Para un entorno de laboratorio/enseñanza, necesitamos configurar una máquina con Windows 2012R2 como controlador de dominio, con LDAPS habilitado en 636. Como también necesitamos tener instalado ADCS, acabamos de dejarADCS genera automáticamente el certificado en el servicio LDAPS.
Sin embargo, el certificado caduca en un año. ¿Existe algún mecanismo por el cual el certificado se renueva automáticamente de alguna manera cuando termina un año?
Parece que no puedo encontrar una respuesta a esto.
¿O debería configurar manualmente un certificado?como esto¿Con un tiempo de caducidad más lejano?
Respuesta1
En los Servicios de certificados de Active Directory es posible configurar los certificados para que se renueven automáticamente antes de su vencimiento. Esta funcionalidad (que se incluye con cada caja de Windows) se denomina inscripción automática de certificados.
Aquí está el enlace que describe cómo habilitar la función de inscripción automática (que está deshabilitada de forma predeterminada):https://technet.microsoft.com/en-us/library/cc770546.aspx
en su caso, es suficiente utilizar un certificado basado en la plantilla de certificado de autenticación Kerberos (que es compatible con LDAPS) y habilitar el GPO de inscripción automática. La plantilla de certificado ya contiene permisos de inscripción automática para el grupo global de controladores de dominio empresarial. Si GPO está configurado correctamente, los controladores de dominio renovarán sus certificados LDAPS después del 80% de la vida útil del certificado existente.
y aquí hay un enlace que describe en detalle qué es la inscripción automática y cómo funciona (como referencia):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx