正在读这篇文章:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
第一种方法最简单:在域控制器上安装企业根 CA 时,LDAPS 会自动启用。如果您在 DC 上安装 AD-CS 角色并将安装类型指定为“企业”,则林中的所有 DC 都将自动配置为接受 LDAPS。
是这样的吗?如果我在单个 DC 上安装证书服务,域中的所有 DC 都会接受 LDAPS?它们是否都会自动注册证书,还是所有 LDAPS 请求都会定向回安装了根 CA 的 DC?如果我从 DC 卸载根 CA,会发生什么情况?
我必须启用 ldaps,如果我仅在 DC 上安装根 CA 就完成了吗?
我了解安全隐患,但对于我的小环境来说,这是更好的选择。
答案1
一般答案
一般来说,是的,除非有任何网络相关的配置,例如 LDAPS 协议(:636)与 LDAP 协议(:389)的防火墙访问。
在标准的 Active Directory 集成证书颁发机构安装中,将根据域控制器证书模板向您的域控制器颁发证书,该模板包含服务器身份验证 OID 作为预期用途。任何包含此 OID 的有效证书都将被 Schannel 服务自动拾取并绑定到 LDAPS (:636)。
删除此证书或缺少正确的服务器身份验证证书将导致在 Schannel 源下每秒在事件查看器的安全日志中记录警告事件。
主题备用名称支持
一个常见的警告是需要对 LDAPS 证书提供适当的主题备用名称支持。默认域控制器证书模板不包含证书 SAN 名称。如果您有域名.com域控制器名称dc1.domain.com和dc2.domain.com,然后 LDAPS (:636) 调用域名.com将使用响应域控制器的证书返回(dc1.domain.com或者dc2.domain.com)。许多应用程序和协议都会将此视为安全威胁并报错。
启用 LDAPS 的 SAN 支持
- 撤销并删除域控制器上颁发的标准域控制器证书。
- 确保域控制器模板的安全性标记为允许读取权限,但删除域控制器、企业域控制器和只读域控制器的注册和/或自动注册权限。
- 复制 Kerberos 身份验证模板,其中包含服务器身份验证 OID。
- 确保此模板允许导出密钥,并且主题名称不是从 Active Directory 构建的,而是标记为在请求中提供的。
- 确保证书模板的安全性允许域控制器、企业域控制器和只读域控制器读取和注册。
- 发布您新创建的证书模板。
- 登录到每个域控制器,从模板中请求新证书,并将以下内容设置为命名信息(示例为dc1.domain.com):
- 通用名称:dc1.domain.com
- SAN:dc1.domain.com,直流1,域名.com, 和领域。
- 重新启动每个域控制器(并非总是需要,但为了保险起见)并验证事件查看器的安全通道不再发出有关找不到合适证书的警告。
奖金信息
如何在内部快速验证 LDAPS 连接?
- 登录到域控制器。
- 启动 LDP.exe。
- 打开与域控制器名称、IP 地址或域名本身的新连接。
- 端口:636
- SSL:检查
- 结果将让您知道是否已连接以及连接到哪个域控制器的上下文。
如何快速查看我当前的 Schannel/LDAPS 证书?
- 下载和/或访问 OpenSSL。
openssl.exe -s_client domain.com:636- 如果连接成功打开,日志的开始部分将显示连接详细信息。
- 复制整个
-----BEGIN CERTIFICATE...直通...END CERTIFICATE-----部分。 - 将其粘贴到记事本中并另存为证书.cer。
- 打开证书.cer查看 Schannel/LDAPS 提供的证书。
如果我使用 LDAPS(:636),我可以阻止所有 LDAP(:389)流量吗?
是也不是。是的;您可以在所有南北流量(内部和外部之间)上阻止 LDAP (:389)。否;您无法在东西流量(内部和内部之间)上阻止 LDAP (:389)。LDAP (:389) 对于 Active Directory 中的某些复制功能至关重要。这些活动使用 Kerberos 的签名和密封进行保护。
抱歉,没有提供准确的步骤或截图。目前我还没有提供这些内容的环境。