由於各種原因,我們決定不建立內部 CA,並將為各種內部站點使用第 3 方 (GoDaddy) SAN 證書,並確保 LDAP 的安全,為2020 年 3 月 Microsoft 更新將阻止非加密 LDAP 流量。
為了省錢,我們想購買 SAN 證書,但我正在閱讀關於這是否適用於我們的用例(2x DC)的相互矛盾的文檔。
Petri 的文檔說:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
而微軟的文檔說:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places... DNS entry in the Subject Alternative Name extension.
Microsoft 並未指定它必須是第一的入口。
如果我理解正確的話,因為我們想使用這個證書兩個都網域控制器,兩個主機名稱不可能先列出。
哪個來源才是正確的?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc