Windows

如果我在域控制器上安裝證書服務(企業根 ca),LDAPS 會自動啟用嗎?

  • July 21, 2019

閱讀本文:https ://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc

第一種方法最簡單:在域控制器上安裝企業根 CA 時會自動啟用 LDAPS。如果您在 DC 上安裝 AD-CS 角色並將設置類型指定為“企業”,則林中的所有 DC 將自動配置為接受 LDAPS。

真的嗎?如果我在單個 DC 上安裝證書服務,域中的所有 DC 都接受 LDAPS?它們是否都自動註冊證書,或者是否所有 LDAPS 請求都被定向回安裝了根 ca 的 DC?如果我從 DC 解除安裝 root ca 會發生什麼?

我必須啟用 ldaps,如果我只是在 DC 上安裝根 CA,我完成了嗎?

我了解安全隱患,但對於我的小環境來說,這將是更可取的途徑。

一般答案

一般來說,是的,除非有任何與網路相關的配置,例如 LDAPS 協議 (:636) 與 LDAP 協議 (:389) 的防火牆訪問。

在標準的 Active Directory 集成證書頒發機構安裝中,您的域控制器將獲得基於域控制器證書模板的證書,其中包括作為預期目的的伺服器身份驗證 OID。任何包含此 OID 的有效證書都將自動被 Schannel 服務拾取並綁定到 LDAPS (:636)。

刪除此證書或缺少正確的伺服器身份驗證證書,將導致警告事件每秒記錄在 Schannel 源下的事件查看器的安全日誌中。

主題備用名稱支持

一個常見的警告是需要為 LDAPS 證書提供適當的主題備用名稱支持。預設域控制器證書模板不包括證書 SAN 名稱。如果您的domain.com帶有名為dc1.domain.comdc2.domain.com的域控制器,則對**domain.com的LDAPS (:636) 呼叫將使用響應域控制器的證書 ( dc1.domain.comdc2.domain.com)。許多應用程序和協議會將其視為安全威脅和錯誤輸出。

為 LDAPS 啟用 SAN 支持

  1. 撤銷和刪除域控制器上標準頒發的域控制器證書。
  2. 確保域控制器模板的安全標記為允許讀取權限,但刪除域控制器、企業域控制器和只讀域控制器的註冊和/或自動註冊權限。
  3. 複製 Kerberos 身份驗證模板,其中包含伺服器身份驗證 OID 等。
  • 確保此模板允許導出密鑰,並且主題名稱不是從 Active Directory 建構的,而是標記為在請求中提供。
  • 確保證書模板的安全性允許域控制器、企業域控制器和只讀域控制器同時讀取和註冊。
  1. 發布您新創建的證書模板。
  2. 登錄到每個域控制器,從您的模板中請求一個新證書,並將以下內容設置為命名資訊(例如dc1.domain.com):
  • 通用名稱:dc1.domain.com
  • SAN:dc1.domain.comdc1domain.comdomain
  1. 重新啟動每個域控制器(並非總是需要,但為了更好的措施)並驗證事件查看器的安全通道不再拋出有關未找到合適證書的警告。

獎金資訊

如何在內部快速驗證 LDAPS 連接?

  1. 登錄到域控制器。
  2. 啟動 LDP.exe。
  3. 打開與域控制器名稱、IP 地址或域名本身的新連接。
  • 埠:636
  • SSL:檢查
  1. 結果將讓您知道您是否已連接以及連接到什麼域控制器的上下文。

如何快速查看我目前的 Schannel/LDAPS 證書?

  1. 下載和/或訪問 OpenSSL。
  2. openssl.exe -s_client domain.com:636
  3. 如果連接成功打開,則日誌的開頭部分將顯示連接詳細資訊。
  4. 複製整個-----BEGIN CERTIFICATE...通過...END CERTIFICATE-----部分。
  5. 將此粘貼到記事本中並將其另存為certificate.cer
  6. 打開certificate.cer以查看 Schannel/LDAPS 提供的證書。

如果我使用 LDAPS (:636) 可以阻止所有 LDAP (:389) 流量嗎?

是和不是。是的; 您可以在所有南北流量(內部和外部之間)上阻止 LDAP (:389)。不; 您不能在東西流量(內部和內部之間)上阻止 LDAP (:389)。LDAP (:389) 對於 Active Directory 中的某些複製功能至關重要。這些活動使用 Kerberos 的簽名和密封來保護。

抱歉缺少精確的步驟或螢幕截圖。我現在不在一個可以提供它們的環境中。

引用自:https://serverfault.com/questions/975933