環境：Windows Server 2012 R2 + Active Directory

說明：LDAP 無法直接獲取windows Active Directory 用戶密碼，需要通過一個安全的通道（SSL）。

經過三天的折騰，查閱了無數博客論壇，其中基本都是安裝AD證書服務器，或者是跳過申請導出過程（個人覺得這部分很重要，主要是卡在這裡），所以特以此博文記錄下來，幫助廣大猿兄。

以下為服務器安裝到證書導出，以及導入到Java密鑰庫。（PS：無截圖的步驟則為默認設置，不用變動。）

一、安裝AD證書

1. 服務器管理器->儀表盤，添加角色和功能

1. 如圖默認，點擊下一步

1. 配置證書服務

1. 進入證書頒發機構

二、導出證書

1. Win+R打開運行，輸入『mmc』

1. 添加/刪除管理單元

1. 添加證書單元

1. 添加完『證書』節點後，打開『個人』，『證書』，選擇要導出的證書，注意，我們剛才申請的證書時長為五年，所以注意到期時間，因為有時存在不止一個證書。

1. 右擊需要的證書，選擇『所有任務』，『導出』，導出證書

1. 選擇保存路徑並命名

三、AD證書導入java密鑰庫

1. 以管理員身份打開命令行或者Windows Powershell，進入jdk目錄下

輸入命令：.\bin\keytool -importcert -keystore .\jre\lib\security\cacerts_hf -storepass

changeit -keypass changeit -alias CA -file D:\CA\hfbupt1.cer

（第一處加粗導入到密鑰庫中的文件命名，加粗路徑為ca證書路徑位置）

1. 是否信任，輸入Y即可導入成功

AD域用戶插入和密碼修改測試代碼： https://download.csdn.net/download/hc1017/10573368