Active-Directory

域控制器 (DC) 將證書用於什麼目的?

  • December 12, 2017

每個人都在談論域控制器,並且他們應該安裝證書,但最終它是可選的。安裝後,該證書的實際用途是什麼?我的理解是,它至少需要:

  • 智能卡認證
  • LDAPS

但是,我想知道域控制器使用證書的 DC 或 Active Directory 是否有特定的本機操作?

我知道這裡的安全隱患/良好做法:) 我只是對遊戲中的機制感興趣。

即使在安裝 SSL 證書之後,域控制器之間的複制仍將通過 RPC 進行。有效負載已加密,但未使用 SSL。

如果您使用 SMTP 複製,則可以使用域控制器的 SSL 證書對該複製進行加密……但我希望 2017 年沒有人使用 SMTP 複製。

LDAPS 類似於 LDAP,但通過 SSL/TLS,利用域控制器的證書。但是普通的 Windows 域成員不會自動開始使用 LDAPS 來處理 DC Locator 或域加入之類的事情。他們仍然會使用普通的 cLDAP 和 LDAP。

我們使用 LDAPS 的主要方式之一是用於需要安全方式來查詢域控制器的 3rd 方服務或未加入域的系統。使用 LDAPS,即使這些系統沒有加入域,它們仍然可以從加密通信中受益。(想想 VPN 集中器、Wifi 路由器、Linux 系統等)

但是加入域的 Windows 客戶端已經具有 SASL 簽名和密封以及 Kerberos,它們已經加密並且非常安全。所以他們會繼續使用它。

啟用Strict KDC Validation時,智能卡客戶端會使用域控制器的 SSL 證書。智能卡客戶端能夠驗證他們正在與之交談的 KDC 是否合法,這只是一種額外的保護措施。

域控制器還可以使用它們的證書進行 IPsec 通信,在它們之間或與成員伺服器之間。

這就是我現在能想到的。

引用自:https://serverfault.com/questions/887611