Tout le monde parle des contrôleurs de domaine et du fait qu'ils devraient avoir un certificat installé, mais à la fin de la journée, c'est facultatif. Une fois installé, qu'est-ce qui fait réellement usage de ce certificat? Je crois comprendre qu'il est au moins nécessaire pour:
Cependant, je cherche à savoir s'il existe des actions natives spécifiques par le DC ou Active Directory où le contrôleur de domaine utilise le certificat?
Je suis conscient des implications/bonnes pratiques en matière de sécurité ici :) Je suis juste intéressé par la mécanique en jeu.
La réplication entre les contrôleurs de domaine se fera toujours sur RPC, même après l'installation des certificats SSL. La charge utile est cryptée, mais pas avec SSL.
Si vous utilisez la réplication SMTP, cette réplication peut être chiffrée avec le certificat SSL du contrôleur de domaine ... mais j'espère que personne n'utilise la réplication SMTP en 2017.
LDAPS est comme LDAP, mais sur SSL/TLS, en utilisant le certificat du contrôleur de domaine. Mais les membres de domaine Windows normaux ne commenceront pas automatiquement à utiliser LDAPS pour des choses comme DC Localisateur ou jointure de domaine. Ils utiliseront toujours simplement cLDAP et LDAP.
L'une des principales façons dont nous utilisons LDAPS est pour les services tiers ou les systèmes non joints à un domaine qui nécessitent un moyen sécurisé d'interroger le contrôleur de domaine. Avec LDAPS, ces systèmes peuvent toujours bénéficier de communications chiffrées même s'ils ne sont pas joints au domaine. (Pensez aux concentrateurs VPN, aux routeurs Wifi, aux systèmes Linux, etc.)
Mais les clients Windows joints à un domaine ont déjà la signature et le scellage SASL et Kerberos, qui est déjà chiffré et est assez sécurisé. Ils continueront donc à utiliser cela.
Les clients de carte à puce utilisent le certificat SSL du contrôleur de domaine lorsque Strict KDC Validation est activé. C'est juste une mesure de protection supplémentaire pour les clients de cartes à puce de pouvoir vérifier que le KDC auquel ils parlent est légitime.
Les contrôleurs de domaine peuvent également utiliser leurs certificats pour la communication IPsec, soit entre eux, soit avec les serveurs membres.
C'est tout ce à quoi je peux penser en ce moment.