none
通过F5负载多台域控制器进行AD ldaps 认证时,客户端认证时会获取到多个证书,导致ssl通讯失败 RRS feed

  • 问题

  • 为避免重放攻击,计划逐步关闭389端口,启用636加密ldaps认证。考虑到域控制的高可用性,计划将多台域控制器加入F5负载池中,客户端连接F5虚地址,由F5转发至后端主机。

    现在发现由客户端连接服务器时,会获取到不同域控服务器的证书,如果证书与本地存储的证书中主机名不一致,会导致java的报错。

    使用ldap admin工具测试时,也会提示主机名与证书不一致的情况。


    我尝试申请一张包含多主机的DNS name的证书,并配置到域控和客户端中,不知是否可行。

    如果有其他方案的,还请不吝赐教。

    感谢!


    2020年3月27日 6:59

全部回复

  • 尊敬的客户,您好!

    根据这句话 “我尝试申请一张包含多主机的DNS name的证书,并配置到域控和客户端中,不知是否可行。”请问我们是使用证书模板申请证书的吗?
    如果是的话,我们可以复制Domain Controller或者Domain Controller Authentication或者Kerberos Authentication证书模板,然后给每一个域控制器申请一张证书。



    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月30日 8:56
    版主
  • 每台域控的本地证书中已有一张服务器证书了。如果在客户端配置上某台域控服务器证书,客户端所连接的服务器为证书所属域控服务器,则可以正常连接。

    现在问题主要还是在经过F5以后,客户端会随机连接其中的一台域控,每次得到的域控证书都不一样,因此导致ldaps连接失败。

    2020年3月31日 4:57
  • 尊敬的客户,您好!

    我们可以尝试以下的方法:

    1.在证书模板上的Subject Name标签下选择 Supply in the request.

    2.然后在请求证书的时候,填写上所有的DC的DNS name。

    3.把这张证书安装到客户端,看是否可行。




    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年3月31日 9:02
    版主
  • 您好!在测试的时候输入 full dn,总是提示字符串无效,这个链接也没有提供可用的补丁。请协助确解决下。

    https://support.microsoft.com/zh-cn/help/293485/fix-error-message-when-you-try-to-generate-a-certificate-request-in-ii

    2020年4月9日 8:17