در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز دو

خوب در آموزش قبلی ما با هم یک Root CA را بصورت آفلاین راه اندازی کردیم و این CA دامین itpro.local را به عنوان دامین رجیستر شده با استفاده از دستوراتی که وارد کردیم شناسایی کرد. حالا نوبت به راه اندازی Subordinate CA می باشد که در اینجا در نقش Issuing CA نیز فعالیت می کند. سناریو به این شکل است که بر روی سروری که عضوی دامین itpro.local است Role مربوط به Active Directory Certificate Services را نصب می کنیم و اینبار به جای انتخاب root CA گزینه subordinate CA را انتخاب می کنیم .

در این حالت سرور از ما آدرس Root CA را می خواهد که بتواند برای ادامه فعالیت از آن Certificate بگیرید که در اینجا با توجه به آفلاین بودن Root CA در خواست را بصورت دستی در قالب فایل گرفته و به سرور root انتقال می دهیم و سپس بعد از صادر شدن یا Issue شدن certificate آن را به Subordinate CA منتقل و نصب می کنیم . با ما تا انتهای ماجرا باشید و مراحل را بصورت گام به گام انجام دهید.

1-وارد سرور عضو دامین بشوید و از طریق کنسول Server Manager گزینه Active Directory Certificate Services را انتخاب کنید و Next را بزنید ، در اینجا دو گزینه Certificate Authority و Certificate Authority Web Enrollment را انتخاب کنید ، برخلاف Root CA این CA بایستی بتواند بصورت آنلاین به کلاینت های شبکه سرویس دهی کند و به همین دلیل سرویس وب آن را نیز راه اندازی می کنیم و بر روی گزینه Next کلیک می کنیم ، همانطور که در تصویر زیر مشاهده می کنید :

انتخاب Certificate Authority  و Web Enrollment

2-در تصویر زیر شما بایستی نوع CA را انتخاب کنید که آیا یک سرور Stand Alone است یا سرور Enterprise ، با توجه به اینکه ما می خواهیم از این سرور در نقش صادر کننده خودکار یا Issuing CA در شبکه استفاده کنیم و قابلیت Auto Enrollment در ساختار Enterprise CA وجود دارد این گزینه را انتخاب می کنیم ، دقت کنید که گزینه Enterprise صرفا زمانی فعال است که شما در عضویت یک دامین قرار داشته باشید که در اینجا ما یک دامین به نام itpro.local داریم که سرور فعلی ما در عضویت این دامین است. بعد از انتخاب Enterprise بر روی Next کلیک می کنیم.

انتخاب نوع CA از جنس Enterprise

3-در ادامه و در تصویر زیر شما نوع CA از نظر قرار گرفتن در ساختار سلسله مراتبی را مشاهده می کنید ، در اینجا ما می خواهیم زیرمجموعه یک CA دیگر شویم که Root CA ما می باشد ، بنابراین در این قسمت گزینه Subordinate CA را انتخاب می کنیم ، اگر به خاطر داشته باشید در آموزش قبلی به دلیل ریشه بودن CA گزینه Root را انتخاب کردیم ، بعد از انتخاب Subordinate بر روی Next کلیک کنید.

انتخاب نوع CA از جنس Subordinate

4-در ادامه تصویر زیر ویزارد از شما می خواهد که برای این سرور یک کلیک خصوصی یا Private Key ایجاد کند ، دقت کنید که در این ویزارد بصورت خودکار یک Private Key ایجاد می شود اما این Private Key بی ارزش است و فقط برای انجام فرآیند نصب استفاده می شود ، بعد از اینکه شما از سرور Root CA یک Certificate شامل کلید خصوصی و کلید عمومی برای این سرور دریافت کردید و آن را نصب کردید این Private Key صادر شده دیگر بی ارزش می شود ، فعلا برای اینکه فرآیند نصب به درستی انجام شود گزینه Create a new private key را انتخاب کنید و بر روی Next کلیک کنید.

