در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز یک

چند وقت پیش سه مقاله در خصوص طراحی و معماری زیرساخت کلید عمومی یا PKI در وب سایت انجمن تخصصی فناوری اطلاعات ایران قرار دادم ، در این مقالات مفاهیم کلی طراحی و معماری زیرساخت کلید عمومی بررسی و تحلیل شده بود اما به هیچ عنوان بحث فنی انجام نشده بود ، در این مقاله قصد داریم تا یکی از طراحی های مد نظر در آن سری از مقالات را که به عنوان یک طراحی ایده آل مطرح می شود را با یکدیگر بصورت کاملا عملی انجام دهیم.

تا اینجای کار و با مطالعه سری مقاله های قبلی متوجه شدیم که یک طراحی مناسب زیرساخت کلید عمومی یا PKI قطعا باید متشکل از یک Offline Root CA یا مرکز صدور گواهینامه دیجیتال آفلاین و چندین Subordinate CA یا مراکز صدور گواهینامه دیجیتال موجود در ساختار اکتیودایرکتوری باشد.خوب با توجه به اینکه ساختار دو لایه ای و ساختار سه لایه ای از نظر انجام تنظیمات چندان تفاوتی با یکدیگر ندارند در این مقاله یک ساختار دو لایه ای را که در آن یک Offline Root CA و یک Subordinate CA وجود دارد را با همدیگر پیاده سازی می کنیم. پیشنهاد می کنیم قبل از خواندن این مقاله سری به این سری مقالات بزنید و دید نسبی به این مقوله پیدا کنید :

طرح سناریو

همانطور که در شکل زیر مشاهده می کنید ما یک سرور که عضو هیچ Domain ای نمی باشد و در Workgroup می باشد را به نام RootCA ایجاد خواهیم کرد که بر روی آن ویندوز سرور 2008 نسخه R2 نصب شده است و سپس آن را در حالت Offline قرار می دهیم ، یعنی ارتباطات شبکه ای آن را قطع می کنیم ، توجه کنید که با توجه به مقالات قبلی ، شما نبایستی Offline Root CA را به عضویت Domain در بیاورید.

سپس یک Enterprise Subordinate CA با نام SubCA در ویندوز سرور 2008 نسخه R2 ایجاد می کنیم که در اکتیودایرکتوری و Domain ای به نام tosinso.com عضویت دارد ، توجه کنید که بعد از راه اندازی سرویس این CA فعال نخواهد شد تا گواهینامه اصلی از طریق RootCA برای آن صادر شود. توجه کنید که مهمترین اصلی در راه اندازی چنین سرویسی این است که SubCA بایستی بتواند به لیست CRL و AIA ای که RootCA دارد دسترسی پیدا کند ، یا در صورت لزوم دسترسی را به صورت کلی حذف کنیم. این طرح کلی سناریو می باشد که در ادامه آن را انجام خواهیم داد.

سناریو راه اندازی PKI در مایکروسافت

راه اندازی Offline Root CA در ویندوز سرور 2008

خوب همانطور که از نامش هم پیداست این سرور در حالت آفلاین قرار دارد یعنی اصلا به شبکه متصل نمی باشد. برای اینکار کافیست یک ویندوز سرور 2008 داشته باشید ، در این حالت به Root CA ای که ساخته می شود در اصطلاح Stan Alone نیز گفته می شود زیرا عضو هیچ Domain ای نمی باشد و فقط برای صدور گواهینامه یا Certificate برای Subordinate CA ها استفاده می شود. خوب برای نصب این CA کافیست وارد کنسول Server Manager بشوید و طبق موارد زیر عمل کنید :

1- طبق شکل زیر گزینه Active Directory Certificate Services را انتخاب کنید و سپس Next را کلیک کنید.

انتخاب Active Directory Certificate Services

2-از Role های موجود در شکل زیر صرفا گزینه Certificate Authority را انتخاب کنید ، توجه کنید که این CA در حالت Offline قرار دارد بنابراین شما نیازی به این ندارید که حالت Web Enrollment را در آن فعال کنید ، به دلیل اینکه قرار نیست کسی از طریق وب به آن متصل شود ، بعد از انتخاب Certificate Authority بر روی Next کلیک کنید.

