По разным причинам мы решили не создавать внутренний центр сертификации и будем использовать сторонний сертификат SAN (GoDaddy) для различных внутренних сайтов, а также для защиты LDAP в рамках подготовки кОбновления Microsoft от марта 2020 года, которые будут блокировать незашифрованный трафик LDAP.
Чтобы сэкономить деньги, мы хотели бы приобрести сертификат SAN, но я читаю противоречивую документацию о том, подойдет ли он для нашего варианта использования (2 контроллера домена).
В документации Петри говорится:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
В то время как в документации Microsoft говорится:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
Microsoft не уточняет, что это должно бытьпервыйвход.
Если я правильно понимаю, поскольку мы хотим использовать этот сертификатобаконтроллеры домена, оба имени хоста не могут быть указаны первыми.
Какой источник правильный?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc