Я пытаюсь предоставить своим клиентам аутентификацию как услугу. Аутентификация LDAP идеально подходит для этого, однако я не фанат сеансов открытого текста ... введите LDAPS. В Active Directory, конечно же, включен LDAPS, однако используемый сертификат подписан сам или подписан локальным доменом. Это становится проблематичным по разным причинам. Я не могу требовать от клиентов доверия моему собственному сертификату или сертификату, подписанному локально. Сертификат третьей стороны, которому доверяют мои клиенты, будет работать, но если я не собираюсь создавать и покупать новый сертификат каждый раз, когда я вызываю контроллер домена, который не будет работать. Хорошо ... поэтому ДОЛЖЕН работать сторонний групповой сертификат, но как его реализовать?
Я, конечно, гугл и читал: Как включить LDAP через SSL с помощью стороннего центра сертификации и Включить LDAP через SSL - Использование сертификата с подстановочными знаками? и Подстановочный сертификат на DC для LDAPS.
Все это здорово, но мне все еще чего-то не хватает ...
Какие точные шаги нужно выполнить?
Я просто следую инструкциям в Как включить LDAP через SSL с помощью стороннего центра сертификации но используя CN=*.domain.ext вместо того CN=mydc.domain.ext ?
Помимо представления AD DS в Интернете, называемого KB 321051, говорится:
Полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно появиться в одном из следующих мест:
Общее имя (CN) в поле «Тема». Запись DNS в расширении альтернативного имени субъекта.
Требование полного доменного имени означает, что подстановочный знак не работает или, по крайней мере, обычно не должен работать (как всегда, это зависит от кода клиента).