انتخاب Certificate Authority در Role های CA

3-مشابه تصویر زیر برای نوع CA یا CA Type گزینه Stand-Alone را انتخاب کنید ، البته چاره دیگری هم ندارید زیرا به دلیل عدم عضویت این سرور در Domain شما نمی توانید Enterprise CA در این سرور داشته باشید و بنابراین Stan-Alone را انتخاب کنید و بر روی Next کلیک کنید.

انتخاب نوع CA از نوع Stand Alone

4-مشابه تصویر زیر گزینه Root CA را انتخاب کنید ، گزینه Subordinate CA را به امید خدا در آموزش بعدی برای ایجاد یک CA میانی برای این CA ریشه ایجاد خواهید کرد ، بر روی Next کلیک کنید.

انتخاب نوع Ca از نوع Root CA

5-همانطور که در تصویر زیر مشاهده می کنید از شما خواسته می شود که برای این CA یک کلید خصوصی یا Private Key ایجاد شود ، به این نکته توجه داشته باشید که تنها CA ای که می تواند برای خودش Certificate و Private Key ایجاد کند فقط و فقط CA ریشه یا Root CA است ، در تصویر زیر گزینه Create a new private key را انتخاب کنید تا CA برای خود یک کلید خصوصی ایجاد کند ، توجه داشته باشید که در صورتیکه CA فاقد کلید خصوصی برای خود باشد قادر به ارائه سرویس نخواهد بود ، بر روی Next کلیک کنید.

انتخاب الگوریتم مورد استفاده CA در رمزنگاری

6-همانطور که در تصویر پایین مشاهده می کنید در این قسمت از شما در خصوص الگوریتم های مورد استفاده در این ساختار PKI و همچنین CSP سئوال می شود. این موارد برای ایجاد کلید های خصوصی و عموی الزامی است ، در قسمت CSP شما روش نگهداری کلید خصوصی را مشخص می کنید ، برای مثال اگر می خواهید کلید خصوصی شما قابلیت خروجی گرفتن در یک کارت هوشمند را داشته باشد در این قسمت بایستی CSP متناسب با آن را انتخاب کنید ، در قسمت Key Character Length طول کلید ایجاد شده توسط این CA را انتخاب می کنید ، در قسمت Hashing Algorithm هم الگوریتم Hashing یا درهم سازی متناسب با ساختار خود را انتخاب می کنید ، در اینجا ما نمی خواهیم تغییرات چندانی در ساختار داشته باشیم و بنابراین همه چیز را در حالت پیشفرض باقی گذاشته و بر روی Next کلیک می کنیم.

انتخاب الگوریتم Ca برای تولید کلید خصوصی

7-در تصویر زیر از شما اسم این CA خواسته می شود که تمامی Certificate هایی که از طریق این CA ساخته می شوند در ساختار سلسله مراتبی که ایجاد می شود حتما این اسم را خواهند دید ، توجه کنید که پیشفرض اسم سرور در این قسمت قرار می گیرد اما شما می توانید آن را عوض کنید ، من در اینجا همان اسم PDC را انتخاب کرده ام با توجه به اسم سرور فعلی ، اما یک نکته را در نظر داشته باشید ، همیشه به اسم سرور خود دقت کنید ، بعد از اینکه CA شما نصب شود دیگر نمی توانید اسم سرور خود را عوض کنید. بر روی گزینه Next کلیک کنید.

انتخاب اسم برای Ca در قالب Distinguished Name

8-در ادامه و همانطور که در تصویر زیر مشاهده می کنید شما مدت زمان اعتبار یا Validity Period سرور را مشخص می کنید ، هر چند معمولا برای سرورهای ریشه این زمان زیادتر از زمان سرورهای Subordinate در نظر گرفته می شود تا در صورت منقضی شدن سرورهای Subordinate بتوانیم از طریق سرور ریشه آنها را مجددا معتبر کنیم اما در این سناریو با توجه به اینکه در محیط لابراتوار قرار داریم همان 5 سال اعتبار پیشفرض را برای سرور در نظر می گیرم و بر روی Next کلیک می کنیم.

تعیین مدت زمان اعتبار CA

9-در تصویر زیر ویزارد از شما محل ذخیره سازی فایل های مورد نیاز برای نصب CA و Log های CA را از شما می خواهد ، طبق رویه عمل کنید و بر روی Next کلیک کنید ، در نهایت به شما خلاصه ای از تنظیمات و موارد خواسته شده ارائه می شود که با کلیک کردن بر روی گزینه Install سرور CA شما براحتی نصب می شود.

محل قرارگیری لاگها و فایل های CA

10- قدم بعدی این است که نام Domain ای که قرار است به عنوان Subordinate CA ما فعالیت کند را در این Root CA در اصطلاح MAP کنیم ، دقت کنید که در اینجا بایستی از ابزار certutil.exe و همچنین از ساختار نامگذاری DN یا Distinguished Name استفاده کنیم ، برای انجام اینکار کافیست در CMD ای که بر روی CA ریشه باز می کنید دو دستور زیر را بصورت جداگانه اجرا کنید ، بعد از اجرا موفقیت آمیز این دو دستور بایستی یکبار سروریس CA را Stop و Start کنید تا تغییرات اعمال شود ، در اینجا نام دامین ما itpro.local است که دستورات به شکل زیر خواهند بود.

certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=ITPRO,DC=LOCAL
certutil -setreg ca\DSDomainDN “DC=ITPRO,DC=LOCAL”

انتخاب Domain برای Root CA

انتخاب domain برای root CA

11-تا اینجای مسئله کافیست و Root CA شما به درستی فعالیت می کند ، اما در اینجا یک مبحث پیش می آید و آن انتشار CRL و AIA است که شما می توانید دو سناریوی متفاوت را در این قسمت بکار ببرید ، اولین سناریو این است که آدرس یک سرور آنلاین در شبکه را به جای آدرس های پیشفرض سرور Root قرار بدهید تا لیست در آنجا منتشر شود که در این حالت سرور شما به نوعی هر چند وقت یکبار بایستی آنلاین شود ، سناریوی دوم این است که در سرور Subordinate بررسی CRL ها سرور Root را غیرفعال کنید که در سناریوی ما این موضوع منطفی تر به نظر می رسد.

خوب تا اینجا کار ما یک سرور Root CA بصورت Stan Alone و Offline ایجاد کرده ایم و تنظیمات اولیه آن را برای دامین itpro.local نیز انجام داده ایم ، حالا قرار است به سراغ نصب و راه اندازی Subordinate CA برویم که بصورت آنلاین است و از این سرور ریشه Certificate دریافت بایستی بکند تا بتواند به کار خود در شبکه ادامه دهد. توجه کنید که سناریو در آموزش بعدی به این شکل است که ما یک سرور Subordinate را نصب می کنید و در حین کار نوع CA را Subordinate در نظر می گیریم و سپس درخواست این CA را بصورت آفلاین با یک فلش مموری به سرور ریشه می فرستیم و گواهینامه دریافت می کنیم ، پس با ما تا آموزش بعدی باشید. ITPro باشید.

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#آموزش_راه_اندازی_pki #آموزش_راه_اندازی_زیرساختار_کلید_عمومی #آموزش_راه_اندازی_offline_root_ca #آموزش_راه_اندازی_stand_alone_ca #آموزش_راه_اندازی_root_ca #آموزش_راه_اندازی_certificate_authority #رمزنگاری_کلید_عمومی #PKI_در_مایکروسافت
عنوان
1 آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز یک رایگان
2 آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز دو رایگان
زمان و قیمت کل 0″ 0
16 نظر
soheilpakgohar

اقا ممنون...خیلی این مطلب کمک کرد

Mohsen Zeinali

با تشکر از مطالب خوبتون

مرسی

میلاد

برای Secure کردن LDAP علاوه بر مراحل فوق چه کاره دیگه ای باید انجام داد

امیر اویرا

سلام

چطوری میتونم یه certificate برای کامپیوتر های خارج از دامین تولید کنیم؟

چطوری میشه پیغام error ،ssl حذف کرد؟

واسه کامپیوتر های داخل دامین مشکل ندارم

اما واسه کامپیوتر های خارج از دامین امکان برقراری ارتباط با Ca وجود ندارد

محمد نصیری

لطفا سئوالتون رو در قسمت تالار گفتمان مطرح کنید با تشکر

احمد جهلولی

نمی دونم به ادمائی که مطالب شبکه رو از جائی کپی می کنند و به اسم خودشون می ذارن چی باید بگم؟؟؟

مهندس نصیری لینک زیر رو ببنید چطور نوشته های شما رو کپی کردن. D:

راه اندازی OFFLINE ROOT CA به همراه یک SUBORDINATE ISSUING CA در سرور 2016

محمد نصیری

خیلی با مزه بود ... یعنی اینقدر که این بنده خدا صرف کرده که کپی رایت مطلب رو برداره میتونست مطلب بهتری تولید کنه ، جالبه حتی اون سه تا مطلب PKI رو هم رسما به نام خودش منتشر کرده ، اشکال نداره ، پیش میاد و اینجور افراد همیشه هستن ، مهم اینه کاربرای ITPRO میدونن مطلب مال کی هست و نیاز به اثبات نداره و از طرفی اینها گوگل رو که نمیتونن دور بزنن ، حالا جالبه که یکی از اساتید یکی از موسسات معتبر کشور مطالب من رو جزوه کرده بود سر کلاس داده بود بعد میگفت به دانشجوهاش که نصیری کپی کرده از مطالب من گذاشته تو سایتش ، اینا مال من بوده !! خلاصه کاریش نمیشه کرد ما فرهنگ سازی می کنیم و به این چیزا کاری نداریم مهم اینه مردم میفهمن .... تصاویر زیر گویاست :

آموزش راه اندازی CA

آموزش راه اندازی CA

جواد عابدی نیا

من این سایت بالا رو چک کردم بدبخت منبع رو زده itpro. اون سه تا لینک رو ببینید. نمیدونم شایدم الان که من میبینم درستش کرده ولی منبع ایتی پرو

محمد نصیری

تازه درست کرده من همون موقع براش پیام دادم ، بازم دستش درد نکنه .

نسترن

سلام

ممنون از آموزش خوبتون

میشه بدونم چرا root و sub رو روی یک سرور نصب نکردید؟

اگر من یک سرور برای CA بزارم که عضو دامین باشه و root و sub با هم باشه چه مشکلی میتونه داشته باشه؟

آیا کوچک یا بزرگ بودن سازمان تاثیری در روش نصب داره؟

محمد نصیری

دوست عزیز ظاهرا اصلا مطالعه نکردید که برای چی ما دو تا سرور راه اندازی کردیم !! لطفا سری مطالب مفهومی PKI رو مطالعه کنید ! شما نمی تونید دو تا CA روی یک سرور داشته باشید و این هم از نظر منطقی و هم از نظر ساختاری بی معنی هست.

صادق عبادالهی

سلام.

آیا Cryptographic و Key length و hash algorithm

در ROOT CA و Policy CA و Issuing CAها

حتما باید تنظیمات یکسانی داشته باشد؟

محمد نصیری

بستگی به نحوه استفاده داره ، طبیعتا اگر برای مصارف مشترک استفاده بشن مثلا بین CA ها باید یکسان باشه اما مثلا برای صدور به کاربران میتونه متفاوت بشه .

صادق عبادالهی

ممنون از پاسختون. برای اینکه مطمئن بشم درست متوجه شدم:

بنابراین در هنگام نصب و راه اندازی یک Subordinate CA در بخش Cryptography باید تمامی تنظیمات مطابق با تنظیماتی باشه که در هنگام نصب Root CA استفاده شده؟

به تعبیری تمام CA های زیر مجموعه یک Root CA در هنگام نصب و راه اندازی، باید همگی تنظیمات Cryptography و Hashing و Key length یکسان با Root CA داشته باشند.

درسته؟

mymailam

سلام خسته نباشید

سوالی خدمتتان داشتم

من روی ویندوز 7 vmware نصب کردم و سپس داخل vmware از ویندوز سرور 2003 که قبلا داشتم استفاده کردم و جهت راه اندازی root CA از من سی دی نصب را میخواهد درصورتیکه که من فایل ویندوز را داشتم حالا باید چطور ادامه کارم را انجام دهم

باتشکر از لطف شما

amirrezaRad

استاد چجوری میشه یک سرتیفیکت ولید به ca شناخت برای اوکی کردن ipse /ikve2 بنده میخواستم سرتیفیکیت ولید رو اعمال کنم اما ارور عجیب غریبی نمایش داد و اینکه  subordinate ca استفاده کردم ممنون میشم کمکم کنید هیچ  منبعی پیدا نکردم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....