web-dev-qa-db-ja.com

ドメインコントローラー(DC)が証明書を使用する目的は何ですか?

誰もがドメインコントローラについて話し、証明書をインストールする必要があると述べていますが、結局のところ、それはオプションです。インストール後、実際にその証明書を使用するのは何ですか?私の理解では、少なくとも次の場合に必要です。

  • スマートカード認証
  • LDAPS

ただし、DCまたはドメインコントローラーが証明書を使用するActive Directoryによる特定のネイティブアクションがあるかどうかを知りたいのですか?

私はここでセキュリティへの影響/良い習慣を知っています:)私はただプレイしているメカニズムに興味があります。

active-directorydomain-controllercertificatead-certificate-services
13
Ben Short

ドメインコントローラ間の複製は、SSL証明書をインストールした後でも、RPCを介して行われます。ペイロードは暗号化されていますが、SSLは使用されていません。

SMTPレプリケーションを使用する場合、そのレプリケーションはドメインコントローラーのSSL証明書で暗号化できますが、2017年にSMTPレプリケーションを使用する人がいないことを願っています。

LDAPSはLDAPに似ていますが、SSL/TLSを介して、ドメインコントローラーの証明書を利用します。ただし、通常のWindowsドメインメンバーは、DCロケーターまたはドメイン参加などの目的でLDAPSの使用を自動的に開始することはありません。通常のcLDAPおよびLDAPを使用します。

LDAPSを使用する主な方法の1つは、ドメインコントローラーをクエリする安全な方法を必要とするサードパーティのサービスまたはドメインに参加していないシステム用です。 LDAPSを使用すると、ドメインに参加していない場合でも、これらのシステムは暗号化された通信の恩恵を受けることができます。 (VPNコンセントレータ、Wifiルーター、Linuxシステムなどを考えてください)

しかし、ドメインに参加しているWindowsクライアントには、SASLの署名と封印、およびすでに暗号化されており、かなり安全なKerberosがあります。だから彼らはそれを使い続けるだろう。

Strict KDC Validationがオンになっている場合、スマートカードクライアントはドメインコントローラのSSL証明書を利用します。これは、スマートカードクライアントが通信しているKDCが正当であることを確認できるようにするための追加の保護手段です。

ドメインコントローラーは、それらの間の証明書またはメンバーサーバーとのIPsec通信に証明書を使用することもできます。

今考えられるのはそれだけです。

15
Ryan Ries