도메인 컨트롤러 (DC)는 무엇에 인증서를 사용합니까?


13

누구나 도메인 컨트롤러에 대해 이야기하고 인증서를 설치해야한다고 말하지만 하루가 지나면 선택 사항입니다. 일단 설치되면 실제로 해당 인증서를 사용하는 것은 무엇입니까? 내 이해는 최소한 다음에 필요하다는 것입니다.

  • 스마트 카드 인증
  • LDAPS

그러나 도메인 컨트롤러가 인증서를 사용하는 DC 또는 Active Directory의 특정 기본 동작이 있는지 알고 싶습니다.

나는 여기에 보안 영향 / 모범 사례를 알고 있습니다. :) 나는 역학에 관심이 있습니다.

답변:


15

SSL 인증서를 설치 한 후에도 도메인 컨트롤러 간의 복제는 RPC를 통해 계속 수행됩니다. 페이로드는 암호화되지만 SSL로는 암호화되지 않습니다.

SMTP 복제를 사용하면 해당 복제를 도메인 컨트롤러의 SSL 인증서로 암호화 할 수 있지만 2017 년에는 아무도 SMTP 복제를 사용하지 않기를 바랍니다.

LDAPS는 LDAP와 비슷하지만 도메인 컨트롤러의 인증서를 사용하는 SSL / TLS를 사용합니다. 그러나 정상적인 Windows 도메인 구성원은 DC 로케이터 또는 도메인 가입과 같은 작업에 LDAPS를 자동으로 시작하지 않습니다. 그들은 여전히 ​​일반 cLDAP 및 LDAP를 사용합니다.

LDAPS를 사용하는 주요 방법 중 하나는 도메인 컨트롤러를 쿼리하는 안전한 방법이 필요한 타사 서비스 또는 도메인에 가입되지 않은 시스템을위한 것입니다. LDAPS를 사용하면 이러한 시스템은 도메인에 가입되어 있지 않아도 암호화 된 통신의 이점을 얻을 수 있습니다. (VPN 집중 장치, Wi-Fi 라우터, Linux 시스템 등을 고려하십시오.)

그러나 도메인에 가입 한 Windows 클라이언트에는 SASL 서명 및 봉인과 Kerberos가 이미 암호화되어 있으며 매우 안전합니다. 그래서 그들은 계속 사용합니다.

스마트 카드 클라이언트는 Strict KDC Validation 이 설정된 경우 도메인 컨트롤러의 SSL 인증서 를 사용합니다. 스마트 카드 클라이언트가 대화중인 KDC가 합법적인지 확인할 수있는 추가 보호 조치 일뿐입니다.

도메인 컨트롤러는 자체 또는 구성원 서버와의 IPsec 통신에 인증서를 사용할 수도 있습니다.

그것이 내가 지금 생각할 수있는 전부입니다.


고마워 Ryan, 그것은 좋은 정보이며, 내가 읽은 많은 것들과 동의합니다. 나는 당신이 대답 한 DC Replication 비트에 특히 관심이있었습니다. 큰 답변 :)
벤 짧은

이 질문에 대한 주제에 "예 : 회사 무선 인증과 같은"현대 프로토콜 옵션이있는 RADIUS "가 있습니까? 도메인 컨트롤러에 일반적으로 추가되는 역할이지만 핵심 기능은 아닙니다. 적절한 응용 프로그램이 실제로 해당 응용 프로그램에서 중요하기 때문에 흥미로운 예입니다.
rackandboneman

@rackandboneman 예, VPN 집중 장치 / 장치에서 SSL 인증서 사용을 언급 한 것과 같은 생각입니다.
Ryan Ries December
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.