Pourquoi un contrôleur de domaine (DC) utilise-t-il un certificat?

12

Tout le monde parle des contrôleurs de domaine et du fait qu'ils devraient avoir un certificat installé, mais à la fin de la journée, c'est facultatif. Une fois installé, qu'est-ce qui fait réellement usage de ce certificat? Je crois comprendre qu'il est au moins nécessaire pour:

  • Authentification par carte à puce
  • LDAPS

Cependant, je cherche à savoir s'il existe des actions natives spécifiques par le contrôleur de domaine ou Active Directory où le contrôleur de domaine utilise le certificat?

Je suis conscient des implications / bonnes pratiques en matière de sécurité ici :) Je suis juste intéressé par la mécanique en jeu.

Ben Short
la source

Réponses:

14

La réplication entre les contrôleurs de domaine se fera toujours sur RPC, même après l'installation des certificats SSL. La charge utile est cryptée, mais pas avec SSL.

Si vous utilisez la réplication SMTP, cette réplication peut être chiffrée avec le certificat SSL du contrôleur de domaine ... mais j'espère que personne n'utilise la réplication SMTP en 2017.

LDAPS est comme LDAP, mais sur SSL / TLS, en utilisant le certificat du contrôleur de domaine. Mais les membres de domaine Windows normaux ne commenceront pas automatiquement à utiliser LDAPS pour des choses comme DC Locator ou la jonction de domaine. Ils utiliseront toujours simplement cLDAP et LDAP.

L'une des principales façons dont nous utilisons LDAPS est pour les services tiers ou les systèmes non joints à un domaine qui nécessitent un moyen sécurisé d'interroger le contrôleur de domaine. Avec LDAPS, ces systèmes peuvent toujours bénéficier de communications chiffrées même s'ils ne sont pas joints au domaine. (Pensez aux concentrateurs VPN, routeurs Wifi, systèmes Linux, etc.)

Mais les clients Windows joints à un domaine ont déjà la signature et le scellage SASL et Kerberos, qui est déjà chiffré et assez sécurisé. Ils continueront donc à utiliser cela.

Les clients de carte à puce utilisent le certificat SSL du contrôleur de domaine lorsque la validation stricte KDC est activée. C'est juste une mesure de protection supplémentaire pour les clients de cartes à puce de pouvoir vérifier que le KDC auquel ils parlent est légitime.

Les contrôleurs de domaine peuvent également utiliser leurs certificats pour la communication IPsec, soit entre eux, soit avec les serveurs membres.

C'est tout ce à quoi je peux penser en ce moment.

Ryan Ries
la source
Merci Ryan, ce sont de bonnes informations et je suis d'accord avec beaucoup de ce que j'ai lu. J'ai été particulièrement intéressé par le bit de réplication DC auquel vous avez répondu. Grande réponse :)
Ben Short
Est-ce que "RADIUS avec des options de protocole modernes", par exemple pour l'authentification sans fil d'entreprise, est le sujet de cette question? C'est un rôle communément ajouté aux contrôleurs de domaine, mais sans doute pas la fonctionnalité de base ... C'est un exemple intéressant parce que les certificats appropriés
importent
@rackandboneman Oui, et c'est la même idée que j'allais en mentionnant l'utilisation de certificats SSL par les concentrateurs / appareils VPN.
Ryan Ries