每个人都在谈论域控制器,并且应该安装证书,但归根结底,这是可选的。安装后,该证书实际上会用于什么?我的理解是,它至少需要用于:
- 智能卡认证
- 轻量级目录访问协议
但是,我想知道域控制器使用证书的 DC 或 Active Directory 是否有特定的本机操作?
我知道这里的安全隐患/良好做法:)我只是对其中的机制感兴趣。
答案1
即使安装了 SSL 证书,域控制器之间的复制仍将通过 RPC 进行。有效负载已加密,但不是通过 SSL 加密的。
如果您使用 SMTP 复制,则可以使用域控制器的 SSL 证书加密该复制...但我希望 2017 年没有人使用 SMTP 复制。
LDAPS 与 LDAP 类似,但通过 SSL/TLS 实现,利用域控制器的证书。但普通的 Windows 域成员不会自动开始使用 LDAPS 进行 DC 定位器或域加入等操作。他们仍然会使用普通的 cLDAP 和 LDAP。
我们使用 LDAPS 的主要方式之一是用于需要以安全方式查询域控制器的第三方服务或未加入域的系统。借助 LDAPS,即使未加入域,这些系统仍可从加密通信中受益。(想想 VPN 集中器、Wifi 路由器、Linux 系统等)
但加入域的 Windows 客户端已经拥有 SASL 签名和密封以及 Kerberos,这些都已加密,而且非常安全。因此他们将继续使用这些。
智能卡客户端在以下情况下使用域控制器的 SSL 证书严格的 KDC 验证已打开。这只是智能卡客户端的一项额外保护措施,以便能够验证他们正在与之交谈的 KDC 是否合法。
域控制器还可以使用其证书进行 IPsec 通信,无论是在它们之间还是与成员服务器之间。
这就是我现在能想到的全部。