我的目标是在ovirt4上启用AD身份验证。它需要我的 AD 上的 ldaps。我找到了很多如何使用自签名证书(例如 https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority(通过 SSL 启用 ldap 的说明,但它们都描述了单个域控制器的情况。如何处理两个域控制器的情况?我应该在每台计算机上创建证书还是创建通配符证书是合理的?
是的,您需要在两台计算机上创建 SSL 证书。 这两个域控制器都需要 SSL 证书,因为如果连接到域名而不是特定的域控制器主机名,则可以轮循机制到任一域控制器,因此需要两个域控制器上的证书。 避免使用通配符证书,除非在实验室方案中,在 PKI 世界中,这些证书被视为主要安全风险。 此外,通配符证书也是域控制器的禁区,因为域控制器的 Active Directory 完全限定域名(例如 DC01.DOMAIN.COM(必须出现在 SSL 证书中的以下位置之一:
- "主题"字段中的公用名 (CN(。
- 使用者备用名称扩展中的 DNS 条目。
有关更多详细信息,请参阅 MS KB 321051。