Para que um controlador de domínio (DC) usa um certificado?

12

Todos falam sobre controladores de domínio e devem ter um certificado instalado, mas no final do dia é opcional. Uma vez instalado, o que realmente faz uso desse certificado? Entendo que é pelo menos necessário para:

  • Autenticação de cartão inteligente
  • LDAPS

No entanto, estou procurando saber se há ações nativas específicas pelo controlador de domínio ou pelo Active Directory em que o controlador de domínio faz uso do certificado?

Estou ciente das implicações de segurança / boas práticas aqui :) Estou interessado apenas na mecânica em jogo.

Ben Short
fonte

Respostas:

14

A replicação entre controladores de domínio ainda ocorrerá sobre o RPC, mesmo após a instalação dos certificados SSL. A carga útil é criptografada, mas não com SSL.

Se você usar a replicação SMTP, essa replicação poderá ser criptografada com o certificado SSL do controlador de domínio ... mas espero que ninguém esteja usando a replicação SMTP em 2017.

O LDAPS é como LDAP, mas sobre SSL / TLS, utilizando o certificado do controlador de domínio. Porém, membros normais do domínio do Windows não começarão automaticamente a usar o LDAPS para coisas como o DC Locator ou a associação ao domínio. Eles ainda usarão cLDAP e LDAP simples.

Uma das principais maneiras pelas quais usamos o LDAPS é para serviços de terceiros ou sistemas que não ingressaram no domínio que precisam de uma maneira segura de consultar o controlador de domínio. Com o LDAPS, esses sistemas ainda podem se beneficiar das comunicações criptografadas, mesmo que não estejam associadas ao domínio. (Pense em concentradores VPN, roteadores Wifi, sistemas Linux etc.)

Mas os clientes Windows ingressados ​​no domínio já possuem assinatura e lacre SASL e Kerberos, que já está criptografado e é bastante seguro. Então eles continuarão usando isso.

Os clientes de cartão inteligente usam o certificado SSL do controlador de domínio quando a Validação Rigorosa do KDC está ativada. É apenas uma medida extra de proteção para os clientes de cartão inteligente poderem verificar se o KDC com o qual estão conversando é legítimo.

Os controladores de domínio também podem usar seus certificados para comunicação IPsec, entre si ou com servidores membros.

É tudo o que consigo pensar agora.

Ryan Ries
fonte
Obrigado Ryan, é uma boa informação e concorda com muito do que li. Eu estava particularmente interessado no bit de Replicação de DC que você respondeu. Boa resposta :)
Ben Short
O "RADIUS com opções modernas de protocolo", por exemplo, para autenticação sem fio corporativa, está no tópico desta pergunta? É uma função comumente adicionada aos controladores de domínio, mas sem dúvida não é a funcionalidade principal ... É um exemplo interessante porque os certificados adequados realmente importam nesse aplicativo ...
rackandboneman
@rackandboneman Sim, e essa é a mesma idéia que eu estava pensando ao mencionar o uso de certificados SSL por concentradores / dispositivos VPN.
Ryan Ries