Por varias razones, hemos decidido no implementar una CA interna y usaremos un certificado SAN de terceros (GoDaddy) para varios sitios internos y para proteger LDAP en preparación para laActualizaciones de Microsoft de marzo de 2020 que bloquearán el tráfico LDAP no cifrado.
Para ahorrar dinero, nos gustaría comprar un certificado SAN, pero estoy leyendo documentación contradictoria sobre si esto funcionará para nuestro caso de uso (2x DC).
La documentación de Petri dice:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
Mientras que la documentación de Microsoft dice:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
Microsoft no especifica que debe ser elprimeroentrada.
Si entiendo correctamente, ya que nos gustaría utilizar este certificado enamboscontroladores de dominio, ambos nombres de host no podrían aparecer primero.
¿Qué fuente es correcta?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc