Они просят меня установить сертификат TLS в нашу Active Directory, чтобы наши маршрутизаторы Meraki работали с AD. В настоящее время у нас есть некоторые службы, которые используют пользователей AD, включая базу данных. Будет ли проблема, если я установлю этот сертификат? Например, ошибка аутентификации или отключение текущих подключений с помощью пользователей AD.
Из предоставленных вами ссылок следует, что вам нужно включить LDAPS (LDAP over SSL) на контроллерах домена. Это требует наличия действующего сертификата на каждом DC, который может быть сопоставлен с FQDN сервера. Сертификат должен быть выдан надежным центром сертификации.
Общим способом достижения этого в среде Active Directory является создание внутреннего центра сертификации с помощью Active Directory Certificate Services (AD CS); если вы создадите AD-интегрированный центр сертификации (также известный как "Enterprise"), контроллеры домена будут автоматически запрашивать и регистрировать соответствующие сертификаты и включать LDAPS с их помощью; это не должно вызвать проблем с аутентификацией у тех, кто использует простой LDAP, поскольку доступ к простому LDAP останется доступным (если вы явно не отключите его через GPO).
Поскольку это будет частный центр сертификации, никто за пределами вашего домена AD не будет автоматически доверять его сертификатам; поэтому вам нужно будет импортировать корневой сертификат центра сертификации в ваши сетевые устройства.
Пожалуйста, не устанавливайте центр сертификации на контроллере домена; это станет серьезной проблемой, когда вам понадобится понизить, переименовать или заменить этот DC.
Вы также можете использовать сертификат, выданный публичным центром сертификации, которому будут автоматически доверять все системы; но вам придется купить его и установить вручную на DC(s), а также периодически обновлять его; кроме того, это можно сделать, только если имя вашего домена AD является публичным DNS доменом, которым вы владеете; никто не продаст вам сертификат для "server.domain.local".
Я не понимаю, как это вызовет какие-либо проблемы.
Вы можете развернуть сертификат с помощью групповой политики.