Windows LDAP加固之替換LDAP加密證書

        以前兩篇文章介紹了LDAP的安全加固，其中提到了TLS加密LDAP通訊。對於一般的網頁加密，RDP加密均可以在對應的管理界面中選擇使用哪一個證書來加密。那麼對於LDAP服務，怎麼肯定當前使用的是哪張證書，如何更換對應的證書呢？

       首先須要肯定當前域控上使用哪一個證書來加密LDAP。能夠在本地的證書管理單元中查看計算機證書，可是對於有多張證書的服務器來講，須要肯定具體哪張證書來加密LDAP就比較重要了。作了幾回實驗，發現後申請的證書會被優先用於加密。可是必需要有確實的證據證實使用了哪一個證書。這裏須要用到一個工具openssl，用它檢測服務器使用的證書。

       命令以下：openssl s_client -connect 10.11.24.232:636   若是看不到圖，請點我。

       

        返回結果中有服務器加密LDAP證書的信息，可是很差辨識。能夠複製------BEGIN CERTIFICARE-----到-----END CERTIFICATE-----的這些內容，而後粘貼到記事本中，保存爲cer文件。而後雙擊打開cer文件查看其中的序列號和指紋來肯定究竟使用的是哪一張證書了。
       

        若是要更換證書怎麼辦呢？其實在證書管理單元中也能夠操做。運行mmc,添加證書，選擇服務帳戶service account

       

        而後再選擇目錄服務Active Directory Domain Services

      

        在NTDS\Personal下就能看到當前使用的證書，默認是空的。能夠在這裏明確指定一張證書供LDAP使用。