¿Para qué utiliza un controlador de dominio (DC) un certificado?

tag-icon tag-icon active-directory domain-controller certificate ad-certificate-services
¿Para qué utiliza un controlador de dominio (DC) un certificado?

Todo el mundo habla de controladores de dominio y de que deberían tener un certificado instalado, pero al fin y al cabo es opcional. Una vez instalado, ¿qué hace realmente uso de ese certificado? Tengo entendido que al menos es necesario para:

  • Autenticación de tarjeta inteligente
  • LDAPS

Sin embargo, estoy buscando saber si existen acciones nativas específicas por parte del DC o Active Directory donde el controlador de dominio hace uso del certificado.

Soy consciente de las implicaciones de seguridad/buenas prácticas aquí :) Solo estoy interesado en la mecánica en juego.

Respuesta1

La replicación entre controladores de dominio seguirá realizándose a través de RPC, incluso después de instalar los certificados SSL. La carga útil está cifrada, pero no con SSL.

Si usa la replicación SMTP, esa replicación se puede cifrar con el certificado SSL del controlador de dominio... pero espero que nadie use la replicación SMTP en 2017.

LDAPS es como LDAP, pero a través de SSL/TLS, utilizando el certificado del controlador de dominio. Pero los miembros normales de un dominio de Windows no comenzarán a usar LDAPS automáticamente para cosas como DC Locator o unirse a un dominio. Seguirán usando cLDAP y LDAP simples.

Una de las principales formas en que utilizamos LDAPS es para servicios de terceros o sistemas no unidos a un dominio que necesitan una forma segura de consultar el controlador de dominio. Con LDAPS, esos sistemas aún pueden beneficiarse de las comunicaciones cifradas incluso si no están unidos al dominio. (Piense en concentradores VPN, enrutadores Wifi, sistemas Linux, etc.)

Pero los clientes Windows unidos a un dominio ya tienen firma y sellado SASL y Kerberos, que ya está cifrado y es bastante seguro. Así que seguirán usando eso.

Los clientes de tarjetas inteligentes utilizan el certificado SSL del controlador de dominio cuandoEstricta validación de KDCestá prendido. Es sólo una medida adicional de protección para que los clientes de tarjetas inteligentes puedan verificar que el KDC con el que están hablando es legítimo.

Los controladores de dominio también podrían utilizar sus certificados para la comunicación IPsec, ya sea entre ellos o con los servidores miembros.

Eso es todo lo que puedo pensar ahora.

información relacionada