%20%E3%81%AF%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E4%BD%95%E3%81%AB%E4%BD%BF%E7%94%A8%E3%81%97%E3%81%BE%E3%81%99%E3%81%8B%3F.png)
誰もがドメイン コントローラーについて、証明書をインストールする必要があると言っていますが、結局のところ、それはオプションです。インストールしたら、その証明書は実際に何に利用されるのでしょうか? 私の理解では、少なくとも次の場合に必要です。
- スマートカード認証
- LDAP
しかし、ドメイン コントローラーが証明書を利用する DC または Active Directory による特定のネイティブ アクションがあるかどうかを知りたいのです。
ここでのセキュリティへの影響/良い実践については認識しています :) 私は実際に行われているメカニズムに興味があるだけです。
答え1
SSL 証明書をインストールした後でも、ドメイン コントローラー間のレプリケーションは RPC 経由で実行されます。ペイロードは暗号化されますが、SSL は使用されません。
SMTP レプリケーションを使用する場合、そのレプリケーションはドメイン コントローラーの SSL 証明書で暗号化できます... ただし、2017 年には誰も SMTP レプリケーションを使用していないことを願っています。
LDAPS は LDAP に似ていますが、SSL/TLS 経由でドメイン コントローラの証明書を使用します。ただし、通常の Windows ドメイン メンバーは、DC ロケータやドメイン参加などの目的で LDAPS を自動的に使用し始めることはありません。引き続き、プレーンな cLDAP と LDAP を使用します。
LDAPS を使用する主な方法の 1 つは、ドメイン コントローラーを安全に照会する必要があるサード パーティ サービスまたはドメインに参加していないシステムです。LDAPS を使用すると、これらのシステムはドメインに参加していなくても暗号化された通信のメリットを享受できます (VPN コンセントレーター、Wi-Fi ルーター、Linux システムなど)。
しかし、ドメインに参加している Windows クライアントには、すでに SASL 署名とシーリング、そして暗号化されて非常に安全な Kerberos が備わっているため、そのまま使い続けることになります。
スマートカードクライアントは、ドメインコントローラのSSL証明書を次の場合に使用します。厳格なKDC検証オンになっています。これは、スマート カード クライアントが通信先の KDC が正当であることを確認できるようにするための追加の保護手段にすぎません。
ドメイン コントローラは、ドメイン コントローラ間またはメンバー サーバーとの IPsec 通信に証明書を使用することもできます。
今のところ私が思いつくのはこれだけです。