This is an old revision of the document!
AD.Сертификаты
Замена сертификата LDAPs
Правильный, современный шаблон для контроллеров домена, который следует взять за основу для выпуска актуального шаблона в AD CS - называется Kerberos Authentication. В нём нужно поменять subject name format на DNS name, как показано на скриншоте.
При необходимости, увеличиваем срок действия сертификатов, а также помечаем закрытый ключ в качестве эскпортируемого.
Механизм выбора сертификата, который используется сервером для LDAPs - не очевиден. Вероятно, сервер использует первый подходящий сертификат, который найдёт в хранилище. При этом, наивысший приоритет имеет хранилище службы Active Directory Domain Services. Таким образом, если мы хотим добавить сертификат, который переопределит сертификат, который существует в хранилище компьютера - нам нужно добавить новый в хранилище personal службы AD DS, как показано на скриншоте.
Но, если у нас единственный сертификат и он находится в хранилище компьютера - можно не заморачиваться с отдельной установкой сертификата в хранилище службы ADDS.