Certificado de terceiros LDAPS do ActiveDirectory e nomes internos

2

Eu tenho um AD RODC em execução no Server 2012 R2 Core na minha rede de perímetro. Eu estou usando isso para aplicativos externos / hospedados que podem fazer autenticação baseada em LDAPS. Meu problema é que o FQDN do servidor é um nome interno somente (rodc-01.company.local). Eu tenho um registro A em DNS externo e DNS externo para um nome amigável (auth.company.com). Já verifiquei que o tráfego LDAP normal, não SSL, na porta 389 funciona bem para aplicativos internos e externos.

Idealmente, quero usar apenas LDAPS, mas, de acordo com a Microsoft, o FQDN do servidor precisa estar no nome comum ou na SAN do certificado. Como preciso usá-lo com aplicativos externos, preciso de um certificado de terceiros confiável. Eu obtive um através do GoDaddy para auth.company.com. O RODC se recusa a reconhecer o certificado (os logs CAPI2 fornecem um erro de incompatibilidade do nome do host). Fornecedores de certificados de terceiros confiáveis não emitem certificados para domínios .local. Existe uma maneira de contornar isso? Posso emitir um certificado da minha infraestrutura de CA interna, mas, em seguida, os aplicativos externos se recusam a se conectar porque não confiam no certificado, e nem todos os aplicativos permitem que eu ofereça o certificado para confiar.

Alguém tem conhecimento ou experiência para fazer isso funcionar? A Microsoft nos deixou em uma ligação real, colocando este requisito em LDAPS.

    
por Joseph Alcorn 14.02.2016 / 18:45

1 resposta

1

O poder de postar ... Eu finalmente encontrei este artigo :

Basicamente, para fazer isso, você precisa ter o certificado na loja cert NTDS services. O problema é que, em uma caixa SErver Core, a Microsoft fornece exatamente 0 utilitários / ferramentas oficiais para fazer isso. Você não pode adicionar certs com chaves particulares remotamente à loja cert NTDS e não pode usar o snap-in do MMC na caixa Núcleo, nem o certutil.exe ou os cmdlets do PowerShell integrados funcionam com algo diferente de LocalMachine e Usuário atual .

Você precisa exportar a chave do Registro referente ao seu certificado do armazenamento LocalMachine e depois importar essas configurações para o registro no local do Registro da loja de certificação NTDS.

Após a reinicialização, as conexões LDAPS para auth.company.com foram aceitas sem nenhum problema.

    
por 14.02.2016 / 19:29