По разным причинам мы решили не поддерживать внутренний центр сертификации и будем использовать сторонний сертификат SAN (GoDaddy) для различных внутренних сайтов, а также для защиты LDAP при подготовке к Обновления Microsoft за март 2020 г., которые блокируют незашифрованный трафик LDAP.
Чтобы сэкономить деньги, мы хотели бы приобрести сертификат SAN, но я читаю противоречивую документацию о том, будет ли это работать для нашего варианта использования (2 DC).
В документации Петри говорится:
...the first name in the Subject Alternative Name (SAN) must match the Fully Qualified Domain Name (FQDN) of the host machine
В то время как в документации Microsoft говорится:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places...
DNS entry in the Subject Alternative Name extension.
Microsoft не указывает, что это должен быть первый вход.
Если я правильно понимаю, поскольку мы хотели бы использовать этот сертификат на обе контроллеры домена, оба имени хоста не могут быть указаны первыми.
Какой источник правильный?
https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc