Untuk apa kontroler domain (DC) menggunakan sertifikat?

12

Semua orang berbicara tentang pengontrol domain dan bahwa mereka harus memiliki sertifikat yang diinstal, tetapi pada akhirnya itu opsional. Setelah diinstal, apa yang sebenarnya menggunakan sertifikat itu? Pemahaman saya adalah bahwa setidaknya diperlukan untuk:

  • Otentikasi Kartu Cerdas
  • LDAPS

Namun, saya ingin tahu apakah ada tindakan asli khusus oleh DC atau Active Directory di mana pengontrol domain menggunakan sertifikat?

Saya menyadari implikasi keamanan / praktik yang baik di sini :) Saya hanya tertarik dengan mekanisme yang dimainkan.

Ben Short
sumber

Jawaban:

14

Replikasi antara pengontrol domain masih akan terjadi melalui RPC, bahkan setelah menginstal sertifikat SSL. Payload dienkripsi, tetapi tidak dengan SSL.

Jika Anda menggunakan replikasi SMTP, replikasi itu dapat dienkripsi dengan sertifikat SSL pengontrol domain ... tapi saya harap tidak ada yang menggunakan replikasi SMTP pada tahun 2017.

LDAPS seperti LDAP, tetapi lebih dari SSL / TLS, menggunakan sertifikat pengontrol domain. Tetapi anggota domain Windows yang normal tidak secara otomatis akan mulai menggunakan LDAPS untuk hal-hal seperti DC Locator atau bergabung dengan domain. Mereka masih menggunakan cLDAP dan LDAP biasa.

Salah satu cara utama kami menggunakan LDAPS adalah untuk layanan pihak ke-3 atau sistem yang tidak bergabung dengan domain yang memerlukan cara aman untuk meminta pengontrol domain. Dengan LDAPS sistem-sistem itu masih dapat mengambil manfaat dari komunikasi terenkripsi bahkan jika mereka tidak bergabung ke domain. (Pikirkan konsentrator VPN, router Wifi, sistem Linux, dll.)

Tetapi klien Windows yang bergabung dengan domain sudah memiliki penandatanganan dan penyegelan SASL dan Kerberos, yang sudah dienkripsi dan cukup aman. Jadi mereka akan terus menggunakannya.

Klien kartu pintar memanfaatkan sertifikat SSL pengontrol domain saat Validasi KDC Ketat dihidupkan. Ini hanya ukuran tambahan perlindungan bagi klien kartu pintar untuk dapat memverifikasi bahwa KDC yang mereka ajak bicara adalah sah.

Pengontrol domain juga dapat menggunakan sertifikat mereka untuk komunikasi IPsec, baik di antara mereka sendiri atau dengan server anggota.

Hanya itu yang bisa saya pikirkan saat ini.

Ryan Ries
sumber
Terima kasih Ryan, itu informasi yang bagus, dan sependapat dengan banyak yang telah saya baca. Saya sangat tertarik pada bit Replikasi DC yang Anda jawab. Jawaban yang bagus :)
Ben Short
Apakah "RADIUS dengan opsi protokol modern", misalnya untuk otentikasi nirkabel perusahaan, pada topik untuk pertanyaan ini? Ini adalah peran yang biasanya ditambahkan ke pengontrol domain, tetapi bisa dibilang bukan fungsionalitas inti ... Ini adalah contoh yang menarik karena sertifikat yang tepat sebenarnya MASALAH dalam aplikasi itu ...
rackandboneman
@rackandboneman Ya, dan itu adalah ide yang sama dengan yang saya maksudkan dengan menyebutkan penggunaan sertifikat SSL oleh konsentrator / perangkat VPN.
Ryan Ries