【发布时间】:2016-03-21 10:43:06
【问题描述】:
我担心将每个域的 20 个域控制器的证书上传到每个客户端(20 个 DC x 3 个域 x 4 个客户端 = 240 个 SSL 证书导入)的操作负担。
此初始配置不是一次性问题,因为证书会定期过期,如果客户端在发生这种情况时没有更新,则很难确定哪个证书在哪个客户端上没有更新。我希望我能够将证书颁发机构设置为受信任的证书颁发机构,或者为每个客户端上传一个中间证书,而不是为每个客户端的每个域更新一个证书。在该配置下,客户端将只维护一个受信任的证书颁发机构,并通过证书链验证所有 LDAP 和 AD 证书。
LDAP 客户端是否需要链中所有证书的副本才能验证叶证书?
完整证书链的存在是否会消除将叶证书从每个域控制器导入客户端的需要?
【问题讨论】:
-
这不是“另一个问题”。又是同一个问题,而且已经回答了。
标签: ssl active-directory ldap ca