一般答案

一般答案

正在读这篇文章:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

第一种方法最简单:在域控制器上安装企业根 CA 时,LDAPS 会自动启用。如果您在 DC 上安装 AD-CS 角色并将安装类型指定为“企业”,则林中的所有 DC 都将自动配置为接受 LDAPS。

是这样的吗?如果我在单个 DC 上安装证书服务,域中的所有 DC 都会接受 LDAPS?它们是否都会自动注册证书,还是所有 LDAPS 请求都会定向回安装了根 CA 的 DC?如果我从 DC 卸载根 CA,会发生什么情况?

我必须启用 ldaps,如果我仅在 DC 上安装根 CA 就完成了吗?

我了解安全隐患,但对于我的小环境来说,这是更好的选择。

答案1

一般答案

一般来说,是的,除非有任何网络相关的配置,例如 LDAPS 协议(:636)与 LDAP 协议(​​:389)的防火墙访问。

在标准的 Active Directory 集成证书颁发机构安装中,将根据域控制器证书模板向您的域控制器颁发证书,该模板包含服务器身份验证 OID 作为预期用途。任何包含此 OID 的有效证书都将被 Schannel 服务自动拾取并绑定到 LDAPS (:636)。

删除此证书或缺少正确的服务器身份验证证书将导致在 Schannel 源下每秒在事件查看器的安全日志中记录警告事件。

主题备用名称支持

一个常见的警告是需要对 LDAPS 证书提供适当的主题备用名称支持。默认域控制器证书模板不包含证书 SAN 名称。如果您有域名.com域控制器名称dc1.domain.comdc2.domain.com,然后 LDAPS (:636) 调用域名.com将使用响应域控制器的证书返回(dc1.domain.com或者dc2.domain.com)。许多应用程序和协议都会将此视为安全威胁并报错。

启用 LDAPS 的 SAN 支持

  1. 撤销并删除域控制器上颁发的标准域控制器证书。
  2. 确保域控制器模板的安全性标记为允许读取权限,但删除域控制器、企业域控制器和只读域控制器的注册和/或自动注册权限。
  3. 复制 Kerberos 身份验证模板,其中包含服务器身份验证 OID。
    • 确保此模板允许导出密钥,并且主题名称不是从 Active Directory 构建的,而是标记为在请求中提供的。
    • 确保证书模板的安全性允许域控制器、企业域控制器和只读域控制器读取和注册。
  4. 发布您新创建的证书模板。
  5. 登录到每个域控制器,从模板中请求新证书,并将以下内容设置为命名信息(示例为dc1.domain.com):
    • 通用名称:dc1.domain.com
    • SAN:dc1.domain.com直流1域名.com, 和领域
  6. 重新启动每个域控制器(并非总是需要,但为了保险起见)并验证事件查看器的安全通道不再发出有关找不到合适证书的警告。

奖金信息

如何在内部快速验证 LDAPS 连接?

  1. 登录到域控制器。
  2. 启动 LDP.exe。
  3. 打开与域控制器名称、IP 地址或域名本身的新连接。
    • 端口:636
    • SSL:检查
  4. 结果将让您知道是否已连接以及连接到哪个域控制器的上下文。

如何快速查看我当前的 Schannel/LDAPS 证书?

  1. 下载和/或访问 OpenSSL。
  2. openssl.exe -s_client domain.com:636
  3. 如果连接成功打开,日志的开始部分将显示连接详细信息。
  4. 复制整个-----BEGIN CERTIFICATE...直通...END CERTIFICATE-----部分。
  5. 将其粘贴到记事本中并另存为证书.cer
  6. 打开证书.cer查看 Schannel/LDAPS 提供的证书。

如果我使用 LDAPS(:636),我可以阻止所有 LDAP(:389)流量吗?

是也不是。是的;您可以在所有南北流量(内部和外部之间)上阻止 LDAP (:389)。否;您无法在东西流量(内部和内部之间)上阻止 LDAP (:389)。LDAP (:389) 对于 Active Directory 中的某些复制功能至关重要。这些活动使用 Kerberos 的签名和密封进行保护。

抱歉,没有提供准确的步骤或截图。目前我还没有提供这些内容的环境。

相关内容