每个人都谈论域控制器,他们应该安装证书,但在一天结束时它是可选的.安装后,实际使用该证书的是什么?我的理解是,它至少需要:
>智能卡身份验证
> LDAPS
但是,我想知道域控制器使用证书的DC或Active Directory是否存在特定的本机操作?
我知道这里的安全隐患/良好做法:)我只是对游戏中的机制感兴趣.
解决方法
即使在安装SSL证书之后,域控制器之间的复制仍将通过RPC进行.有效负载是加密的,但不是SSL.
如果您使用SMTP复制,则可以使用域控制器的SSL证书加密该复制…但我希望2017年没有人使用SMTP复制.
LDAPS与LDAP类似,但通过SSL / TLS,使用域控制器的证书.但普通的Windows域成员不会自动开始使用LDAPS来处理DC Locator或域加入等事情.他们仍然只使用普通的cLDAP和LDAP.
我们使用LDAPS的主要方式之一是第三方服务或非域加入系统,需要以安全的方式查询域控制器.使用LDAPS,即使这些系统未加入域,它们仍然可以从加密通信中受益. (想想VPN集中器,Wifi路由器,Linux系统等)
但是加入域的Windows客户端已经拥有SASL签名和密封以及Kerberos,它已经加密并且非常安全.所以他们会继续使用它.
打开严格KDC验证时,智能卡客户端将使用域控制器的SSL证书.这只是智能卡客户端的一项额外措施,可以验证他们正在与之交谈的KDC是否合法.
域控制器还可以使用其证书进行IPsec通信,这些证书可以在它们之间或与成员服务器进行.
这就是我现在所能想到的.
