Как установить SSL для Active Directory?
Это кажется, что Вы хотите, чтобы Шпаклевка запустила скрипт для Вас. Взгляните на автокоманду ExtraPutty. или Kitty's.
Вы хотите, чтобы ваши контроллеры домена поддерживали BIND через LDAPS. Для этого вам необходимо добавить сертификат в хранилище личных сертификатов контроллеров домена, который соответствует следующим требованиям. Этот сертификат может быть получен от локального центра сертификации или от стороннего центра.
- Сертификат LDAPS находится в личном кабинете локального компьютера. хранилище сертификатов (программно известное как MY компьютера хранилище сертификатов).
- Закрытый ключ, соответствующий сертификату, присутствует в хранилище локального компьютера и правильно связан с сертификатом.
- Для закрытого ключа не должна быть включена сильная защита закрытого ключа.
- Расширение Enhanced Key Usage включает идентификатор объекта Server Authentication (1.3.6.1.5.5.7.3.1) (также известный как OID).
- Полное доменное имя Active Directory контроллера домена (например, DC01.DOMAIN.COM) должно появиться в одном из следующих мест: Общее имя (CN) в поле Тема. Запись DNS в расширении альтернативного имени субъекта.
- Сертификат был выдан центром сертификации, которому доверяют контроллер домена и клиенты LDAPS. Доверие устанавливается путем настройки клиентов и сервера на доверие корневому ЦС, к которому ведет цепочка выдающего ЦС. сгенерируйте ключ.
Приведенное выше было взято из KB321051: Как включить LDAP через SSL с помощью стороннего центра сертификации .
Дополнительную информацию о том, как настроить локальный ЦС для использования LDAPS, можно найти в следующей статье: Сертификат LDAP через SSL (LDAPS)
После того, как на ваших контроллерах домена будет установлен соответствующий сертификат, связь LDAPS должна быть автоматически включен. Вы можете проверить это с помощью ldp.exe , как вы пытались это сделать.