Для лабораторной / учебной среды нам необходимо настроить компьютер с Windows 2012R2 в качестве контроллера домена с включенным LDAPS на 636. Поскольку нам также необходимо установить ADCS, мы только что позволили ADCS автоматически генерирует сертификат в сервисе LDAPS.
Однако срок действия сертификата истекает через год. Есть ли механизм, при котором автоматически обновляется сертификат по истечении года?
Кажется, я не могу найти на это ответа.
Или мне следует вручную настроить сертификат как это с более отдаленным сроком годности?
В службах сертификации Active Directory можно настроить автоматическое продление сертификатов до истечения срока действия сертификата. Эта функция (которая поставляется с каждым компьютером Windows) называется автоматической подачей заявки на сертификат.
Вот ссылка, которая описывает, как включить функцию автоматической регистрации (которая по умолчанию отключена): https://technet.microsoft.com/en-us/library/cc770546.aspx
в вашем случае достаточно использовать сертификат, основанный на шаблоне сертификата проверки подлинности Kerberos (который совместим с LDAPS), и включить GPO автоматической регистрации. Шаблон сертификата уже содержит разрешения автоматической регистрации для глобальной группы контроллеров домена предприятия. Если объект групповой политики настроен правильно, контроллеры домена обновят свои сертификаты LDAPS по истечении 80% срока жизни существующего сертификата.
а вот ссылка, которая подробно описывает, что такое автоматическая регистрация и как она работает (для справки): https://technet.microsoft.com/en-us/library/cc778954(v=ws.10).aspx