Por vários motivos, decidimos não criar uma CA interna e usaremos um certificado SAN de terceiros (GoDaddy) para vários sites internos e para proteger o LDAP em preparação para oAtualizações da Microsoft de março de 2020 que bloquearão o tráfego LDAP não criptografado.
Para economizar dinheiro, gostaríamos de adquirir um certificado SAN, mas estou lendo documentação conflitante sobre se isso funcionará para nosso caso de uso (2x DCs).
A documentação de Petri diz:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
Considerando que a documentação da Microsoft diz:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
A Microsoft não especifica que deve ser oprimeiroentrada.
Se bem entendi, já que gostaríamos de usar este certificado emamboscontroladores de domínio, ambos os nomes de host não poderiam ser listados primeiro.
Qual fonte está correta?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc