%20%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D1%83%D0%B5%D1%82%20%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82%3F.png)
Все говорят о контроллерах домена и о том, что им следует установить сертификат, но в конце концов это необязательно. После установки, что на самом деле использует этот сертификат? Я понимаю, что он нужен как минимум для:
- Аутентификация с помощью смарт-карты
- LDAPS
Однако я хочу узнать, существуют ли какие-либо особые действия со стороны DC или Active Directory, при которых контроллер домена использует сертификат?
Я осознаю последствия для безопасности/хорошую практику здесь :) Мне просто интересна механика игры.
решение1
Репликация между контроллерами домена будет по-прежнему осуществляться через RPC, даже после установки SSL-сертификатов. Полезная нагрузка зашифрована, но не с помощью SSL.
Если вы используете репликацию SMTP, то ее можно зашифровать с помощью SSL-сертификата контроллера домена... но я надеюсь, что в 2017 году никто не будет использовать репликацию SMTP.
LDAPS похож на LDAP, но через SSL/TLS, используя сертификат контроллера домена. Но обычные члены домена Windows не начнут автоматически использовать LDAPS для таких вещей, как DC Locator или присоединение к домену. Они по-прежнему будут использовать простые cLDAP и LDAP.
Один из основных способов использования LDAPS — для сторонних служб или систем, не присоединенных к домену, которым нужен безопасный способ запроса контроллера домена. С LDAPS эти системы могут по-прежнему получать выгоду от зашифрованных коммуникаций, даже если они не присоединены к домену. (Подумайте о концентраторах VPN, маршрутизаторах Wi-Fi, системах Linux и т. д.)
Но у клиентов Windows, подключенных к домену, уже есть SASL-подписывание и запечатывание, а также Kerberos, который уже зашифрован и довольно безопасен. Так что они просто продолжат использовать это.
Клиенты смарт-карт используют SSL-сертификат контроллера домена, когдаСтрогая проверка KDCвключен. Это просто дополнительная мера защиты для клиентов смарт-карт, позволяющая им проверить, что KDC, с которым они общаются, является законным.
Контроллеры домена также могут использовать свои сертификаты для связи IPsec как между собой, так и с серверами-участниками.
Это все, что я могу сейчас придумать.