Ben Short Asked: 2017-12-12 15:49:22 +0800 CST2017-12-12 15:49:22 +0800 CST 2017-12-12 15:49:22 +0800 CST 域控制器 (DC) 将证书用于什么目的? 772 每个人都在谈论域控制器,并且他们应该安装证书,但最终它是可选的。安装后,该证书的实际用途是什么?我的理解是,它至少需要: 智能卡认证 LDAPS 但是,我想知道域控制器使用证书的 DC 或 Active Directory 是否有特定的本机操作? 我知道这里的安全隐患/良好做法:) 我只是对游戏中的机制感兴趣。 active-directory 1 个回答 Voted Best Answer Ryan Ries 2017-12-12T16:31:24+08:002017-12-12T16:31:24+08:00 即使在安装 SSL 证书之后,域控制器之间的复制仍将通过 RPC 进行。有效负载已加密,但未使用 SSL。 如果您使用 SMTP 复制,则可以使用域控制器的 SSL 证书对该复制进行加密……但我希望 2017 年没有人使用 SMTP 复制。 LDAPS 类似于 LDAP,但通过 SSL/TLS,利用域控制器的证书。但是普通的 Windows 域成员不会自动开始使用 LDAPS 来处理 DC Locator 或域加入之类的事情。他们仍然会使用普通的 cLDAP 和 LDAP。 我们使用 LDAPS 的主要方式之一是用于需要安全方式来查询域控制器的 3rd 方服务或未加入域的系统。使用 LDAPS,即使这些系统没有加入域,它们仍然可以从加密通信中受益。(想想 VPN 集中器、Wifi 路由器、Linux 系统等) 但是加入域的 Windows 客户端已经具有 SASL 签名和密封以及 Kerberos,它们已经加密并且非常安全。所以他们会继续使用它。 启用Strict KDC Validation时,智能卡客户端会使用域控制器的 SSL 证书。智能卡客户端能够验证他们正在与之交谈的 KDC 是否合法,这只是一种额外的保护措施。 域控制器还可以使用它们的证书进行 IPsec 通信,在它们之间或与成员服务器之间。 这就是我现在能想到的。
即使在安装 SSL 证书之后,域控制器之间的复制仍将通过 RPC 进行。有效负载已加密,但未使用 SSL。
如果您使用 SMTP 复制,则可以使用域控制器的 SSL 证书对该复制进行加密……但我希望 2017 年没有人使用 SMTP 复制。
LDAPS 类似于 LDAP,但通过 SSL/TLS,利用域控制器的证书。但是普通的 Windows 域成员不会自动开始使用 LDAPS 来处理 DC Locator 或域加入之类的事情。他们仍然会使用普通的 cLDAP 和 LDAP。
我们使用 LDAPS 的主要方式之一是用于需要安全方式来查询域控制器的 3rd 方服务或未加入域的系统。使用 LDAPS,即使这些系统没有加入域,它们仍然可以从加密通信中受益。(想想 VPN 集中器、Wifi 路由器、Linux 系统等)
但是加入域的 Windows 客户端已经具有 SASL 签名和密封以及 Kerberos,它们已经加密并且非常安全。所以他们会继续使用它。
启用Strict KDC Validation时,智能卡客户端会使用域控制器的 SSL 证书。智能卡客户端能够验证他们正在与之交谈的 KDC 是否合法,这只是一种额外的保护措施。
域控制器还可以使用它们的证书进行 IPsec 通信,在它们之间或与成员服务器之间。
这就是我现在能想到的。