در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9

در این قسمت قصد دارم هدف استفاده از زیر ساخت کلید عمومی بصورت سلسله مراتبی یا CA Hierarchy را توضیح دهم. نکته: بدون مطالعه قسمت های قبلی از این سری آموزش درک مطالب ارائه شده در این قسمت میسر نیست.هدف و ایجاد یک زیر ساخت کلید عمومی را در قسمت های قبلی برسی کردیم و چرا باید از Certificate در سازمانها استفاده کنیم را نیز گفتیم.در سازمانهای خیلی خیلی بزرگ ساختار کلید عمومی را بصورت سلسله مراتبی یا Hierarchy ایجاد می کنند. چرا اینکار را می کنند را در ادامه توضیح می دهم.

فرض کنید یک سازمان با هزاران کاربر که همگی از ساختار PKI استفاده می کنند به علت ناشی گری یکی از ادمینها یا صانحه ای ساختار PKI از بین برود... می توانید تخمین بزنید صدماتی که این سازمان در این رابطه متحمل می شود چقدر است؟ موقعیت و اعتبار آن سازمان چه می شود؟ اگر فکر می کنید چیز خاصی اتفاق نیفتاده و سازمان همچنان می تواند به کار خود ادامه دهد باید عرض کنم هنوز اهمیت و ماهیت این ساختار را متوجه نشده اید. علاوه بر ایجاد پایداری در ساختار PKI این روش دارای مزیتهای می باشد که در ادامه یاد آوری میکنم. برای اینکه سازمانها از این اتفاقات بیمه شوند و از مزیتهای آن بهره مند شوند ساختار PKI را بصورت سلسله مراتبی پیاده سازی می کنند. خود این ساختار سلسله مراتبی شامل چندین مد می باشد:

  1. One-Tier Hierarchy
  2. Two-Tier Hierarchy
  3. Three-Tier Hierarchy


One-Tier Hierarchy


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم

در این مد ما فقط یک CA Server داریم که هم بوجود آورنده ساختار PKI می باشد وهم با منابع شبکه در ارتباط است Issuing CA این نوع ساختار (به قول مایکروسافت) در هیچ سناریوئی توصیه شده نیست.

This one-tier hierarchy is not recommended for any production scenario

اگر اسیبی CA Server را تهدید کند در واقعه کل ساختار PKI را تهدید می کند. سازمانی که بیش از 1000 کاربر داخل سازمان یا خارج سازمان داشته باشد Import کردن CA’s Certificate این سرور کار چندان آسانی نیست و با از بین رفتن این سرور کار بعضی از سرویس های شبکه مختل می شود و دوباره نصب کردن این سرویس هم هزینه بر است و هم زمان بر. این مد بصورت موقت استفاده می شود. مثلا پیمانکاری برای انجام پروژه ی در یکی از سازمانها مستقر می شود و برای ارتباط با پرسنل خود از Wireless استفاده می کند و چون اطلاعات حساسی رد و بدل می شود توسط ساختار PKI ارتباطات را رمزگذاری می کند و همچنین پرسنل خود توسط این ساختار احراز هویت می کند. (خواهشا یک پیمانکار خارجی را با یک پیمانکار ایرانی مقایسه نکنید).

Three-Tier Hierarchy


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم

در این مد از سه لول استفاده می شود. Root CA بوجود آورنده ساختار PKI که بصورت Offline می باشد. Intermediate CA که یک واسط بین Root CAها و Issuing CA ها می باشد که بصورت Offline می باشند. و لول سوم Issuing CA ها می باشند که مستقیما با خود کاربر در ارتباط هستند و بصورت Online فعالیت می کنند.علت وجود Intermediate CA در این ساختار تعریف سیاست های مختلف برای هر یک از Issuing CA می باشد. به عنوان مثال می توانم سیاستهای متفاوتی بر روی Issuing CA 1 تعریف کنم که فقط برای کاربران این CAباشد و بقیه CAها نیز سیاستهای مختلفی اعمال شود. و یکی دیگر از دلایل آن ایجاد پایداری در این نوع ساختار می باشد. فرض کند تمام Issuing CA ها بنا به دلایلی از بین رفتند شما در این ساختار خیلی راحت بعد از نصب این سرویس و درخواست یک Certificate از CA های بالا دستی می توانید این سرورها را ریکاوری کنید بدون نیاز به Import کردن هر گونه Certificateی. و مزیت دیگر آن باطل کردن مجموعه زیادی از Certificate می باشد. فرض کنید Certificate تمام کاربران قسمت فروش هک شود در چنین شرایطی لازم نیست تک تک Certificateها را باطل کنید کافیست سرتیفیکت CA سرور آن قسمت را در Intermediate CA باطل کنید.

  • نکته: در بیشتر داکیومنتها به این نوع CA ها Policy CA گفته می شود.

