Для лабораторной/учебной среды нам необходимо настроить машину Windows 2012R2 в качестве контроллера домена с включенным LDAPS на 636. Поскольку нам также необходимо установить ADCS, мы просто разрешилиADCS автоматически генерирует сертификат на сервисе LDAPS.
Однако срок действия сертификата истекает через год. Есть ли механизм, при котором сертификат автоматически продлевается, когда год истекает?
Я не могу найти ответа на этот вопрос.
Или мне следует вручную настроить сертификат?такс более отдаленным сроком действия?
решение1
В Active Directory Certificate Services можно настроить автоматическое обновление сертификатов до истечения срока действия сертификата. Эта функциональность (которая поставляется с каждым устройством Windows) называется автоматической регистрацией сертификатов.
Вот ссылка, описывающая, как включить функцию автоматической регистрации (которая по умолчанию отключена):https://technet.microsoft.com/en-us/library/cc770546.aspx
В вашем случае достаточно использовать сертификат на основе шаблона сертификата аутентификации Kerberos (совместимого с LDAPS) и включить автоматическую регистрацию GPO. Шаблон сертификата уже содержит разрешения Autoenroll для глобальной группы Enterprise Domain Controllers. Если GPO настроен правильно, контроллеры домена обновят свои сертификаты LDAPS после 80% срока действия существующего сертификата.
а вот ссылка, которая подробно описывает, что такое автоматическая регистрация и как она работает (для справки):https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx