Para um ambiente de laboratório/ensino, precisamos configurar uma máquina Windows 2012R2 como controlador de domínio, com LDAPS habilitado em 636. Como também precisamos do ADCS instalado, apenas deixamosADCS gera automaticamente o certificado no serviço LDAPS.
No entanto, o certificado expira em um ano. Existe um mecanismo em que o certificado é renovado automaticamente de alguma forma quando um ano termina?
Não consigo encontrar uma resposta para isso.
Ou devo configurar manualmente um certificadoassimcom prazo de validade mais distante?
Responder1
Nos Serviços de Certificados do Active Directory, é possível configurar certificados para renovação automática antes da expiração do certificado. Essa funcionalidade (fornecida com todas as caixas do Windows) é chamada de registro automático de certificado.
Aqui está o link que descreve como ativar a funcionalidade de registro automático (que está desabilitada por padrão):https://technet.microsoft.com/en-us/library/cc770546.aspx
no seu caso, é suficiente usar um certificado baseado no modelo de certificado de autenticação Kerberos (que é compatível com LDAPS) e ativar o GPO de registro automático. O modelo de certificado já contém permissões de registro automático para o grupo global de controladores de domínio corporativos. Se o GPO estiver configurado corretamente, os controladores de domínio renovarão seus certificados LDAPS após 80% da vida útil do certificado existente.
e aqui está um link que descreve em detalhes o que é inscrição automática e como ela funciona (para referência):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx