У меня есть приложение LDAP, которому нужно общаться с Active Directory через LDAPS (LDAP через SSL). Я установил службы сертификации Active Directory на тестовом контроллере домена (я знаю, что это не лучшая практика, но у моего клиента нет запасной лицензии Windows Server для автономного сервера CA).
Из Вот Я прочитал и выполнил эти инструкции:
Если вы установите роль AD CS и укажете тип установки как Enterprise на контроллере домена, все контроллеры домена в лесу будут автоматически настроены для приема LDAP через SSL.
Выданный сертификат действительно был загружен в хранилище сертификатов контроллера домена, и приложения, поддерживающие LDAPS, работают.
У меня вопрос: будет ли сертификат обновлен / повторно зарегистрирован автоматически, или мне нужно будет позаботиться об этом вручную? Что мне нужно проверить, чтобы быть уверенным, что автоматическое продление будет работать правильно?
С ADCS Enterprise CA вы можете использовать автоматическую регистрацию сертификатов, которая может автоматически запрашивать и обновлять сертификаты для пользователей и компьютеров. Я написал новый технический документ о том, как это работает в деталях: Автоматическая подача сертификатов в Windows Server 2016. Имеется загружаемая копия документа.
Вкратце это делается так:
Последние два пункта подразумевают, что вам нужно подождать, пока GPO не будет применен к клиентам.
Примечание: для успешной автоматической регистрации имя субъекта сертификата должно быть создано из Active Directory.
В вашем конкретном вопросе вам нужно только настроить GPO автоматической регистрации и опубликовать Kerberos Authentication шаблон в CA, если он еще не добавлен. У этой команды уже есть все необходимые разрешения.