active-directory – 域控制器(DC)使用证书的用途是什么？

概述每个人都谈论域控制器,他们应该安装证书,但在一天结束时它是可选的.安装后,实际使用该证书的是什么？我的理解是,它至少需要： >智能卡身份验证 > LDAPS 但是,我想知道域控制器使用证书的DC或Active Directory是否存在特定的本机 *** 作？ 我知道这里的安全隐患/良好做法:)我只是对游戏中的机制感兴趣. 即使在安装SSL证书之后,域控制器之间的复制仍将通过RPC进行.有效负载是加密的, 每个人都谈论域控制器,他们应该安装证书,但在一天结束时它是可选的.安装后,实际使用该证书的是什么？我的理解是,它至少需要：

>智能卡身份验证
> LDAPS

但是,我想知道域控制器使用证书的DC或Active Directory是否存在特定的本机 *** 作？

我知道这里的安全隐患/良好做法:)我只是对游戏中的机制感兴趣.

解决方法 即使在安装SSL证书之后,域控制器之间的复制仍将通过RPC进行.有效负载是加密的,但不是SSL.

如果您使用SMTP复制,则可以使用域控制器的SSL证书加密该复制…但我希望2017年没有人使用SMTP复制.

LDAPS与LDAP类似,但通过SSL / TLS,使用域控制器的证书.但普通的Windows域成员不会自动开始使用LDAPS来处理DC Locator或域加入等事情.他们仍然只使用普通的cLDAP和LDAP.

我们使用LDAPS的主要方式之一是第三方服务或非域加入系统,需要以安全的方式查询域控制器.使用LDAPS,即使这些系统未加入域,它们仍然可以从加密通信中受益. (想想VPN集中器,Wifi路由器,Linux系统等)

但是加入域的windows客户端已经拥有SASL签名和密封以及Kerberos,它已经加密并且非常安全.所以他们会继续使用它.

打开严格KDC验证时,智能卡客户端将使用域控制器的SSL证书.这只是智能卡客户端的一项额外措施,可以验证他们正在与之交谈的KDC是否合法.

域控制器还可以使用其证书进行IPsec通信,这些证书可以在它们之间或与成员服务器进行.

这就是我现在所能想到的.

总结

以上是内存溢出为你收集整理的active-directory – 域控制器(DC)使用证书的用途是什么？全部内容，希望文章能够帮你解决active-directory – 域控制器(DC)使用证书的用途是什么？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。