閱讀這篇文章:https://www.petri.com/enable-secure-ldap-windows-server-2008-2012-dc
第一種方法是最簡單的:當您在網域控制站上安裝企業根 CA 時,LDAPS 會自動啟用。如果您安裝 AD-CS 角色並將 DC 上的設定類型指定為“企業”,則林中的所有 DC 將自動配置為接受 LDAPS。
真的嗎?如果我在單一 DC 上安裝憑證服務,網域中的所有 DC 都接受 LDAPS 嗎?它們是否都會自動註冊證書,或者是否所有 LDAPS 請求都會定向回安裝了根 ca 的 DC?如果我從 DC 卸載根 ca 會發生什麼?
我必須啟用 ldaps,如果我只是在 DC 上安裝根 CA,我就完成了嗎?
我理解安全隱患,但對於我的小環境來說,這將是更好的路徑。
答案1
一般答案
一般來說,可以,但禁止任何與網路相關的配置,例如 LDAPS 協定 (:636) 與 LDAP 協定 (:389) 的防火牆存取。
在標準 Active Directory 整合式憑證授權單位安裝中,您的網域控制器將獲得基於網域控制站憑證範本的證書,其中包含伺服器驗證 OID 作為預期用途。 Schannel 服務將自動選取包含此 OID 的任何有效憑證並將其綁定至 LDAPS (:636)。
刪除此憑證或缺少正確的伺服器驗證憑證將導致在 Schannel 來源下的事件檢視器的安全性日誌中每秒記錄警告事件。
主題備用名稱支持
一個常見的警告是 LDAPS 憑證需要適當的主題備用名稱支援。預設網域控制器憑證範本不包含憑證 SAN 名稱。如果你有域名.com網域控制器名為dc1.domain.com和dc2.domain.com,然後 LDAPS (:636) 調用域名.com將使用響應網域控制器的憑證傳回(dc1.domain.com或者dc2.domain.com)。許多應用程式和協定會將其視為安全威脅和錯誤。
啟用 LDAPS 的 SAN 支持
- 撤銷並刪除網域控制站上標準所頒發的網域控制站憑證。
- 確保網域控制器範本的安全性標記為允許讀取權限,但刪除網域控制器、企業網域控制器和唯讀網域控制器的註冊和/或自動註冊權限。
- 複製 Kerberos 驗證模板,其中包含伺服器驗證 OID 等。
- 確保此範本允許匯出金鑰,並且主題名稱不是從 Active Directory 建立的,而是標記為在請求中提供。
- 確保憑證範本的安全性允許網域控制站、企業網域控制站和唯讀網域控制站讀取和註冊。
- 發布您新建立的憑證範本。
- 登入每個網域控制器,從範本請求新證書,並將以下內容設定為命名資訊(範例為dc1.domain.com):
- 通用名稱:dc1.domain.com
- SAN:dc1.domain.com,直流1,域名.com, 和領域。
- 重新啟動每個網域控制站(並不總是必需的,但為了更好的措施)並驗證事件檢視器的安全通道不再拋出有關找不到合適憑證的警告。
獎金訊息
如何快速驗證LDAPS內部連線?
- 登入網域控制器。
- 啟動 LDP.exe。
- 開啟與網域控制器名稱、IP 位址或網域本身的新連線。
- 埠:636
- SSL:檢查
- 結果將讓您知道您是否已連接以及連接到哪個網域控制器的上下文。
如何快速查看我目前的 Schannel/LDAPS 證書?
- 下載和/或存取 OpenSSL。
openssl.exe -s_client domain.com:636- 如果連線成功打開,則日誌的開始部分將顯示連線詳細資訊。
- 複製整個
-----BEGIN CERTIFICATE...貫穿...END CERTIFICATE-----部分。 - 將其貼到記事本中並另存為證書.cer。
- 打開證書.cer查看 Schannel/LDAPS 提供的證書。
如果我使用 LDAPS (:636),我可以阻止所有 LDAP (:389) 流量嗎?
是和不是。是的;您可以封鎖所有南北流量(內部和外部之間)的 LDAP (:389)。不;您無法阻止東西向流量(內部和內部之間)的 LDAP (:389)。 LDAP (:389) 對於 Active Directory 中的某些複製功能至關重要。這些活動使用 Kerberos 的簽名和密封進行保護。
對於缺乏精確的步驟或螢幕截圖表示歉意。我現在所處的環境不適合為他們提供服務。