Wofür verwendet ein Domänencontroller (DC) ein Zertifikat?

tag-icon tag-icon active-directory domain-controller certificate ad-certificate-services
Wofür verwendet ein Domänencontroller (DC) ein Zertifikat?

Alle reden über Domänencontroller und darüber, dass sie ein Zertifikat installiert haben sollten, aber letztendlich ist es optional. Wofür wird das Zertifikat nach der Installation eigentlich verwendet? Meines Wissens wird es zumindest für Folgendes benötigt:

  • Smartcard-Authentifizierung
  • LDAPS

Ich möchte jedoch wissen, ob es bestimmte native Aktionen des DC oder Active Directory gibt, bei denen der Domänencontroller das Zertifikat verwendet?

Ich bin mir der Sicherheitsimplikationen/bewährten Vorgehensweisen hier bewusst :) Mich interessieren lediglich die Spielmechanismen.

Antwort1

Die Replikation zwischen Domänencontrollern erfolgt weiterhin über RPC, auch nach der Installation von SSL-Zertifikaten. Die Nutzlast ist verschlüsselt, jedoch nicht mit SSL.

Wenn Sie SMTP-Replikation verwenden, kann diese Replikation mit dem SSL-Zertifikat des Domänencontrollers verschlüsselt werden. Ich hoffe jedoch, dass im Jahr 2017 niemand mehr SMTP-Replikation verwendet.

LDAPS ist wie LDAP, aber über SSL/TLS und verwendet das Zertifikat des Domänencontrollers. Normale Windows-Domänenmitglieder verwenden LDAPS jedoch nicht automatisch für Dinge wie DC Locator oder Domänenbeitritt. Sie verwenden weiterhin einfaches cLDAP und LDAP.

Einer der Hauptzwecke, für die wir LDAPS verwenden, ist für Dienste von Drittanbietern oder nicht in die Domäne eingebundene Systeme, die eine sichere Möglichkeit zum Abfragen des Domänencontrollers benötigen. Mit LDAPS können diese Systeme auch dann von verschlüsselter Kommunikation profitieren, wenn sie nicht in die Domäne eingebunden sind. (Denken Sie an VPN-Konzentratoren, WLAN-Router, Linux-Systeme usw.)

Aber in die Domäne eingebundene Windows-Clients verfügen bereits über SASL-Signatur und -Versiegelung sowie Kerberos, das bereits verschlüsselt und ziemlich sicher ist. Sie werden das also einfach weiterhin verwenden.

Smartcard-Clients verwenden das SSL-Zertifikat des Domänencontrollers, wennStrikte KDC-Validierungist eingeschaltet. Es ist lediglich eine zusätzliche Schutzmaßnahme für Smartcard-Clients, damit diese überprüfen können, ob der KDC, mit dem sie kommunizieren, legitim ist.

Die Domänencontroller könnten ihre Zertifikate auch für die IPsec-Kommunikation verwenden, entweder untereinander oder mit Mitgliedsservern.

Das ist alles, was mir im Moment einfällt.

verwandte Informationen