ایجاد Private Key مربوط به سرور CA

5-در ادامه از شما در خصوص الگوریتم های رمزنگاری مورد استفاده در این ساختار سئوال می شود که همانطور که اعلام کردیم همه اینها را بصورت پیشفرض فعلا در نظر بگیرید ، در این حالت CSP خود را بر روی Microsoft Software Key Storage Provider و الگوریتم Hashing خود را بر روی SHA1 و طول کلید را همان 2048 بیت در نظر بگیرید و بر روی Next کلیک کنید.

انتخاب الگوریتم های رمزنگاری مربوط به CA

6-در قسمت بعدی از شما در خصوص نام CA سئوال می شود که در اینجا با توجه به اینکه شما در عضویت یک دامین هستید ، هر نامی که انتخاب کنید دارای پسوند دامین شما خواهد بود. ما در اینجا نام سرور CA را ITPRO-CA انتخاب می کنیم و با توجه به همین اسم ساختار Distinguished Name ساخته شده را می توانید در ادامه مشاهده کنید. تغییرات چندانی در این قسمت نیاز نیست انجام بدهید ، بر روی Next کلیک کنید تا به مرحله بعدی بروید.

انتخاب اسم CA با توجه به ساختار distinguished Name

7-این قسمت بسیار مهم است ، در اینجاست که شما بایستی درخواست دریافت گواهینامه یا Certificate خود را به سمت Root CA بفرستید تا تاییدیه و Certificate دریافت کنید ، گزینه اول در خصوص معرفی یک Root CA آنلاین و در حال کار است ، چیزی که ما در این سناریو نداریم ، اما در این حالت ما گزینه دوم را انتخاب می کنیم ، با انتخاب این گزینه درخواستی از طرف این CA بصورت یک فایل در اختیار شما قرار می گیرد تا آن را بصورت دستی برای Root CA برده و از طرف آن Certificate صادر کنیم ، گزینه دوم را انتخاب کنید و محل ذخیره سازی فایل را هم فراموش نکنید ، بر روی Next کلیک کنید.

ذخیره درخواست Certificate  با پسوند .req

8-در تصویر پایین نیز همانطور که مشاهده می کنید و در آموزش قبلی نیز عنوان کردیم محل قرارگیری فایل های تنظیمات و لاگ های سرور CA مشخص شده است که معمولا ما تنظیمات خاصی در این قسمت نداریم و بر روی Next کلیک می کنیم.

محل قرارگیری تنظیمات و لاگ سرورها

9-در انتهای فرآیند نصب ویزارد خلاصه ای از تنظیمات انجام شده را به شما نمایش می دهد ، دقت کنید که در اینجا به شما اعلام شده است که حتی بعد از اینکه شما گزینه Close را نیز انتخاب کنید CA بصورت کامل نصب و راه اندازی نخواهد شد زیر درخواست شما بایستی توسط Root CA مورد نظرتان تایید و سپس Certificate مورد نظر بر روی این سرور نصب شود تا بتواند فعالیت کند ، در اینجا روی گزینه Close کلیک کنید ، CA شما نصب می شود اما در حالت Stop قرار می گیرد .

خلاصه ای از فرآیند نصب سرور Certificate Authority

10-در ادامه وارد کنسول مدیریتی Certificate Authority می شویم و با مشاهده علامت مربع مشکلی بر روی این سرویس متوجه می شویم که سرویس مورد نظر در حالت Stop قرار دارد ، اگر تلاش کنیم که این سرویس را Start کنیم با پیغام زیر مواجه می شویم که به ما می گوید بایستی Certificate ای داشته باشید که از طرف Root CA صادر شده باشد تا این سرور بتواند در حالت عملیاتی قرار بگیرد ، با توجه به اینکه ما فعلا کاری در خصوص این Certificate انجام نداده ایم نمیتوانیم CA را Start کنیم.

مشاهده علامت مربع مشکلی رو سرور Certificate Authority

11-خوب در این مرحله کار ما در سرور Subordinate CA تمام شده است و الان کاری که بایستی انجام شود این است که فایل درخواست ایجاد شده را که دارای پسوند req است بصورت دستی روی Root CA کپی کرده و وارد کنسول مدیریت CA در Root CA شوید و مراحل زیر را انجام دهید ، ابتدا بر روی نام CA راست کلیک کنید و گزینه Submit new request را انتخاب کنید ، در اینجا محل قرارگیری فایل درخواست را مشخص کنید و در نهایت Open را بزنید. دقیقا مشابه آنچه که در پایین مشاهده می کنید.

درخواست ثبت Certificate  در CA

درخواست ثبت Certificate در CA

12-همانطور که در تصویر پایین نیز مشاهده می کنید درخواست شما بعد از باز شدن در قسمت Pending قرار می گیرد و منتظر می ماند که شما آن را صادر یا Issue کنید. کافیست بر روی درخواست مورد نظر راست کلیک کرده و Issue را بزنید . Certificate مورد نظر شما ایجاد شده است و در قسمت Issued قرار گرفته است.

Issue یا صادر کردن Certificate در کنسول Certificate Authority

13-گام بعدی خروجی گرفتن یا کپی کردن Certificate صادر شده از قسمت Issued می باشد. برای کپی کردن Certificate کافیست ابتدا بر روی Certificate مورد نظر راست کلیک کرده و گزینه Open را بزنیم و سپس تب Details را باز کنیم و گزینه Copy to file را انتخاب کنیم ، طبق مراحل جلو برویم ، توجه کنید که در اینجا حتما گزینه p7b بایستی برای خروجی انتخاب شود. به تصاویر زیر دقت کنید.

کپی کردن Certificate از سرور اصلی

کپی کردن Certificate از سرور با پسوند p7b

14-خوب در اینجا کار ما دیگر با Root CA تمام شده است و مجددا به سراغ Subordinate CA می رویم ، وارد کنسول مدیریت CA شوید و همانطور که در تصویر زیر مشاهده می کنید این سرویس در حالت Stop قرار دارد ، بر روی آن راست کلیک کرده و Start را بزنید ، از شما در خصوص فایل Certificate صادر شده توسط Root CA سئوال می شود که شما بایستی بر روی Yes کلیک کنید ، فایل را انتخاب کنید که در اینجا ما اسم آن را Subordinate-CA گذاشته ایم. بعد از انتخاب این گزینه به شما خطای زیر نمایش داده خواهد شد.

تایید نصب Certificate برای راه اندازی سرور CA

قابل اعتماد کردن Public Key موجود در سرور Root CA

15-خطایی که در بالا مشاهده می کنید به دلیل این است که Certificate ای که از Root CA دریافت کرده اید از سروری دریافت شده است که از نظر این سرور غیرقابل اعتماد یا Untrusted است ، با کلیک کردن بر روی OK این CA در لیست سرورهای قابل اعتماد یا Trusted Ca ها قرار می گیرد. سپس شما با خطای زیر مواجه می شوید ، این خطا به دلیل این صادر می شود که سرور فعلی قادر به دریافت کردن لیست Certificate های باطل شده یا CRL از سرور Root نیست ، برای برطرف کردن این مشکل کافیست دستوری که در ادامه مشاهده می کنید را در CMD سرور وارد کنید تا دیگر CRL ها بررسی نشوند. بعد از انجام دستور فوق سرور را یکبار Stop و Strat کنید و این سرور آماده سرویس دهی به شبکه می باشد.

خطای Certificate Revocation List در سرور CA

C:\>certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\SEASUB01\CRLFlags
Old Value:
CRLFlags REG_DWORD = 2
CRLF_DELETE_EXPIRED_CRLS -- 2
New Value:
CRLFlags REG_DWORD = a (10)
CRLF_DELETE_EXPIRED_CRLS -- 2
CRLF_REVCHECK_IGNORE_OFFLINE -- 8
CertUtil: -setreg command completed successfully.

وارد کردن دستورات برای CRL

خوب در این سری آموزشی شما یاد گرفتید که چگونه یک سرور Root CA ایجاد کنید که بصورت Offline و بدون نیاز به شبکه فعالیت کند و بتواند برای کار کردن سرورهای پایین دستی یا subordinate CA ها Certificate صادر کند ، از این به بعد شما می توانید از سرور subordinate ساخته شده براحتی در شبکه و در ساختار اکتیودایرکتوری استفاده کنید و از قابلیت Auto Enrollment ای که دارد استفاده کنید ، قابلیتی که در سرورهای Stand Alone وجود ندارد. امیدوارم مورد توجه شما دوستان قرار گرفته باشد. ITPro باشید.

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#آموزش_راه_اندازی_pki_در_مایکروسافت #آموزش_راه_اندازی_issuing_ca #آموزش_راه_اندازی_subordinate_ca #آموزش_راه_اندازی_certificate_authority #آموزش_راه_اندازی_ca_در_مایکروسافت #رمزنگاری_کلید_عمومی #PKI_در_مایکروسافت
عنوان
1 آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز یک رایگان
2 آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز دو رایگان
زمان و قیمت کل 0″ 0
25 نظر
samaei

سلام

اگه ما برای Subordinate CA از یک دامین کنترلر استفاده کنیم مشکلی ندارد

با تشکر

محمد نصیری

بستگی داره تو چه شرایطی بخاین ازش استفاده کنید ، اما در شبکه های معمولی خیر مشکلی ایجاد نمیکنه ... اما در محیط های Enterprise اصلا توصیه نمیشه .... خصوصا زمانیکه شما بخاین Domain Controller رو ارتقاء بدید مجبور میشید CA رو حذف کنید ... !!! این رو هم در ذهن داشته باشید.

samaei

ممنون از پاسختون

حرف شما کاملا متین

ما یه RootCA استندالان راه میندازیم به خاطر همین

که اگه پاک شد مشکلی پیش نیاید و گرنه این چه کاریه

اینطور فک نمیکنید

محمد نصیری

در سناریو هایی که Root و Subordinate داریم حتما محیط ما اینقدر Enterprises هست که یک سرور به CA اختصاص بدیم بصورت ویژه و DC رو درگیر نکنیم ، استدلال من هم به همین منظور هست ... هر سنارویی امکانپذیر هست ... بله حق با شما هم هست ...

samaei

بازم ممنون بله اگه بشه یه سرور اختصاص این کار قرار داد خیلی بهتر هستش من منظورم این بود که یکی از دلایلی که ما این rootca رو به خاطر اینکه اگه دامین ما مشکلی پیش اومد یا تغییراتی خواستیم انجام بدیم راه اندازی میکنیم که شما هم تایید کردین ممنون اینو نوشتم تا اگه کسی خوند متوجه منظور من بشه

ممنونم

leila_2014

سلام ممنون از آموزش مفیدتون ممکنه نحوه کار با ca رو هم بگید صدور گواهی نامه و تبدیل اونها و کار با crl و ...

محمد

سلام فکر کنم مرحله select athentication type و دیگر مراحل پیرو آن را جا انداختید آخه من که راه اندازی میکنم این مراحل اضافه هم هستند

محمد

برای درست کردن اون فایل با پسوند reg هم مشکل دارم چون روی submit new request که کلیک میکنم هیچ فایلی ذخیره نشده و من بلد نیستم چظوری آن را بسازم

محمد

من یه فایل با پسوند reg درست کردم ولی در ابتدا که submit را زدم چیزی نشان نداد و وقتی all file را زدم نشان داد تازه این ارور را به من داد

ارور در فایل با پسوند reg

امین عرب

ممنون می شم در این پست کمکم نمایید

صادق عبادالهی

سلام. جایگاه و کاربرد policy ca رو خیلی دقیق متوجه نشدم. مثلا اگر بخواهیم برای دو گروه از کاربران (کاربران شبکه داخلی و کاربران اینترنت) گواهی صادر کنیم، منطقیه که بعد از Root دو تا policy ca بگذاریم؟ که یکی policy های مربوط به صدور گواهی برای کاربران شبکه داخلی رو مشخص کنه و اون یکی هم Policy مربوط به کاربران اینترنت رو؟ اگر این مورد رو کمی بیشتر بهش بپردازید ممنون میشم.

