wiindow ldap证书生成方法

参考https://developer.aliyun.com/article/1629381

　　https://developer.aliyun.com/article/1628265?spm=a2c6h.12873639.article-detail.5.29716742SK4t1K

　　https://docs.authing.cn/v2/connections/windows-active-directory/

在ldap安装完成以后，生成证书

1.在powershell执行下面命令

# addcert.ps1
# 创建新证书并将其设置为 NTDS 参数的 PowerShell 脚本
　　$serverFQDN = "$env:COMPUTERNAME.$env:USERDNSDOMAIN"
　　$cert = New-SelfSignedCertificate -DnsName $serverFQDN -CertStoreLocation "Cert:\LocalMachine\My" -KeyUsage KeyEncipherment,DigitalSignature -KeySpec KeyExchange -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(5)
　　Write-Host "Created new certificate:"
　　$cert | Format-List Subject, Thumbprint, NotAfter
# 设置 NTDS 参数
　　$ntdsParams = "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters"
　　Set-ItemProperty -Path $ntdsParams -Name "Certificate" -Value $cert.Thumbprint
　　Write-Host "Certificate thumbprint set in NTDS parameters: $($cert.Thumbprint)"
# 重启 NTDS 服务
　　Restart-Service -Name NTDS -Force
　　Write-Host "NTDS service restarted"

补充说明下，这里面有个知识点 FQDN，注意如果自己签名，一定要留意下这部分，就是一个一个主机的最终标识域名，类似java包名或者网站hostname一样的东西，保证这个主机在某个网络内标识唯一

2.等待NTDS重启

　　这里需要等一会儿，可能一分钟

　　在AD DS下面查看服务器服务状态，确保NTDS正常启动

3.部署证书（更改作用域）

　　因为是本机生成的自签名证书，想要全局服务生效，需要将证书复制到受信任区域，应该是为了防止其它程序自动生成证书（或许有更好的办法）

　　具体操作为：

　　1>按下win+R打开运行

　　2>输入 - certlm.msc 打开证书管理

　　打开个人证书，可看到生成的证书，并具备有身份验证目的