一方、Microsoft のドキュメントには次のように書かれています:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
マイクロソフトは、それが初めエントリ。
私の理解が正しければ、この証明書を両方ドメイン コントローラーの場合、両方のホスト名を最初にリストすることは不可能です。
どの情報源が正しいのでしょうか?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc