در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2

در این جلسه قصد دارم ADCS را نصب و اجزای آن را توضیح دهم.قبل از نصب و راه اندازی یک زیر ساخت کلید عمومی لازم می دونم که بعضی از اصطلاحات و انواع آنها را دوباره توضیح و اگر امکانش باشه آنها را بیشتر باز کنم.

انواع Certificate Authorities


همانطور که قبلا گفتم CA برای امن کردن بعضی از منابع شبکه و همچنین احراز هویت آنها ایجاد شده است. CA Server درخواستهای ارسالی از سمت منابع شبکه را تایید می کند و آنها را طبق سیاستهای برسی می کند و بعد از آن توسط کلید خصوصی خود (CA) امضای دیجیتالی خود را بر روی Certificate اعمال می کند و آنها را برای منابع شبکه صادر می کند. CA Server همچنان مسئول باطل کردن Certificateها و و انتشار لیست آنها می باشد. CRL : دوستان از این به بعد وقتی خواستیم از منابع شبکه مانند کاربران، کامپیوترها یا سرویس های که در تعامل با CA Server هستن نام ببریم از واژه Subject استفاده می کنیم.

CAها می تواند خارج از سازمان هم به هر Subjectی سرویس دهد مانند Verisign و غیره یا می توان یک CA در یک Forest دیگر به آن دسترسی داشت و از خدمات آن استفاده کرد. همچنین در ساختارهای سلسله مراتبی هر CA سرور یک گواهینامه دیجیتالی یا یک Certificate دارد که هویت خود را برای بقیه مشخص و احراز هویت می کند و این Certificate از Parent CA برای او ارسال می شود. ما هنگام نصب این سرویس اصطلاحتی داریم که قبلا آنها را در آموزش قبلی توضیح دادم به نام Root and subordinate!!!!!


یک Root CA که گاهی وقتها به آن Root Authority می گویند یکی از مهمترین و و حساس ترین سرور در ساختار PKI می باشد که بیشترین اعتماد در کل ساختار دارد. اگر این سرور در معرض خطر قرار گیرد یا یک Certificate به یک CA قلابی یا غیر مجاز ارسال کند کل ساختار PKI اسیب پذیر می شود. در بیشتر سازمانها (مخصوصا اینجا، ایران) از Root CA بعنوان یک Issuing CA استفاده می کنند. Subordinate CA یک CA سروی می باشد که زیر مجموعه Root CA قرار می گیرد که بوسیله Root CA تصدیق شده و مجاز به فعالیت در شبکه می شود. Subordinate CA دقیقا مانند Child Domain در ساختار دومین می باشد. منظور از ایجاد Subordinate CA در ساختار، پایداری و مدیریت ساختار PKI در سازمانهای بزرگ می باشد.

Policy modules ها


شاید برای شما جای سوال باشه که Policy Modules چی هست؟ به طور خلاصه به رفتار CA Server هنگام دریافت یک درخواست از Subjectی را Policy Modules می گویند. که دو Policy Modules داریم:
Enterprise certification authorities:
این نوع CA دارای خصوصیات زیر می باشد:
  1. برای استفاده از Enterprise certification authorities نیاز به ساختار دومین و Active Directory دارید.
  2. وقتی Enterprise CA را نصب می کنید Enterprise CA از Group Policy استفاده می کند و Certificate خود را در Trusted Root Certification Authorities certificate کلاینتها، یوزرها و سرویس ها ذخیره می کند. همانطور که می دانید اگر Root CA در این استورج ذخیره شود آن CA برای آن Subject قابل اعتماد است.
  3. وقتی شما Enterprise CA را نصب میکنید این سرور بصورت اتوماتیک خود را عضو گروه Cert Publishers می کند و اعضای این گروه می توانند Certificateها را در یک دومین انتشاریا Publish کند. مثالی که در این مورد می توانم بزنم انتشار لیست CRL می باشد.

Enterprise CA از انواع Certificate ها استفاده می کند و اساس کار این Certificate ها استفاده از Certificate Template ها می باشد. شرایط زیر وقتی صدق می کند که از Certificate Template استفاده شود:
  • وقتی Certificate Enrollment توسط Subjectی انجام شود Enterprise CA بصورت Force هویت و credential آن را چک می کند. هر Certificate Template در ساختار Active Directory دارای یک Permission می باشد و در نتیجه Subjectی می تواند این Template را Enroll کند که مجوز آن را داشته باشد
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

  • certificate subject name بصورت اتوماتیک بر اساس اطلاعاتی که در Active Directory ذخیره شده تولید می شود یا با استفاده از اطلاعاتی که در CSR می باشد می توان آن را ایجاد کرد. certificate subject name را بعدا توضیح خواهم داد.
Stand-alone certification authorities:
این نوع CA دارای مشخصات زیر می باشد:
  1. بر خلاف Enterprise CA این نوع نیازی به Active Directory و ساختار دومین ندارد. در درجه اول هدف از Stand-Alone CA ایجاد یک Trusted offline CA در یک ساختار PKI سلسله مراتبی می باشد.
  2. وقتی درخواستی حواله stand-alone CA می کنید باید تمام اطلاعات و هویت خود را برای آن فراهم کنید همچنین نوع Certificate چون این نوع CA مثل Enterprise CA نیست که اطلاعات Subject ها را از Active Directory استخراج کند.
  3. بصورت پیش فرض هر درخواستی که به سمت Stand-alone CA فرستاده میشه بصورت Pending یا انتظار باقی می ماند و تا Admin آن را تایید یا Issue نکند برای آن Subject صادر نمی شود. علت این رفتار هم عدم توانائی Stand-alone CA در Authenticate کردن Subjectها می باشد و این مسئولیت را بر عهده Admin می اندازد.
  4. از Certificate Template استفاده نمی کند. یعنی شما باید نوع Certificate را برای Stand-alone CA مشخص کنید.
  5. Admin باید بصورت دستی Stand-alone CA's Certificate را در Trusted root کاربران deploy کند.
بر خلاف اسم گذاری Stand-alone CA می توان این نوع CA را در ساختار دومین نصب و راه اندازی کرد. وقتی شما اینکار را انجام دهید Stand-alone CA's Certificate بصورت اتوماتیک در Trusted Root سابجکتهای ذخیره می شود. و بیتشر (نه همه) درخواستهای Subjectها بصورت اتوماتیک Issue می شود. و بعضی از User Certificate ها و CRL ها بصورت اتوماتیک در ساختار دومین Publish می شوند.
جدول زیر به شما کمک می کنه تفاوت این دو Policy Modules را بهتر متوجه شوید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

قبل از نصب CA Server شما باید به این سوالات جواب بدید، اجازه بدید عامیانه سوال کنم بهتر قابل درکه:
  1. این سرویس چی بهم میده؟
  2. اصن چرا باید این سرویس رو نصب کنم؟
  3. وقتی این سرویس رو نصب کردم قراره اتفاقی توی سازمان بیوفته؟
کلی بحث و نکته را توی این سه سوال خلاصه کردم. الان برید سرچ و تحقیق کنید که مزیت استفاده از CA یا بهتر بگم ساختار PKI چیه؟
قبل از اینکه شروع به نصب کنیم باید نیازهای خودتون را مشخص کنید که فقط یک Root CA نیاز دارید که کار همان Issue CA را انجام دهد؟ یا یک ساختار سلسله مراتبی؟
اگر سطح نیاز سازمان یک ساختار سلسله مراتبی را می طلبه باید مشخص کنید که مایلید از روش Trusted offline CA استفاده کنید یا خیر؟
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

برای اطلاع بیشتر درباره Trusted offline CA و همچنین راه اندازی چنین ساختاری سلسله مقالات مهندس نصیری را مطالعه کنید.
چون ما در ابتدای یاد گرفتن این سرویس هستیم من یک Enterprise Certificate Authority نصب می کنم.
قبل از نصب کردن باید چک کنیم چه پیش نیاز های برای نصب و راه اندازی PKI نیاز می باشد:
  • برای نصب Enterprise CA نیاز به ساختار دومین دارید.
  • سروری که روی آن Enterprise CA نصب میکنید باید Joint to Domain باشد.
  • کاربری که مسئول این پروسه می باشد باید عضو گروه Enterprise admin باشد.
به این هم توجه داشته باشید که بعد از نصب CA Server شما قادر به تعقیر اسم CA Server نیستید ونمی توانید سرور را عضو یا خارج از دومین کنید یا CA Server را تبدیل به DC کنید.
برای نصب Enterprise CA سرور کنسول Server Manager را اجرا کنید وگذینه Active Directory Certificate Service را تیک بزنید
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

Next کنید و در پنجره زیر
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

گذینه مشخص را انتخاب کنید.
نگران نباشید بقیه گذینه ها را توضیح میدم.
در اخر Install کنید.
بعد از پایان نصب لینک زیر را کلیک کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

در صفحه بالا کاملا توضیح داده برای چه کارهای نیاز به چه credential های می باشد.
Credential مناسب را انتخاب و Next کنید
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

چه سرویس های را می خواهید در این Wizard تنظیم کنید؟ باید در بالا مشخص کنید. که من فقط Certificate Authority را نصب کردم و فقط می خوام آن را تنظیم کنم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

گذینه های بالا را مفصل توضیح دادم. بنا به شرایط سازمان و نیازهای آن یکی از گذینه های بالا را انتخاب کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

گذینه های بالا را نیز مفصل توضیح دادم. چون اولین CA در ساختار می باشد و هیچ Trusted offline CA نداریم گذینه Root CA را انتخاب می کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

برای اینکه CA Server بتواند به Subjectها Certificate صادر کند نیاز به Private key دارد. اگر اولین سرور شما در ساختار می باشد گذینه مشخص شده را انتخاب کنید وگرنه گذینه های دیگر را انتخاب و Private key را به CA معرفی کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

کلید خصوصی یا Private key هر CA Server هویت آن CA محسوب می شود. وقتی CA بخواهد Certificateی را به Subjectی صادر کند از کلید خصوصی خود استفاده میکند. بصورت پیش فرض این کلید بر روی هارد دیسک سرور CA ذخیره می شود. بیشتر سازمانها برای امن کردن کلید خصوص CA سرورهای خود از سخت افزاری به نام Hardware Security Module یا به اختصار HSM استفاده می کنند. شما در قسمت Select a Cryptographic Provider میتوانید نحوه ذخیره سازی این کلیدها را مشخص کنید.
در قسمت key length هم باید طول کلید های ایجاد شده را مشخص کنید.
نکته: اگر از RSA در قسمت SCP استفاه کنید نباید طول کلید بیشتر از 2048 باشد و نباید کمتر از 1024 باشد. در غیر اینصورت CA service استارت نمی شود

When using an RSA certificate for a CA, ensure that the key length is at least 2048 bits. You must not attempt to use an RSA certificate below 1024 bits for the CA. The CA service (certsvc) will not start if an RSA key of less than 1024 bits is installed.

به این نکته هم توجه کنید که بعضی از برنامه ها از طول کلید مشخصی استفاده می کنند یا بعضی از آنها بالاتر از 2048 را ساپورت نمی کنند.
به این هم توجه کنید که هر چقدر طول کلید بیشتر باشد پردازش آن زیاد و زمان بر است.
در کادر پایین می توانید نوع رمزگذاری کلیدها را مشخص کنید. این نوع رمزگذاری بر اساس نوع تنظیمات SCP متغیر می باشد.
در آخر گذینه Allow administrator inter…. را وقتی تیک بزنید که از HSM استفاده می کنید. شما با تیک زدن این گذینه در مواقعی که CA Server قصد دارد به کلید خصوصی دسترسی پیدا کند Administrator باید پسورد خود را وارد کند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

یک اسم برای این CA Server بنویسید.
نکته: به علت اینکه این اسم در هر Certificateی می باشد که صادر می شود از نوشتن FQDN سرور خودداری کنید. همچنین این اسم باید در ساختار Unique باشد.
به قول کمپانی مایکروسافت بعضی از روترها به علت فرمت بد نامگذاری CA Server نمی توانند از قابلیت Network Device Enrollment Service استفاده کنند و در نتیجه نمی توانند Certificate را درخواست بدهند.

certain types of routers will not be able to use the Network Device Enrollment Service to enroll for certificates if the CA name contains special characters such as an underscore.

نکته بسیار مهم: به علت بعضی از مسائلی که باعث مشکلات در ساختار می شود از گذاشتن فاصله در اسم گذاری CA Server شدیدا خود داری کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

مدت زمان اعتبار کلید خصوصی این CA Server را باید مشخص کنید.
در پنجره بالا بصورت پیش فرض بر روی 5 سال ست شده است. اگر این مدت زمان سپرسی شود این کلید خصوصی اعتباری ندارد و با Renew شود.
وقتی ادمین تعیین می کند که کلید خصوصی یک CA Server 5 سال اعتبار دارد این CA سرور Certificate های را به Subject ها صادر می کند که کمتر از 5 سال باشد.
مثال:
شما نمی توانید Certificate را با طول عمر 10 سال به Subjectی صادر کنید در حالی که طول عمر Certificate سرور CA 5 سال باشد. فرض کنید 3 سال از این 5 سال گذشته باشد CA Server نمی تواند Certificate با طول عمر 4 سال Issue کند و باید CA's Certificate را Renew کرد.

نکته: وقتی طول عمر کلید خصوصی Root CA بر روی 5 سال ست شده باشد شما نمی توانید طول عمر کلید خصوصی Intermediate CA را بیشتر از 5 سال ست کنید. این مسئله نیز برای Intermediate CA and Issuing CA صدق می کند.

سوال؟؟؟
وقتی کلید خصوصی CA Server اکسپایر شود (طول عمر آن سپری شود و Admin آن را Renew نکند) مسئله Certificate های که صادر کرده چی میشه؟؟؟؟؟
همه Certificateهای صادر شده اکسپایر می شوند.

. Certificate Services enforces a rule that a CA never issues a certificate to be valid beyond the expiration date of its own certificate. Therefore, when a CA's certificate reaches the end of its validity period, all certificates it has issued will also expire.

توصیه اکید می کنم که لینک زیر را بخوانید. حتما بخوانید:
https://technet.microsoft.com/en-us/library/cc740209(WS.10).aspx
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

واضحه نیازی به توضیح نداره
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

اولین CA Server در ساختار ایجاد شد.
الان Certificate این CA Server بصورت اتوماتیک در Trust Root همه کلاینتها با اولین ابدیت کردن Group Policy ذخیره می شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

خب!!!
وقتی شما کنسول CA Server را اجرا میکنید گذینه های زیر را می بینید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم

  1. در این کانتینر Certificateهای باطل شده را می بینید.
  2. Certificateهای صادر شده به Subjectها. همانطور که در بالا می بیند یک Certificate template بصورت اتوماتیک به DC صادر شده.
  3. اگر Certificateی نیاز به تایید Admin داشته باشد اینجا لیست می شود.
  4. Certificateهای که به هر دلیلی fail شدن در اینجا ذخیره می شوند.
  5. Certificate Template را در این کانتینر می توانید ببنید.
بعد از نصب CA Server یک سری تنظیمات مربوط به CRL and AIA می باشد که قبل از فعالیت CA و صادر کردن هر گونه Certificateی، شما باید آنها را کانفیگ کنید. این تنظیمات را در جلسه بعدی توضیح خواهم داد.

موفق و پایدار باشید.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#راه_اندازی_Certificate_Authority #آموزش_certificate_authority_server #آموزش_راه_اندازی_pki_در_مایکروسافت #مقایسه_Enterprise_و_Standalone_CA_ها #راه_اندازی_CA_مایکروسافتی #آموزش_راه_اندازی_certificate_authority #آموزش_راه_اندازی_ca_در_مایکروسافت #PKI_در_مایکروسافت #آموزش_adcs #سرتیفیک_سرور
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
10 نظر
حامد محمدی

مهندس جهلولی عالی بود

مرسی

مهران حبیبی

آقای مهندس بسیار عالی .ممنون.

مهران از کانادا

حسین عابدین زاده

این توسط abedinzadeh در تاریخ يكشنبه, 21 آذر 1395 حذف شده است.

Reason: مشکل رفع شده است

سلام

تشکر از از مهندس جهلولی بابت مقاله جالب و کاملشون و خدمت جناب آقای نصیری عرض کنم که برادر به غیر از قسمت دوم سایر قسمتها باز نمی شوند.

ممنون

zappy

سلام

باتشکر از مقاله تون. مهندس برای اینکه به لیستtrusted کلاینت ها اضافه بشه چ پالیسی خاصی رو باید add کنیم؟

احمد جهلولی

باتشکر از مقاله تون. مهندس برای اینکه به لیستtrusted کلاینت ها اضافه بشه چ پالیسی خاصی رو باید add کنیم؟

ادامه مقاله ها را مطالعه کنید.

parviz_p_t

ممنون مهندس از مقاله خوبتون

بنده هم سوال بالا رو دارم

hojjatjj

سلام جناب مهندس جهلولی،

ممنون از ارائه دقیق این بحث،

سوالی دارم:

نصب CA در کنار AD (همزمان روی سرور Domain Controller) مانعی داره؟ مشکلی ایجاد میکنه؟ و اگر این کار مشکلی نداشته باشه، همه آپشن های CA رو می تونم نصب کنم؟ 2 تا وب داریم و شاید به چهارتا آپشنش نیاز داشته باشیم.

و توضیح اینکه تعداد کلاینت های من 15، اینترنت بسیار خوب (فیبر نوری) و سرور، کانفیگ نسبتاً بالایی داره و توزیع اینترنت بر عهده کریو هست.

پیشاپیش از جوابتون ممنونم.

احمد جهلولی

همه ابشن ها را نمی توانید بر روی یک سرور نصب کنید.

نصب CA در کنار AD (همزمان روی سرور Domain Controller) مانعی داره؟ مشکلی ایجاد میکنه؟

نه مشکلی نیست.

zo-ro

سلام

ممنون از مقاله خوبتون

یه اشتباه توی متن دیدم که گفتم بگم که اصلاح کنید.

توی یک نکته نوشتید "اگر از RSA در قسمت SCP استفاه کنید نباید طول کلید بیشتر از 2048 باشد و نباید کمتر از 1024 باشد. در غیر اینصورت CA service استارت نمی شود"

توصیه میشه که طول کلید حداقل 2048 باشه و 1024 هم بلاک شده و اگر 1024 بگذارید سرویس کار نخواهد کرد اما بالاتر از 2048 ایمن تر هست ولی باعث کندی خواهد شد. از این رو کلمه نباید در مورد 2048 صحت ندارد.

ضمناٌ یک سری غلط های املایی مثل گذینه ( بجای گزینه) و تعقیر ( بجای تغییر) و ... در متن وجود داره. از اونجا که تلاش همه ما برای بهبود هست امیدوارم جسارت بنده رو حمل بر بی ادبی نگذارید.

احمد جهلولی

توصیه میشه که طول کلید حداقل 2048 باشه و 1024 هم بلاک شده و اگر 1024 بگذارید سرویس کار نخواهد کرد اما بالاتر از 2048 ایمن تر هست ولی باعث کندی خواهد شد. از این رو کلمه نباید در مورد 2048 صحت ندارد.

اولا شما در مقام و رتبه ای نیستید که حرف خود  Microsoft را نقض کنید. ثانیا این جمله برای RSA#Microsoft Software key storage provider صدق می کند که بالا بحث آن شد. ثالثا اگر جایی مشاهده کردید اشتباه دارم موضوع را توضیح میدم خواهشا به دادن لینک حرف خود را مستند کنید دقیقا کاری که من در بالا انجام دادم.

ضمناٌ یک سری غلط های املایی مثل گذینه ( بجای گزینه) و تعقیر ( بجای تغییر) و ... در متن وجود داره

همه مقاله نویسان هر چقدر که حرفه ای باشند اشتباه املایی در مقالات آنها مشاهده میشه اگر این موضوع شما را آزار می دهد و یا بیش از حد کمال گرا هستید کسی شما را مجبور نکرده چنین مقالاتی را مطالعه کنید.

از فهم و شعور شما کمال تشکر را دارم. موفق باشید.

 

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....