У меня есть приложение LDAP, которое должно взаимодействовать с Active Directory через LDAPS (LDAP через SSL). Я установил службы сертификации Active Directory на тестовом контроллере домена (я знаю, что это не лучшая практика, но у моего клиента нет запасной лицензии Windows Server для автономного сервера CA).
Из здесь я прочитал и выполнил следующие инструкции:
Если вы устанавливаете роль AD CS и указываете тип установки как Enterprise на контроллере домена все контроллеры домена в лесу будут настроен автоматически для приема LDAP через SSL
Выданный сертификат действительно был загружен в хранилище сертификатов DC, и приложения, поддерживающие LDAPS, работают.
Мой вопрос: будет ли сертификат обновлен / повторно зарегистрирован автоматически или мне нужно позаботиться об этом вручную? Что мне нужно проверить, чтобы убедиться, что автоматическое продление будет работать правильно?
С ADCS Enterprise CA вы можете использовать автоматическую регистрацию сертификатов, которая может автоматически запрашивать и обновлять сертификаты для пользователей и компьютеров. . Я написал новый технический документ о том, как это работает, в деталях: Автоматическая регистрация сертификатов в Windows Server 2016 . Существует загружаемая копия документа.
Вкратце, это делается следующим образом:
Последний два элемента подразумевают, что вам нужно подождать, пока GPO не будет применен к клиентам.
Примечание: для успешной автоматической регистрации имя субъекта сертификата должно быть создано из Active Directory.
В вашем конкретном вопросе, вам нужно только настроить GPO автоматической регистрации и опубликовать шаблон Kerberos Authentication
в CA, если он еще не добавлен. У этой команды уже есть все необходимые разрешения.