web-dev-qa-db-ja.com

LDAPSのDCでのサードパーティのワイルドカード証明書

私は顧客にサービスとしての認証を提供しようとしています。 LDAP認証はこれに最適ですが、私はクリアテキストセッションのファンではありません... LDAPSを入力してください。もちろん、Active DirectoryではLDAPSがオンになっていますが、使用される証明書は自己またはローカルドメインで署名されています。これはさまざまな理由で問題になります。自分自身またはローカルで署名された証明書を信頼するように顧客に要求することはできません。顧客が信頼しているサードパーティの証明書は機能しますが、機能しないドメインコントローラーを起動するたびに新しい証明書を作成して購入しない限り、機能します。わかりました...サードパーティのワイルドカード証明書が機能する必要がありますが、どのように実装しますか?

私はもちろんGoogleが読んでいます: サードパーティの証明機関でSSLを介してLDAPを有効にする方法 および SSLを介してLDAPを有効にする-ワイルドカード証明書の使用? および- DC)のワイルドカード証明書

それらのすべては素晴らしいですが、私はまだ何かが不足しています...
従うべき正確な手順は何ですか?

私は サードパーティの証明機関でSSLを介してLDAPを有効にする方法 の手順に従うだけですが、CN=*.domain.extの代わりにCN=mydc.domain.extを使用していますか?

5
Aaron Wurthmann

AD DSをインターネットに公開するという意味のほかに、KB321051と呼ばれます。

ドメインコントローラーのActiveDirectory完全修飾ドメイン名(たとえば、DC01.DOMAIN.COM)は、次のいずれかの場所に表示される必要があります。

[件名]フィールドの共通名(CN)。サブジェクトの別名拡張のDNSエントリ。

FQDN要件は、ワイルドカードが機能しないか、少なくとも通常は機能しないことを意味します(常にクライアントコードに依存します)。

2
Ziemek Borowski