Estou tentando fornecer autenticação como um serviço para meus clientes. A autenticação LDAP é perfeita para isso, no entanto, não sou fã de sessões de texto não criptografado .... insira LDAPS. O Active Directory, é claro, tem o LDAPS ativado, no entanto, o certificado usado é auto ou domínio local assinado. Isso se torna problemático por vários motivos. Não posso exigir que meus clientes confiem em mim ou no certificado assinado localmente. Um certificado de terceiros em que meus clientes confiam funcionaria, mas a menos que eu crie e compre um novo certificado toda vez que eu abrir um controlador de domínio que não funcione. Ok ... então um certificado wildcard de terceiros DEVE funcionar, mas como você implementa?
É claro que o Google leu: Como ativar o LDAP sobre SSL com uma autoridade de certificação de terceiros e Ativar o LDAP sobre SSL - Usando o Wildcard Cert? e Certificado Wildcard em um DC para LDAPS .
Todos são ótimos, mas ainda sinto falta de algo ...
Quais são os passos exatos a seguir?
Estou simplesmente seguindo as etapas em Como habilitar o LDAP sobre SSL com uma autoridade de certificação de terceiros , mas usando CN=*.domain.ext em vez de CN=mydc.domain.ext ?
Além do sentido de expor o AD DS à Internet - chamado KB 321051, diz:
The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places:
The Common Name (CN) in the Subject field. DNS entry in the Subject Alternative Name extension.
Requisito de FQDN significa que o caractere curinga não funcionará ou, pelo menos, normalmente não deve funcionar (como sempre, isso depende do código do cliente).