محمد نصیری

لطفا سری مطالب PKI مهندس جهلولی رو مطالعه کنید کاملا متوجه میشید.

صادق عبادالهی

سلام. ممنون از پاسختون. مقاله 16 قسمتی ایشون رو خوندم، ولی هم ایشون و هم جنابعالی در مقالاتتون مدل 3 لایه رو فقط در حد یک توضیح ساده بسنده کردید و مدل 2 لایه رو اجرا کردید. با توجه به اینکه مقاله PKI و Root CA شما و مقاله مهندس جهلولی رو خوندم و فیلمهای مهندس ذریه رو هم دیدم و کلی هم توی وب گشتم اعم از مطالب فارسی و انگلیسی رو مرور کردم، در حال حاضر درک من از Policy CA در حد همین چند خطه. اگر لطف کنید یه توضیح مختصر که یه مقدار شفاف تر کنه موضوع Policy CA رو بفرمایید ممنون میشم.

محمد نصیری

امروز یک مطلب در خصوص policy CA در وب سایت براتون مینویسم امیدوارم درک بشه منظور از این ساختار چیه.

صادق عبادالهی

خیلی لطف کردید. بی صبرانه منتظر هستم. ممنون

محمد نصیری

البته به نظرم قبلش یه نگاهی به این مطلب بندازید :

به ویژه قسمت Certificate Policies extension که می تونه مفید باشه

صادق عبادالهی

سلام استاد

من مطلبی رو که فرمودید مطالعه کردم که البته بخاطرش مجبور شدم کلی مطلب دیگه رو هم بخونم چون با CPS و CPD و یه سری چیزای دیگه اصلا آشنا نبودم.

الان هم بی صبرانه منتظر مطلبی که فرمودید درباره Policy CA در سایت قرار میدید هستم.

ramiy

سلام

من بعد از انجام مراحل بالا باز هم بعد از استارت سرویس پیغام زیر رو مشاهده میکنم

وب سایت توسینسو

لطفا راهنمایی کنید

ممنون

محمد نصیری

دوست عزیز عین خطایی که شما دریافت کردید در آموزش توضیح داده شده ...

ramiy

بله فرمایش شما درسته

من این دستور رو عینا توی cmd کپی کردم


C:\>certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\SEASUB01\CRLFlags
Old Value:
CRLFlags REG_DWORD = 2
CRLF_DELETE_EXPIRED_CRLS -- 2
New Value:
CRLFlags REG_DWORD = a (10)
CRLF_DELETE_EXPIRED_CRLS -- 2
CRLF_REVCHECK_IGNORE_OFFLINE -- 8
CertUtil: -setreg command completed successfully

ولی یسری ارور داد

حتی دایرکتوری رو هم به روت درایو c تغییر دارم

مشکل از کجاست ؟

محمد نصیری

اسم سرور رو به اسم سرور خودتون تغییر ندادید.

ramiy

من هرچی این دستور رو میخونم جاییش اسم سرور نمیبینم

میشه کمکم کنید

محمد نصیری

SEASUB01 اسم سرور شما هست.

ramiy

سلام جناب نصیری

سپاسگذارم از راهنمایی و آموزش بسیار خوب شما

فقط یه نکته

من میخوام از این CA برای KerioControl به عنوان Certificate استفاده کنم

چجوری باید داخل Kerio این ارتباط رو برقرار کنم ؟

ممنونم

محمد نصیری

من با کریو زیاد کار نکردم ، اگر قابلیت درخواست دادن داره که می تونید درخواست رو Export کنید و در CA ایمپورت کنید.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....