Do czego kontroler domeny (DC) używa certyfikatu?


13

Wszyscy mówią o kontrolerach domen i że powinni mieć zainstalowany certyfikat, ale na koniec dnia jest on opcjonalny. Co po zainstalowaniu korzysta z tego certyfikatu? Rozumiem, że jest to co najmniej potrzebne do:

  • Uwierzytelnianie kart inteligentnych
  • LDAPS

Chcę jednak dowiedzieć się, czy istnieją jakieś natywne działania DC lub Active Directory, w których kontroler domeny korzysta z certyfikatu?

Mam świadomość wpływu na bezpieczeństwo / dobrych praktyk tutaj :) Interesuje mnie tylko mechanika w grze.

Odpowiedzi:


15

Replikacja między kontrolerami domeny będzie nadal odbywać się przez RPC, nawet po zainstalowaniu certyfikatów SSL. Ładunek jest szyfrowany, ale nie przy użyciu protokołu SSL.

Jeśli używasz replikacji SMTP, replikację tę można zaszyfrować przy użyciu certyfikatu SSL kontrolera domeny ... ale mam nadzieję, że nikt nie używa replikacji SMTP w 2017 roku.

LDAPS jest podobny do LDAP, ale ma protokół SSL / TLS i wykorzystuje certyfikat kontrolera domeny. Ale zwykli członkowie domeny Windows nie zaczną automatycznie używać LDAPS do takich rzeczy jak DC Locator lub dołączanie do domeny. Nadal będą używać zwykłego cLDAP i LDAP.

Jednym z głównych sposobów, w jaki korzystamy z LDAPS, są usługi innych firm lub systemy nieprzyłączone do domeny, które potrzebują bezpiecznego sposobu odpytywania kontrolera domeny. Dzięki LDAPS systemy te mogą nadal korzystać z szyfrowanej komunikacji, nawet jeśli nie są przyłączone do domeny. (Pomyśl o koncentratorach VPN, routerach Wi-Fi, systemach Linux itp.)

Ale klienci Windows przyłączeni do domeny mają już podpisywanie i pieczętowanie SASL oraz Kerberos, który jest już zaszyfrowany i jest dość bezpieczny. Więc po prostu będą tego używać.

Klienci kart inteligentnych korzystają z certyfikatu SSL kontrolera domeny, gdy włączona jest ścisła walidacja KDC . To tylko dodatkowy środek ochrony dla klientów kart inteligentnych, aby móc sprawdzić, czy KDC, z którym rozmawiają, jest legalne.

Kontrolery domeny mogą również wykorzystywać swoje certyfikaty do komunikacji IPsec, zarówno między sobą, jak i z serwerami członkowskimi.

To wszystko, co mogę teraz wymyślić.


Dzięki Ryan, to dobra informacja i zgadza się z dużą ilością tego, co przeczytałem. Byłem szczególnie zainteresowany bitem replikacji DC, na który odpowiedziałeś. Świetna odpowiedź :)
Ben Krótki

Czy „RADIUS z nowoczesnymi opcjami protokołu”, np. Do korporacyjnego uwierzytelniania bezprzewodowego, dotyczy tematu? Jest to rola powszechnie dodawana do kontrolerów domen, ale prawdopodobnie nie podstawowa funkcjonalność ... To ciekawy przykład, ponieważ właściwe certyfikaty faktycznie
MAJĄ PODSTAWĘ

@rackandboneman Tak, i to jest ten sam pomysł, o którym myślałem, wspominając o użyciu certyfikatów SSL przez koncentratory / urządzenia VPN.
Ryan Ries,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.