===== AD.Сертификаты =====

=== Замена сертификата LDAPs ===

Правильный, современный шаблон для контроллеров домена, который следует взять за основу для выпуска актуального шаблона в //AD CS// - называется //Kerberos Authentication//. В нём нужно поменять //subject name format// на //DNS name//, как показано на скриншоте.

;#;
{{::domain_controller_cert_templ.jpg?400|}}
;#;

При необходимости, увеличиваем срок действия сертификатов, а также помечаем закрытый ключ в качестве эскпортируемого.

Механизм выбора сертификата, который используется сервером для LDAPs - не очевиден. Вероятно, сервер использует первый подходящий сертификат, который найдёт в хранилище. При этом, наивысший приоритет имеет хранилище **службы** //Active Directory Domain Services//. Таким образом, если мы хотим добавить сертификат, который переопределит сертификат, который существует в хранилище компьютера - нам нужно добавить новый в хранилище //personal// службы //AD DS//, как показано на скриншоте. 

;#;
{{::ldaps_cert_adds.jpg?200|}}
;#;

:!: //Но, если у нас единственный сертификат и он находится в хранилище компьютера - можно не заморачиваться с отдельной установкой сертификата в хранилище службы ADDS.//

{{tag>ActiveDirectory Microsoft Certificates}}