Univention Bugzilla – Bug 21853
AD-Connector: CN des AD-Zertifikats sollte zum Hostnamen passen?
Last modified: 2024-04-17 13:16:19 CEST
Das Technische Dokument zum AD-Connector steht im Abschnitt "Import des SSL-Zertifikats des Active Directory" als Wegweiser: "Weiter, Domänen Namen angeben". Zum Einen sollte "Domänen Namen angeben" das nicht im Blocksatz gesetzt sein, zum anderen sollte geprüft werden, ob da nicht der FQDN (oder der kurze Hostname) des Servers eingetragen werden muss. Ich hatte den Eindruck, dass der CN des AD-Zertifikats zum Hostnamen passen muss, weil man sonst bei LDAPS von AD-Connector eine Fehlermeldung erhält, dass der CN des Zertifikats nicht passt. Da laut AD-Connector-Doku das CA-Zertifikat der AD-Domäne exportiert werden soll (statt eines Rechnerzertifikats, wie auch immer man das erzeugen würde ...), muss als "Allgemeiner Name dieser Zertifizierungsstelle" wohl der Hostname eingetragen werden.
Nochmal die Schritte für die Installation der Zertifizierungsstelle ab w2k3: * Zertifizierungstelle nach des AD Services installieren * Name der Zertifizierungsstelle ist relativ egal (das ist der Name der Root CA) * Nach Installation Neustart * Es gibt dann im AD ein Root Zertifikat und mind. für das AD System ein Rechnerzertifikate, dies wird automatisch angelegt * Für den Connector wird das Root Zertifikat benötigt * Start -> Verwaltung -> Zertifizierungsstelle * Eigenschaften der Root CA (Kontextmenu) * dort Zertifikat Nr. 0 auswählen und "Zertifikat anzeigen" * dann wie üblich exportieren
Das sollte zur nächsten Handbuch-Überarbeitung nochmal nachgestellt/geprüft werden.
This bug hasn't seen any update for several years. I close it. If you still see a need for it, you can reopen the bug. Please add an argumentation about why it's important to take care of it.