Сертификаты от всех Контроллеров доменов Active Directory необходимы на клиенте для LDAPS?
Я настраиваю LDAPS на наших AD серверах для шифрования аутентификации LDAP между доменом и веб-сервером с помощью внутреннего сертификата CA, AD серверы и веб-сервер находятся на одной стороне брандмауэра, но CA не. У нас есть два AD сервера для дублирования. Я должен установить сертификаты с обоих AD серверов на веб-сервере для шифрования LDAPS от от начала до конца?
Вы не упоминаете особенности программного обеспечения веб-сервера. Вот от чего это действительно зависит.
Если программное обеспечение веб-сервера не проверяет сертификаты, используемые для LDAPS, по корневому сертификату CA, вам не нужно ничего делать. Это в некоторой степени противоречит цели использования LDAPS (поскольку вы открываете себя для атак MiTM), поэтому имеет смысл установить корневой сертификат CA в качестве доверенного корня на веб-сервере. То, как вы это делаете, в частности, зависит от ОС и программного обеспечения веб-сервера.
Если веб-сервером является компьютер с Windows Server, который является членом домена Active Directory, для которого ваш внутренний ЦС действует как корень предприятия, то это доверие будет автоматически.
Нет необходимости устанавливать какие-либо сертификаты от самих контроллеров домена, поскольку эти сертификаты предположительно подписаны корневым центром сертификации (которому веб-сервер должен доверять, как указано выше).
Нет, клиент LDAPS должен доверять корневому сертификату внутреннего ЦС, а не сертификатам отдельных объектов для контроллеров домена.
Это доверие является автоматическим в конфигурации по умолчанию, предполагая, что веб-сервер является членом этого домена.