Wofür verwendet ein Domänencontroller (DC) ein Zertifikat?

12

Jeder spricht über Domänencontroller und dass sie ein Zertifikat installiert haben sollten, aber am Ende des Tages ist es optional. Was nutzt das Zertifikat nach der Installation tatsächlich? Mein Verständnis ist, dass es zumindest benötigt wird für:

  • Smartcard-Authentifizierung
  • LDAPS

Ich möchte jedoch wissen, ob es bestimmte systemeigene Aktionen des Domänencontrollers oder des Active Directory gibt, bei denen der Domänencontroller das Zertifikat verwendet.

Ich bin mir der Sicherheitsaspekte / der guten Praxis hier bewusst :) Ich interessiere mich nur für die Mechanik im Spiel.

Ben Short
quelle

Antworten:

14

Die Replikation zwischen Domänencontrollern erfolgt auch nach der Installation von SSL-Zertifikaten über RPC. Die Nutzdaten sind verschlüsselt, jedoch nicht mit SSL.

Wenn Sie die SMTP-Replikation verwenden, kann diese Replikation mit dem SSL-Zertifikat des Domänencontrollers verschlüsselt werden. Ich hoffe, dass 2017 niemand die SMTP-Replikation verwendet.

LDAPS ähnelt LDAP, verwendet jedoch SSL / TLS und das Zertifikat des Domänencontrollers. Normale Windows-Domänenmitglieder werden LDAPS jedoch nicht automatisch für Dinge wie DC Locator oder Domänenbeitritt verwenden. Sie werden immer noch nur einfaches cLDAP und LDAP verwenden.

Eine der Hauptmethoden für die Verwendung von LDAPS sind Dienste von Drittanbietern oder Systeme ohne Domänenbeitritt, die eine sichere Methode zum Abfragen des Domänencontrollers benötigen. Mit LDAPS können diese Systeme auch dann von verschlüsselter Kommunikation profitieren, wenn sie nicht zur Domäne gehören. (Denken Sie an VPN-Konzentratoren, WLAN-Router, Linux-Systeme usw.)

Windows-Clients mit Domänenbeitritt verfügen jedoch bereits über SASL-Signatur und -Siegelung sowie Kerberos, das bereits verschlüsselt und ziemlich sicher ist. Also werden sie das einfach weiterverwenden.

Smartcard-Clients verwenden das SSL-Zertifikat des Domänencontrollers, wenn die strikte KDC-Überprüfung aktiviert ist. Es ist nur eine zusätzliche Schutzmaßnahme für Smartcard-Clients, zu überprüfen, ob das KDC, mit dem sie sprechen, legitim ist.

Die Domänencontroller können ihre Zertifikate auch für die IPSec-Kommunikation untereinander oder mit Mitgliedsservern verwenden.

Das ist alles, woran ich gerade denken kann.

Ryan Ries
quelle
Vielen Dank, Ryan, das sind gute Informationen, und ich stimme mit vielen meiner Lektüren überein. Ich habe mich besonders für das DC Replication-Bit interessiert, das Sie beantwortet haben. Tolle Antwort :)
Ben Short
Ist "RADIUS mit modernen Protokolloptionen", z. B. für die drahtlose Authentifizierung in Unternehmen, ein Thema für diese Frage? Es ist eine Rolle, die häufig Domänencontrollern hinzugefügt wird, aber vermutlich nicht die Kernfunktionalität ... Es ist ein interessantes Beispiel, da richtige Zertifikate in dieser Anwendung tatsächlich von Bedeutung sind ...
rackandboneman
@rackandboneman Ja, und das ist die gleiche Idee, für die ich die Verwendung von SSL-Zertifikaten durch VPN-Konzentratoren / -Geräte erwähnt habe.
Ryan Ries