Os certificados de todos os controladores de domínio do Active Directory são necessários no cliente para LDAPS?

1

Estou configurando os LDAPS em nossos servidores do AD para criptografar a autenticação do ldap entre o domínio e um servidor da Web usando um certificado de CA interno. Os servidores do AD e o servidor da Web estão em um lado do firewall, mas a CA não está. Temos dois servidores AD para redundância. Tenho que instalar certificados de ambos os servidores AD no servidor web para criptografar os LDAPS de ponta a ponta?

    
por Jason S. Burton 12.11.2014 / 21:23

2 respostas

2

Você não menciona os detalhes do software do servidor da web. É disso que isso realmente depende.

Se o software do servidor da Web não estiver validando os certificados usados para LDAPS em relação a um certificado raiz da CA, não será necessário fazer nada. Isso acaba com o propósito de usar o LDAPS (desde que você esteja se abrindo para ataques MiTM), portanto, faz sentido instalar o certificado raiz da CA como raiz confiável no servidor web. Como você faz isso, especificamente, depende do SO e do software do servidor da Web.

Se o servidor da Web for uma máquina do Windows Server que seja membro do domínio do Active Directory para o qual sua autoridade de certificação interna está atuando como raiz corporativa, essa confiança será automática.

Não é necessário instalar nenhum certificado dos próprios DCs, já que esses certificados são, presumivelmente, assinados pela raiz da CA (que deve ser confiada pelo servidor da Web, conforme descrito acima).

    
por 12.11.2014 / 21:26
1

Não, o certificado raiz da autoridade de certificação interna deve ser confiável pelo cliente LDAPS, não pelos certificados de entidade individuais dos controladores de domínio.

Essa confiança é automática em uma configuração padrão, supondo que o servidor da Web seja um membro desse domínio.

    
por 12.11.2014 / 21:26