در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4

در این جلسه قصد دارم قابلیت جدیدی که در Windows Server 2008 به نام Online Responder معرفی شده را آموزش دهم. با ما باشید.Subjectها قبل از استفاده از Certificate برای احراز هویت و رمزگذاری وضعیت آنها آن Certificate ها را برسی و اعتبار سنجی می کنند. Subjectها در پروسه اعتبار سنجی از دو پارامتر مهم استفاده می کنند:

Time:
قبل از اینکه Subjectی از Certificateی استفاده کند چک می کند طول عمر آن Certificate به پایا ن نرسیده و Expire نشده است. اگر Certificateی به هر دلیلی طول عمر آن سپری شده باشد آن Certificate بلا استفاده می باشد.
Revocation Status:
بعد از چک کردن طول عمر Certificate توسط Subjectها آن Certificate را از لحاظ باطل بودن یا Revocation چک می کنند و اگر آن Certificate این دو پارامتر مهم را پاس کند Subject از آن Certificate استفاده می کند.
چک کردن Certificate ها از لحاظ باطل بودن توسط Subjectها می تواند شامل چندین روش باشد که ابتدائی ترین روش لیست CRL and Delta CRL می باشد و علاوه بر این دو روش، روش جدیدی به نام Online Certificate Status Protocol یا OCSP معرفی شده است.سیستم عاملهای قبل از Windows Vista فقط از روش CRL استفاده می کردند ولی با امدن Windows Server 2008 علاوه بر لیست CRL از OCSP هم استفاده خواهد شد.در پروسه ارزیابی یا اعتبار سنجی Certificateها اعتبار سنجی شامل کل Certificate Path می باشد. و همراه ارزیابی سرتیفیکت Parent CA آن Certificate هم ارزیابی می شود و این ارزیابی تا خود Root CA ادامه دارد.جهت اطلاع شما دوستان Subjectها برای دسترسی به Parent CA و اعتبار سنجی آنها از دو پارامتر استفاده می کنند:

  • Local certificate store
  • Authority information access (AIA)

اگر به هر دلیلی این اعتبار سنجی با موفقیت انجام نشود آن Subject قادر به استفاده از آن Certificate نخواهد بود.

CRL


لیست CRL یک فایل می باشد که توسط CA Server ایجاد می شود و شامل تمام Certificateهای باطل شده است. این فایل علاوه بر Certificateها باطل شده دارای Serial numbers می باشد که متعلق به Certificateها است. علاوه بر اینها دارای زمان و دلیل باطل شدن Certificate نیز می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

یکی از مشکلات لیست CRL حجیم شدن این لیست می باشد. در سازمانهای خیلی بزرگ برای ذخیره سازی این لیست و انتشار آن استورج و پهنای باند زیادی استفاده می شود.و دیگر مشکلات این روش تاخیر آن می باشد. لیست CRL در بازه های زمانی مشخصی منتشر می شود و بعد از انتشار این لیست بر روی کلاینتها Cache می شود. حالا اگر بعد از انتشار این لیست Certificateی باطل شود کلاینتها از این تعقیر تا انتشار بعدی بی خبر می مانند.جهت اطلاع شما دوستان برای تنظیم Publish شدن لیست CRL در ساختار می توانید از تنظیمات زیر استفاده کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


Online Certificate Status Protocol


با امدن قابلیت جدید OCSP شما یک سرور Online دارید که به کاربران خدمات ویژه ای ارائه می دهد. وقتی Subjectی قصد داشته باشد وضعیت Certificateی را چک کند درخواست این Subject مستقیما به OCSP ارسال می شود و OCSP وضعیت Certificate و مسیر آن Certificate Path را چک می کند و جواب را بسوی Subject ارسال می کند.
نکته: کل ارتباطات OCSP با Subjectها از طریق پروتکل HTTP انجام می شود.
بزرگترین عیب این روش پایداری یا بهتره بگم UP Time این سرور می باشد. تا وقتی که این سرور روشن باشد این اعتبار سنجی به نحوه احسنت انجام می شود ولی اگر این سرور از کار افتد و بقیه پارامترها مانند CDP extension تنظیم نشده باشند کار Subjectها مختل می شود.

اجزای Online Certificate Status Protocol


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


اجزای OCSP به دو قسمت تقسیم می شود:

  • Client
  • Server

قسمت کلاینت جزئی از CRYPTOAPI می باشد که وقتی Subjectی قصد برسی وضعیت Certificateی را داشته باشد CryptoAPI را فراخوانی می کند و درخواست خود را به سمت OCSP ارسال می کند.
قسمت سرور شامل اجزای زیر می باشد:

Online Responder Web Proxy Cache:

این کامپوننت دو کار مهم را انجام می دهد:
Request Decoding: درخواست کلاینتها را بعد از دریافت رمزگشائی می کند و سریال نامبر Certificate را برای اعتبار سنجی استخراج می کند.
Response Caching: بعد از اینکه درخواست کلاینتها دریافت شد و سریال نامبر آنها استخراج شد Online Responder Web Proxy Cache کش خود را برای چک کردن وضعیت Certificate برسی می کند. اگر جوابی پیدا نکرد درخواست کلاینتها را به Online Responder Service ارسال می کند.
Online Responder Service:
بر اساس تنظیماتی که انجام می دهیم کار اصلی آن بازیابی و اعتبار سنجی کردن درخواست کلاینتها می باشد.
Revocation Configuration:
شامل تمام تنظیماتی می باشد که برای ارسال پاسخ هنگام چک کردن وضعیت Certificate به Subjectها استفاده می شود. یا یکسری تعاریف می باشد برای پاسخ دادن به وضعیت Certificateهای یک CA Server.
نکته: هر OCSP می تواند شامل چندین Revocation Configuration باشد.
Revocation Providers:
افزونه ی می باشد برای Revocation Configuration که Online Responder Service را قادر می سازد وضعیت Certificate را برسی کند و نتیجه را Cache کند.
Online Responder:
کامپیوتری می باشد که Online Responder service and Online Responder Web proxy بر روی آن در حال اجرست. و اطلاعات Revocation یک CA یا چندین CA سرور را در خود نگهداری می کند. جالبه که بدونید سرویس OCSP اطلاعات Revocation را از لیست CRL سرور CA بدست می آورد.در تکنت مایکروسافت اطلاعات زیادی درباره کامپوننتهای بالا وجود دارد که من آنها را برای درک راحتتر خلاصه کردم.

نحوه پیاده سازی OCSP:


با توجه به تصویر زیر ما می توانیم OCSP را بر روی یک سرور نصب کنیم یا در سازمانهای بزرگ که روزانه چندین هزار درخواست سمت OCSP ارسال می شود از لود بلانس نرم افزاری یا سخت افزاری استفاده کنیم:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در بعضی از سناریوها که قصد داریم OCSP توسط کاربران بیرون از سازمان در دسترس باشد می توانیم این سرویس را توسط TMG or ISA یا سولوشن های دیگر Publish کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

برای اطلاع از نحوه Publish کردن این سرویس در ISA به لینکی که در آخر معرفی می کنم رجوع کنید.

پیاده سازی OCSP در سازمان:


برای نصب و راه اندازی این سرویس سه مرحله پیش رو داریم:
  1. نصب سرویس OCSP.
  2. آماده سازی محیط سازمان برای استفاده از این سرویس.
  3. تنظیم سرویس OCSP.
  4. نصب سرویس Online Certificate Status Protocol


شما باید این سرویس را بعد از پیکربندی CA Server در سازمان و قبل از صدور هر گونه Certificate نصب و تنظیم کنید.
نکته: شما می توانید این سرویس را بر روی CA Server یا یک سرور مجزا نصب کنید.
برای نصب این سرویس مراحل زیر را دنبال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

بعد از اتمام نصب مشاهده می کنید که کنسول IIS اضافه شده و یک Virtual Directory به نام OCSP ایجاد شده است.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آماده سازی محیط سازمان برای استفاده از این سرویس:


اولین قدم در این راستا ایجاد A Record این سرویس در DNS می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

دومین قدم تنظیم AIA Extensions بر روی CA Server می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در قسمت Location شما باید URL سرور OCSP به همراه Virtual Directory را بنویسید به عنوان مثال:
http://ocsp.mycity.local/ocsp
قدم بعدی تنظیم OCSP Response Signing Template می باشد. برای اینکار در کنسول CA
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در کادر بالا سروری که روی آن OCSP نصب شده است را اضافه و مجوزهای Read and Enroll دهید. OK کنید و مراحل زیر را دنبال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

الان این Template در کادر Certificate Template اضافه می شود و با اضافه شدن آن در این کادر بصورت اتوماتیک در اکتیو دایرکتوری Publish می شود.
این Template برای کارکرد OCSP و چک کردن درخواستهای کاربران مورد استفاده قرار می گیرد.

تنظیم سرویس OCSP


برای تنظیم OCSP این کنسول را از منوی استارت اجرا کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

  1. در این قسمت می توانید Revocation Configuration را ایجاد کنید. همانطور که می دانید هر CA Server باید دارای یک Revocation Configuration باشد. هر OCSP می تواند چندین RC داشته باشد.
  2. اگر چندین OCSP در ساختار داشته باشید همه زیر مجموعه Array Configuration می شوند و یکی از OCSP نماینده Array controller"" این Array Configuration می شود. این قابلیت زمانی مفید می باشد که تنظیمات Revocation Configuration سرورهای OCSP کانفلیت داشته باشند در چنین شرایطی تنظیمات Array controller بر روی OCSPها اعمال می شود.
برای ایجاد Revocation Configuration مراحل زیر را دنبال کنید:
نکته: برای هر CA Server باید یک Revocation Configuration ایجاد شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

اسمی برای Revocation Configuration بنویسید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در بالا باید روش دسترسی به CA Certificate را مشخص کنید. از طریق فایل یا Local Certificate Store یا از طریق اطلاعات ذخیره شده در Active Directory
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در صفحه بعد Browse کنید و CA Certificate مورد نظر را انتخاب کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در مرحله بالا شما باید OCSP Response Signing که در مرحله قبلی ایجاد کردید را معرفی کنید. چک باکس Auto-Enroll… باعث Enroll و Renew کردن اتوماتیک این Template می شود. اگر CA Server که در مرحله قبلی آن را انتخاب کردیم مسئول صادر کردن این Template باشد این چک باکس و فیلد های Certificate Authority and Certificate Template بصورت اتومات انتخاب و تنظیم می شوند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در بالا با کلیک کردن دکمه Provider باید مشخص کنید Revocation Configuration چگونه به اطلاعات لیست CRL دسترسی داشته باشد. که همانطور که در تصویر بالا مشاهده می کنید از دو طریق این اطلاعات بازیابی می شوند اطلاعاتی که بر روی Web Server میزبانی می شوند و اطلاعاتی که در Active Directory ذخیره شده اند.بصورت پیش فرض OCSP قبل از اینکه اطلاعات CRL را بر روی شبکه جستجو کند بصورت لوکال دنبال یک CRL متعبر میگردد. اگر OCSP بر روی CA Server نصب شده باشد تنظیمات Provider نادیده گرفته می شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم. وقتی در قسمت Propertiesش میرم و گذینه زیر را انتخاب می کنم می بینم مخزن OCSP به درستی بر روی Certificateها اعمال شده
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

الان این Certificate را در درایو C به نام Client-01 اکسپورت می کنم و توسط دستور زیر:
certutil –URL c:\client-01.cer
ابزار URL Retrieval Tool را اجرا می کنم و OCSP را تست می کنم که در تصویر زیر
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

مشاهده می کنید که کلاینت اطلاعات Revocation این Certificate را با موفقیت از OCSP بدست آورد.
الان این Certificate را Revoke می کنم و اطلاعات Revocation را Publish می کنم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

دوباره تست می کنم
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

این از این. خب در آخر باید به این هم اشاره کنم که شما می توانید سرور OCSP را تنظیم کنید.تنظیماتی از قبیل Auditing و Security و همچنین تعداد Entry های که باید Cache شوند و غیره
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

قسمت Audit را حتما تنظیم کنید تا در مواقع اضطراری بتوانید با رجوع کردن به Event Viewer مشکل را حل کنید. درضمن برای اینکار حتما Audit object access را در Group Policy فعال کنید.همچنین می توانید Revocation Configuration را هم تنظیم کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

برای یاد گرفتن این تنظیمات و همچنین کارائی آنها به لینکی که در آخر ضمیمه می کنم رجوع کنید. (برای جلوگیری از طولانی نشدن مقاله از آموزش آنها خود داری می کنم).در آخر هم اینو بگم که مباحثم تکمیل بشه. برای تنظیم کردن OCSP از راه دور شما باید ابزار Remote Administration tools را بر روی کامپیوتر مقصد نصب کنید و دو رول زیر را در فایروال بر روی سرور OCSP فعال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

در آخر باید بگم دوستان و همکاران عزیز. سعی کنید تمام قسمتهای این سلسله های آموزشی را درک و تمرین کنید. حفظ کردن این مطالب هیچ کمکی به شما نمی کند بلکه همه چیز را پیچیده می کند. در این آموزشها سعی کردم مباحث و مطالب اولیه هر قسمت را تا حدودی در آموزش های قبلی بیان کنم تا آمادگی این را داشته باشید که مطالب اینده را با درک بهتر و با دیدی بازتر یاد بگیرد. از اساتید خواهشمندم اگر کمی و کاستی یا اشتباهی در انتقال این آموزشها می ببیند حتما ذکر بدن تا در آموزش های بعدی لحاظ شود. با تشکر از همه شما.
منبع:

Online Responder Installation, Configuration, and Troubleshooting Guide

https://technet.microsoft.com/en-us/library/cc770413(v=ws.10).aspx

موفق و پیروز باشید.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#نصب_سرویس_ocsp #راه_اندازی_Certificate_Authority #آموزش_راه_اندازی_pki #آموزش_راه_اندازی_pki_در_مایکروسافت #سرتیفیکت_سرور #آموزش_راه_اندازی_certificate_authority #آموزش_راه_اندازی_ca_در_مایکروسافت #PKI_در_مایکروسافت #طراحی_ساختار_PKI #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
13 نظر
حمید تهرانی

سلام

من DC و CA و OCSP را در محیط آزمایشگاهی روی یک سرور راه اندازی می کنم.

زمانیکه OCSP را نصب می کنم و در Browser آدرس را وارد می کنم The website Cannot display the page می دهد.در قسمت pkiview.msc هم Error میگیرم و آدرس خالی از محتواست.تنظیمات DNS هم انجام می دهم.

قسمت زیر هم برام روشن نیست لطفا توضیح دهید چطور؟

خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم

احمد جهلولی

من DC و CA و OCSP را در محیط آزمایشگاهی روی یک سرور راه اندازی می کنم.

کار اشتباهیه.

زمانیکه OCSP را نصب می کنم و در Browser آدرس را وارد می کنم The website Cannot display the page می دهد.در قسمت pkiview.msc هم Error میگیرم و آدرس خالی از محتواست.تنظیمات DNS هم انجام می دهم.

AIA/CDP Extensions را بدرستی تنظیم کنید OCSP تنظیمات Revocation را از این مخازن دریافت می کند.

Revocation Configuration و بقیه پارامترها را دقیق و درست تنظیم کنید. بر اساس سناریوی فوق پیش برید.

خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم

از لینکی که در بالا گذاشتم استفاده کنید.

حمید تهرانی

خوب به ازای جز جز سرویس ها اگه یک سرور بخواهم راه بندازم تعداد سرور هام بی حساب زیاد میشود.

حالا اگر دونه دونه سرویس ها را روی سرور های جدا نصب کنم مشکل حل میشه؟

AIACDP Extensions را بدرستی تنظیم کردم لینک http:ocsp.mycity.localocsp را هم داخل AIA اضافه کردم ،مو به مو طبق آموزش

(OCSP تنظیمات Revocation را از این مخازن دریافت می کند )این جمله به این معنی هست زمانیکه ما آدرس http://ocsp.mycity.local/ocsp را می زنیم نباید هیچ صفحه ای باز شود؟

Revocation Configuration و بقیه پارامتره تنظیم شده و تیک سبز My City Domain OCSP را هم گرفتم.اما باز هم در pkiview.msc اررور دارم.

منظور از لینک بالا اگهWorkStation Authentication Certificate " است که چیزی در باره Enroll کردن نگفته بود.اگر هم که منظور سایت Technet هست که کلا یک برسیش کردم.

تو قسمت پنجم مقاله بخش Troubleshooting the Online Responder طریقه Enroll کردن یک Certificate را گذاشتیت .استنباط من این بود که کلا منظور از Enroll کردن همون است.درسته؟

احمد جهلولی

خوب به ازای جز جز سرویس ها اگه یک سرور بخواهم راه بندازم تعداد سرور هام بی حساب زیاد میشود.

اگه امکانش باشه OCSP را روی سیستم دیگری راه اندازی کنید.

AIACDP Extensions را بدرستی تنظیم کردم لینک http:ocsp.mycity.localocsp را هم داخل AIA اضافه کردم ،مو به مو طبق آموزش (OCSP تنظیمات Revocation را از این مخازن دریافت می کند )این جمله به این معنی هست زمانیکه ما آدرس http:ocsp.mycity.localocsp را می زنیم نباید هیچ صفحه ای باز شود؟ Revocation Configuration و بقیه پارامتره تنظیم شده و تیک سبز My City Domain OCSP را هم گرفتم.اما باز هم در pkiview.msc اررور دارم.

دوست عزیز این نشون میده که شما تمام آموزشها را نخواندید. مقدمه این قسمت انجام تنظیمات IIS می باشد این مراحل را می توانید در قسمت سوم مطالعه کنید. علاوه بر آن شما باید ابشن Directory Browsing را هم فعال کنید که در قسمت دهم بهش اشاره کردم.

خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم

منظور از صادر کردن این سرتیفیکت تست کردن OCES هستش. شما می توانید هر Certificate را بر روی Clinet ها Enroll کنید و توسط ابزار URL Retrieval Tool آن را تست کنید.

اگر دیر جواب دادم منو ببخشید خیلی مشغول بودم.

موفق باشید

امیرحسین کریم پور

سلام.

CA سرور رو در کنار DC نباید نصب کنیم؟من Stand-alone CA راه اندازی کردم اینطوری نمیشه Templateها رو مدیریت کرد.من کمی گیج شدم ...

احمد جهلولی

CA سرور رو در کنار DC نباید نصب کنیم؟

به هیچ وجه مطرح نیست می توانید نصب کنید.

من Stand-alone CA راه اندازی کردم اینطوری نمیشه Templateها رو مدیریت کرد.

خیر در مد Stand-alone شما چیزی به نام Certificate template ندارید. (بخاطر اینکه Template ها در Configuration partition اکتیو دایرکتوری ذخیره می شوند و Stand-alone در محیط Active directory کار نمی کند)

تفاوت های که بین enterprise ca و stand-alone وجود دارد را با دقت بخوانید و درک کنید.

امیرحسین کریم پور

اکی حل شد.

با Credential ادمین لاگین کردم اجازه نصب Enterprise CA رو بهم داد ...

امیرحسین کریم پور

OCSP سرور رو باید جدا از CA سرور راه اندازی کنیم؟

احمد جهلولی

CA سرور رو در کنار DC نباید نصب کنیم؟من Stand-alone CA راه اندازی کردم اینطوری نمیشه Templateها رو مدیریت کرد.من کمی گیج شدم ...

اکی حل شد.

با Credential ادمین لاگین کردم اجازه نصب Enterprise CA رو بهم داد ...

هر چی به سوال و جواب شما نگاه می کنم ربطی بین اونا نمی بینم!!!!!

در داکیومنتها ندیدم که OCSP را با CA Server نصب کنند. بهتره جدا باشه.

امیرحسین کریم پور

در داکیومنتها ندیدم که OCSP را با CA Server نصب کنند. بهتره جدا باشه.

پس با این حال تو سروری که OCSP Responder رو نصب میکنم نباید Certificate Authority رو نصب کنم؟ینی فقط OSCP Responder رو باید نصب کنم؟

امیرحسین کریم پور

خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم.

این مورد رو چجوری تست کردین؟

احمد جهلولی

وقتی OCSP را تنظیم کردید یک Certificate صادر کنید ببینید URL مربوط بر روی آنها ست شده یا نه. مانند تصویر بالا.

بعد از آن یک Certificate در درایو..... ذخیره کنید و با ابزار URL Retrieval Tool آن را تست کنید. همین

این نظر توسط امیرحسین کریم پور در تاریخ دوشنبه, 12 فروردین 1398 حذف شده است.

دلیل: لطفا از گزینه سئوال بپرسید برای مطرح کردن سئوال خود استفاده کنید. سپاسگذارم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....