域控制器 (DC) 將證書用於什麼目的？

每個人都在談論域控制器，並且他們應該安裝證書，但最終它是可選的。安裝後，該證書的實際用途是什麼？我的理解是，它至少需要：

• 智能卡認證
• LDAPS

但是，我想知道域控制器使用證書的 DC 或 Active Directory 是否有特定的本機操作？

我知道這裡的安全隱患/良好做法:) 我只是對遊戲中的機制感興趣。

即使在安裝 SSL 證書之後，域控制器之間的複制仍將通過 RPC 進行。有效負載已加密，但未使用 SSL。

如果您使用 SMTP 複製，則可以使用域控制器的 SSL 證書對該複製進行加密……但我希望 2017 年沒有人使用 SMTP 複製。

LDAPS 類似於 LDAP，但通過 SSL/TLS，利用域控制器的證書。但是普通的 Windows 域成員不會自動開始使用 LDAPS 來處理 DC Locator 或域加入之類的事情。他們仍然會使用普通的 cLDAP 和 LDAP。

我們使用 LDAPS 的主要方式之一是用於需要安全方式來查詢域控制器的 3rd 方服務或未加入域的系統。使用 LDAPS，即使這些系統沒有加入域，它們仍然可以從加密通信中受益。（想想 VPN 集中器、Wifi 路由器、Linux 系統等）

但是加入域的 Windows 客戶端已經具有 SASL 簽名和密封以及 Kerberos，它們已經加密並且非常安全。所以他們會繼續使用它。

啟用Strict KDC Validation時，智能卡客戶端會使用域控制器的 SSL 證書。智能卡客戶端能夠驗證他們正在與之交談的 KDC 是否合法，這只是一種額外的保護措施。

域控制器還可以使用它們的證書進行 IPsec 通信，在它們之間或與成員伺服器之間。

這就是我現在能想到的。

引用自：https://serverfault.com/questions/887611