Two-Tier Hierarchy


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم

یکی از دلایل مهم استفاده از Three-Tier Hierarchyو Intermediate CA تعریف سیاستهای مدیریتی بر روی برخی از Issuing CA می باشد. در سازمانهای که این موضوع برای آنها زیاد مهم نباشد معقول نیست هزینه ی در این رابطه کنند. پس آنها از مد Two Tier Hierarchy استفاده می کنند که هم به صرفه می باشد و هم پایداری و اطمینان در این ساختا را ضمانت میکند.در این مد همانند مد قبلی اگر Issuing CAها را خطری تهدید کند به راحتی می توان با استفاده از Root CA که بصورت Offline می باشد آنها را ریکاوری کرد. و علاوه بر آن مزیتهای که مد قبلی دارا بود را شامل می شود. شما در تصاویر بالا اصطلاحی به نام Offline and Online دارید شاید برای بعضیا سوال باشه که چرا CA های غیر از Issuing Caها را Offline می کنند؟؟؟؟ CAی که از طریق شبکه بتوان به آن دسترسی داشت و یا با کاربران در تعامل باشد را Online و بر عکس این CA را Offline می گویند. به دلیل اهمیت Root CA ها و اطلاعاتی که آنها نگهداری می کنند همیشه ارتباط آنها را از شبکه قطع می کنند تا احیانا اگر خطری متوجه CA زیر دستی باشد بتوان با CA های بالا دستی آنها را به مدار برگرداند این تعریف برای Intermediate CA ها نیز صدق می کند.

اگر همیشه این CA های مهم خاموش باشند!!! پس چه استفاده ی دارند؟


سرورهای Offline در شرایط زیر Online می شوند:
  1. ارسال Certificate به CAهای پایین دستی. به عنوان مثال Submit کردن درخواست Intermediate CA توسط Root CA.
  2. Expire شدن لیست CRL مربوط به Root CA or Intermediate CA.
  3. Renew کردن Certificateهای پایین دستی.
  4. و در مواقع اضطراری.

رابطه اعتماد در CA Hierarchy


برای اینکه کاربری بتواند به CA ی اعتماد داشته باشد باید کلید عمومی آن را در خود ذخیره کند. در یک ساختار سلسله مراتبی مهمترین CAکه رابطه اعتماد را ایجاد می کند Root CA می باشد. و همانطور که می دانید CA های پایین دستی Root CA توسط خود Root CA’s Certificate مورد اعتماد می شود. بصورت خلاصه باید بگم برای اینکه کاربری بتواند به ساختار سلسله مراتبی PKI اعتماد داشته باشد به Root CA’s Certificate نیاز دارد. به نظر شما چرا باید اینطوری باشد؟؟؟ وقتی Root CA سرتیفیکتی به Intermediateها ارسال می کند این سرتیفیکت حاوی امضائی می باشد که توسط آن کلید خصوصی خود را ایجاد کرده پس در نتیجه Intermediateها و Issuing CA توسط کلید عمومی Root CA که در خود ذخیره کرده اند می توانند امضای کلید خصوصی Root CAرا اعتبار سنجی کنند. پس در نتیجه کاربران به Intermediate and Issuing CAها اعتماد دارند چون به Root CA اعتماد دارند. پس در ایجاد CA Hierarchy یکی از پروسه های مهم Import کردن Root CA’s Certificate بر روی کلاینتها و CA های پایین دستی Root CA می باشد.

نکاتی که در ایجاد یک CA Hierarchy باید لحاظ شود


اولین قدم برای ایجاد این ساختار در یک سازمان لحاظ کردن نیازمندی های آن سازمان می باشد. شما باید مشخص کنید از چه مد در CA Hierarchy استفاده کنید؟ وکدام یک از این مدها جوابگوی نیازمندی های سازمان می باشد، مزایا و معایب هر کدام چه می باشد؟ بعد از مشخص کردن پارامتر فوق باید نوع CA را مشخص کنید، به عنوان مثال Stand-alone, Enterprise؟؟؟ نکته بعدی مشخص کردن طول عمر Certificateها می باشد. Root CA با چه مدت زمانی Certificate ها را به CA پایین دستی صادر کند؟ Issuing CA با چه مدت زمانی Certificate ها را به کاربران صادر کند؟ توصیه ای که در این رابطه در CA Hierarchy میشه دو برابر بودن طول عمر CA بالا دستی از CA پایین دستی می باشد. به عنوان مثال: اگر Intermediate CA سرتیفیکتی را با طول عمر5 سال به Issuing CA صادر کند باید Certificate خودش دو برابر این طول عمر باشد. توصیه مایکروسافت در CA Hierarchy بدین صورت می باشد:

  1. Root CA’s Certificate 20 Years
  2. Intermediate CA’s Certificate 10 Years
  3. Issuing CA’s Certificate 5 Years


  • نکته: تعریف بازه های زمانی بالا به سیاستهای سازمان شما بستگی دارد.

فاکتور آخر تعیین جائی برای ذخیره کردن اطلاعات مربوط به AIA and CDP می باشد. یکی از مهمترین قسمتی های که می تواند تجربه ادمین در یک ساختار PKI را به زهرمار تبدیل کند تنظیم بد این دو پارامتر می باشد. CDP در ساختار CA Hierarchy باید به محل ذخیره سازی کل لیستهای CRL سرورهای CA اشاره کند و همچنین AIA که به CA’s Certificate های سرورهای CA اشاره می کند.در قسمت بعدی ما یک ساختار سلسله مراتبی در مد Three-Tier Hierarchy ایجاد می کنیم و چیزای که قبل از ایجاد این ساختار لازم بود شما بدانید را در اینجا توضیح دادم تا در قسمت بعدی امادگی کامل را داشته باشید.

موفق و پیروز باشید.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#certificate_services_به_زبان_ساده #آموزش_certificate_authority_server #آموزش_راه_اندازی_pki_در_مایکروسافت #سرتیفیکت_سرور #ساختار_pki_بصورت_سلسله_مراتبی #مقایسه_Enterprise_و_Standalone_CA_ها #راه_اندازی_CA_مایکروسافتی #آموزش_راه_اندازی_certificate_authority #آموزش_راه_اندازی_ca_در_مایکروسافت #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....