Назад | Перейти на главную страницу

Active Directory TLS

Я хочу защитить свою среду Active Directory 2012R2 с помощью TLS.

Могу ли я использовать коммерческий SSL-сертификат с подстановочными знаками и может ли безопасная версия AD (порт 636) сосуществовать с версией по умолчанию (порт 389)?

Сертификат активирует LDAPS на порту 636. Active Directory использует подпись и печать и уже защищен при использовании порта 389. Да, они могут сосуществовать одновременно.

Эта статья должна помочь объяснить LDAPS. http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx

В этой статье объясняется, как использовать сторонний сертификат для включения LDAPS. https://support.microsoft.com/en-us/kb/321051

Согласно этой статье сертификат должен быть выдан на полное доменное имя сервера. Таким образом, подстановочный сертификат может не работать https://technet.microsoft.com/en-us/library/cc725767(WS.10).aspx

Вам не нужен коммерческий сертификат для защиты LDAP в Active Directory; все компьютеры, обращающиеся к нему, по определению будут членами домена (*), поэтому вы можете использовать собственные службы сертификации Windows для создания центра сертификации, интегрированного в AD, которому будут автоматически доверять все пользователи и компьютеры в домене.

(*) Если вам нужно выполнить запросы LDAP с устройства, не присоединенного к домену, вам просто нужно импортировать корневой сертификат вашего центра сертификации в его хранилище доверенных сертификатов.