Bonjour,
 
Tout d'abord je voulais vous remercier pour le contenu de ce site qui m'a été utile plus d'une fois dans la résolution de mes problèmes.
 
Je suis confronté au problème suivant aujourd'hui...
 
Nous avons un service web externe qui nous demande de nous connecter à notre Active Directory via LDAPS afin d'authentifier nos utilisateurs : c'est le site web, cela nous permettra d'avoir pour les utilisateurs un seul login/mdp pour l'ensemble des services et sera accessible via une URL type ldap://auth.domain.ch:636/ .
 
J'ai donc rajouté un A Record dans nos DNS internes pour notre zone "domain.ch" correspondant à : auth.domain.ch --> IP du DC.
 
On nous a donc demandé d'ouvrir le port 636 dans notre firewall et d'autoriser uniquement les 3 ranges IP publiques du prestataire externe pour des raisons évidentes de sécurité, ce que nous avons fait.
 
Il nous a également été demandé de suivre les instructions de cet article : http://support.microsoft.com/kb/321051 , ce que nous avons également fait.
J'ai donc fait la requête de certificat avec certreq en mettant comme FQDN le nom externe, c'est-à-dire "auth.domain.ch" et non "xyz.domain.local" qui est le nom DNS réel du DC.
Je n'ai pas eu le choix de faire autrement car si, lors de la demande du certificat, je mettais en FQDN "xyz.domain.local", RapidSSL me renvoyait une erreur et je ne pouvais obtenir mon certificat.
 
La situation actuelle est que :
- lorsque j'essaie de me connecter à l'interne avec ldp sur "xyz.domain.local" (port 636/SSL), pas de problème.
- lorsque j'essaie de me connecter à l'interne avec ldp sur "auth.domain.ch" (port 636/SSL), ça ne passe pas : erreur 0x51.
- lorsque j'autorise l'IP externe de mon routeur, depuis chez moi, et que j'essaie de me connecter avec un outil tiers type LDAP Administrator et que je fais la connexion sur "auth.domain.ch" (port 636/SSL), ça passe mais je reçois un certificat self-signed, issu par le CA interne de mon domaine. Donc pas celui que j'ai acheté à RapidSSL et qui a pour Subject "auth.domain.ch".
 
 
J'ai regardé plus avant avec RadpiSSL et il a vite semblé évident que la situation telle qu'elle est ne pourrait jamais fonctionner : le certificat issu pour le DC "xyz.domain.local" ayant pour Subject "auth.domain.ch" ne pourra jamais être utilisé. Le DC va toujours présenter son certificat auto-signé par le CA interne au domaine, car dans ce dernier le champ Subject est "xyz.domain.local" , et ça match.
 
Donc nous sommes partis sur l'idée d'un certificat de ce type : http://www.geotrust.com/ssl/extend [...] ti-domain/ , avec dans le champ SAN des valeurs de type : SAN="dns=auth.domain.ch&dns=.domain.ch&dns=xyz.domain.local&dns=.domain.local"
 
 
Ma question est de savoir si notre raisonnement est bien juste et finalement si tout cela va fonctionner... car là ça fait une semaine, et franchement, j'aimerais bien passer à autre chose et finir ce projet !    
 
 
Merci d'avoir pris le temps de lire, je viens de me rendre compte que j'ai posé un sacré taquet^^