Für eine Labor-/Lehrumgebung müssen wir eine Windows 2012R2-Maschine als Domänencontroller einrichten, mit aktiviertem LDAPS auf 636. Da wir auch ADCS installieren müssen, haben wir geradeADCS generiert das Zertifikat automatisch für den LDAPS-Dienst.
Das Zertifikat läuft jedoch nach einem Jahr ab. Gibt es einen Mechanismus, mit dem das Zertifikat nach Ablauf eines Jahres automatisch erneuert wird?
Ich kann darauf keine Antwort finden.
Oder sollte ich manuell ein Zertifikat einrichtenso wasmit einem weiter entfernten Ablaufzeitpunkt?
Antwort1
In den Active Directory-Zertifikatdiensten ist es möglich, Zertifikate so zu konfigurieren, dass sie vor Ablauf des Zertifikats automatisch erneuert werden. Diese Funktion (die mit jeder Windows-Box geliefert wird) wird als automatische Zertifikatregistrierung bezeichnet.
Unter diesem Link erfahren Sie, wie Sie die Funktion zur automatischen Registrierung aktivieren (die standardmäßig deaktiviert ist):https://technet.microsoft.com/en-us/library/cc770546.aspx
in Ihrem Fall reicht es aus, ein Zertifikat basierend auf der Zertifikatvorlage für Kerberos-Authentifizierung (die mit LDAPS kompatibel ist) zu verwenden und die GPO für die automatische Registrierung zu aktivieren. Die Zertifikatvorlage enthält bereits Autoenroll-Berechtigungen für die globale Gruppe der Enterprise-Domänencontroller. Wenn die GPO richtig konfiguriert ist, erneuern Domänencontroller ihre LDAPS-Zertifikate nach 80 % der Lebensdauer des vorhandenen Zertifikats.
und hier ist ein Link, der detailliert beschreibt, was die automatische Registrierung ist und wie sie funktioniert (als Referenz):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx