LDAPS in einer Windows-Domäne ohne PKI

Eine meiner Thesen in meiner Session “Broken by Design: Warum wir PKIs nicht trauen können (aber keine andere Wahl haben)” auf der Experts Live Germany 2024 lautete: Betreibe keine PKI, wenn du sie nicht wirklich brauchst. Das führte zu einiger Diskussion.

Ein Teilnehmer fragte mich, ob ich damit etwa davon abraten würde, LDAPS in einer Windows-Domäne zu aktivieren, denn dafür brauche man ja eine PKI. Die kurze Antwort dazu ist: Nein, natürlich rate ich nicht von LDAPS ab, aber man braucht dafür auch keine PKI. Man braucht nur passende Zertifikate, was im Wesentlichen normale TLS-Zertifikate (früher “SSL-Zertifikate” genannt) für jeden Domänencontroller sind.

Die Voraussetzungen dafür hat Microsoft hier zusammengefasst (im Folgenden gekürzt):

• das Zertifikat liegt im lokalen Zertifikatsspeicher des DCs (Computer-Teil)
• der Private Schlüssel dazu ist vorhanden
• das Zertifikat hat den Einsatzzweck “Server Authentication”
• der FQDN des DCs steht in den Feldern Subject und SAN des Zertifikats
• sowohl der DC als auch alle Clients vertrauen der CA, die das Zertifikat ausgestellt hat
  (Anmerkung: das bezieht sich auf die gesamte Zertifikatskette, weil LDAPS die Kette nicht mit ausliefert, wie das Webserver tun)

Es braucht also keine interne PKI und auch kein automatisches Ausstellen der Zertifikate. Man bekommt das mit einfacheren Mitteln hin, ohne dass man sich eine pflegeintensive Struktur bauen muss.

Eine Anleitung, wie man das mit einem verbreiteten Open-Source-Werkzeug hinbekommt, habe ich als Beispiel hier gefunden:

[LDAPs ohne Windows CA aktivieren – SchweigersTechBlog]
https://schweigerstechblog.de/ldaps-ohne-windows-ca-aktivieren-microsoft/

Das ist nicht der einzige mögliche Weg, aber er ist dort vollständig beschrieben. Man kann das auch per PowerShell oder mit anderen Mitteln machen. Wichtig ist hier natürlich, dass man die nötige Sorgfalt walten lässt.