active-directory – 域控制器(DC)使用证书的用途是什么?

前端之家收集整理的这篇文章主要介绍了active-directory – 域控制器(DC)使用证书的用途是什么?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
每个人都谈论域控制器,他们应该安装证书,但在一天结束时它是可选的.安装后,实际使用该证书的是什么?我的理解是,它至少需要:

>智能卡身份验证
> LDAPS

但是,我想知道域控制器使用证书的DC或Active Directory是否存在特定的本机操作?

我知道这里的安全隐患/良好做法:)我只是对游戏中的机制感兴趣.

解决方法

即使在安装SSL证书之后,域控制器之间的复制仍将通过RPC进行.有效负载是加密的,但不是SSL.

如果您使用SMTP复制,则可以使用域控制器的SSL证书加密该复制…但我希望2017年没有人使用SMTP复制.

LDAPS与LDAP类似,但通过SSL / TLS,使用域控制器的证书.但普通的Windows域成员不会自动开始使用LDAPS来处理DC Locator或域加入等事情.他们仍然只使用普通的cLDAP和LDAP.

我们使用LDAPS的主要方式之一是第三方服务或非域加入系统,需要以安全的方式查询域控制器.使用LDAPS,即使这些系统未加入域,它们仍然可以从加密通信中受益. (想想VPN集中器,Wifi路由器,Linux系统等)

但是加入域的Windows客户端已经拥有SASL签名和密封以及Kerberos,它已经加密并且非常安全.所以他们会继续使用它.

打开严格KDC验证时,智能卡客户端将使用域控制器的SSL证书.这只是智能卡客户端的一项额外措施,可以验证他们正在与之交谈的KDC是否合法.

域控制器还可以使用其证书进行IPsec通信,这些证书可以在它们之间或与成员服务器进行.

这就是我现在所能想到的.

猜你在找的HTML相关文章