%EB%8A%94%20%EB%AC%B4%EC%97%87%EC%9D%84%20%EC%9C%84%ED%95%B4%20%EC%9D%B8%EC%A6%9D%EC%84%9C%EB%A5%BC%20%EC%82%AC%EC%9A%A9%ED%95%A9%EB%8B%88%EA%B9%8C%3F.png)
모두가 도메인 컨트롤러에 대해 이야기하고 인증서를 설치해야 한다고 말하지만 결국 이는 선택 사항입니다. 일단 설치되면 해당 인증서를 실제로 어떻게 사용합니까? 내 이해는 최소한 다음과 같은 경우에 필요하다는 것입니다.
- 스마트 카드 인증
- LDAPS
그러나 도메인 컨트롤러가 인증서를 사용하는 DC 또는 Active Directory의 특정 기본 작업이 있는지 알고 싶습니다.
나는 여기에 보안 영향/모범 사례를 알고 있습니다. :) 저는 단지 작동하는 메커니즘에만 관심이 있습니다.
답변1
도메인 컨트롤러 간 복제는 SSL 인증서를 설치한 후에도 RPC를 통해 계속 발생합니다. 페이로드는 암호화되지만 SSL은 암호화되지 않습니다.
SMTP 복제를 사용하면 해당 복제는 도메인 컨트롤러의 SSL 인증서로 암호화될 수 있습니다. 하지만 2017년에는 누구도 SMTP 복제를 사용하지 않기를 바랍니다.
LDAPS는 LDAP와 비슷하지만 SSL/TLS를 통해 도메인 컨트롤러의 인증서를 활용합니다. 그러나 일반 Windows 도메인 구성원은 DC 로케이터 또는 도메인 가입과 같은 작업에 LDAPS를 자동으로 사용하지 않습니다. 그들은 여전히 일반 cLDAP와 LDAP를 사용합니다.
LDAPS를 사용하는 주요 방법 중 하나는 도메인 컨트롤러를 쿼리하는 안전한 방법이 필요한 타사 서비스 또는 도메인에 가입되지 않은 시스템에 대한 것입니다. LDAPS를 사용하면 해당 시스템은 도메인에 가입하지 않은 경우에도 암호화된 통신의 이점을 누릴 수 있습니다. (VPN 집중 장치, Wi-Fi 라우터, Linux 시스템 등을 생각해 보세요.)
그러나 도메인에 가입된 Windows 클라이언트에는 이미 SASL 서명 및 봉인과 암호화되어 매우 안전한 Kerberos가 있습니다. 그래서 그들은 그것을 계속 사용할 것입니다.
스마트 카드 클라이언트는 다음과 같은 경우 도메인 컨트롤러의 SSL 인증서를 사용합니다.엄격한 KDC 검증켜져 있습니다. 이는 스마트 카드 클라이언트가 대화 중인 KDC가 합법적인지 확인할 수 있는 추가 보호 조치일 뿐입니다.
도메인 컨트롤러는 자체적으로 또는 구성원 서버와의 IPsec 통신을 위해 인증서를 사용할 수도 있습니다.
지금 당장 생각나는 건 그게 전부다.