Eu tenho um grande número de domínios separados do Active Directory (~ 150), consistindo de dois clusters de servidores que eu preciso configurar para o login do cartão inteligente. Para fazer isso, terei que solicitar manualmente ~ 300 certificados de controlador de domínio devido ao meu ambiente. Escusado será dizer que é uma enorme quantidade de esforço manual e eu estou olhando para script-lo.
Para solicitar um certificado de controlador de domínio, você precisa de três informações: a solicitação de certificado, o nome de domínio e o GUID. Eu posso gerar todas essas informações automaticamente, mas não consigo descobrir como alterar cada GUID do controlador de domínio para coincidir com o certificado curto de uma alteração direta de ldap. Alguém sabe se isso funcionaria ou se eu quebraria o domínio?
Não, nunca faça isso. O GUID é o meio do AD de localizar / identificar um controlador de domínio para replicação. É importante que permaneça inalterado (e mais importante, exclusivo para cada CD).
Você poderia configurar as máquinas para confiar em uma central CA e ter esse problema a máquina certs automaticamente?