Ben*_*ort 13 certificate active-directory domain-controller ad-certificate-services
每个人都在谈论域控制器,他们应该安装证书,但归根结底它是可选的。安装后,实际上如何使用该证书?我的理解是它至少需要:
但是,我想知道域控制器使用证书的 DC 或 Active Directory 是否有特定的本机操作?
我知道这里的安全影响/良好做法:) 我只是对游戏中的机制感兴趣。
Rya*_*ies 15
即使安装了 SSL 证书,域控制器之间的复制仍将通过 RPC 进行。有效负载已加密,但未使用 SSL。
如果您使用 SMTP 复制,则可以使用域控制器的 SSL 证书对该复制进行加密……但我希望 2017 年没有人使用 SMTP 复制。
LDAPS 类似于 LDAP,但通过 SSL/TLS,使用域控制器的证书。但是普通的 Windows 域成员不会自动开始使用 LDAPS 进行 DC 定位器或域加入等操作。他们仍然只会使用普通的 cLDAP 和 LDAP。
我们使用 LDAPS 的主要方式之一是用于需要安全方式来查询域控制器的第 3 方服务或未加入域的系统。使用 LDAPS,即使这些系统没有加入域,它们仍然可以从加密通信中受益。(想想 VPN 集中器、Wifi 路由器、Linux 系统等)
但是加入域的 Windows 客户端已经拥有 SASL 签名和密封以及 Kerberos,它已经加密并且非常安全。所以他们会继续使用它。
当Strict KDC Validation打开时,智能卡客户端使用域控制器的 SSL 证书。对于智能卡客户端来说,这只是一种额外的保护措施,能够验证他们正在与之交谈的 KDC 是否合法。
域控制器还可以使用其证书进行 IPsec 通信,无论是在它们之间还是与成员服务器进行通信。
这就是我现在能想到的。
| 归档时间: |
|
| 查看次数: |
10834 次 |
| 最近记录: |