در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5

در این قسمت قصد دارم مباحث تکمیلی Online Responder و مباحث CRL را توضیح بدم.

Configuring Custom OCSP URIs via Group Policy


با یک سوال شروع می کنم. کلاینتها از کجا متوجه می شوند برای برسی وضعیت Certificateها به کجا رجوع کنند؟؟ درسته کلاینتها به تنظیمات CDP, AIA and OCSP رجوع می کنند. خب مکانیزم متصل شدن به این تنظیمات را از کجا بدست می آورند؟؟؟؟ نمی دونم جوابتون چیه ولی امیدوارم بگید از طریق اطلاعاتی که در Certificate ذخیره شده است این تنظیمات را بدست می آورند. شما بعد از تنظیم کردن CDP, AIA and OCSP در ساختار این اطلاعات به Certificateها اضافه می شود و کلاینتها با چک کردن اطلاعات Certificate به این اطلاعات دسترسی پیدا می کنند.

یک سوال دیگه!!! Certificateهای که قبل از ایجاد این تنظیمات به Subjectها صادر شده اند چی؟؟؟ ایا آن Subjectها می توانند به این اطلاعات دسترسی داشته باشند؟؟ جواب منفی هستش. بخاطر همین توصیه شده قبل از هر گونه صادر کردن Certificate مقادیر بالا را تنظیم کنید. ولی خوشبختانه با آمدن Windows Vista و Windows Server 2008 تنظیماتی در Group Policy اضافه شده که می توان URL سرویس OCSP را به کلاینتهای سازمان اعمال کرد. و دیگر نگران Certificateهای که قبل از ایجاد تنظیمات OCSP صادر شدند نباشید. برای اینکه URL سرویس OCSP را بوسیله Group Policy به کلاینتها اعمال کنیم مراحل زیر را دنبال کنید:


قدم اول Export کردن CA Certificate می باشد برای اینکار:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

و CA Certificate را ذخیره کنید. و بعد از آن اعمال تنظیمات GP بر روی کل Domain.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

میسر زیر را طی کنید:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته: اگر Issuing CA شما Root CA نباشد باید این تنظیمات را بر روی Intermediate Certification Authorities انجام دهید.بعد از تعیین کانتینر اعمال تنظیمات، بر روی کانتینر مورد نظر راست کلیک کنید و گذینه Import را کلیک کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

بعد از آن Wizardی ظاهر می شود که شما باید CA Certificateی که در مرحله قبل آن را Export کردید را Import کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

بعد از Import کردن CA Certificate وارد کانتینری که این تنظیمات را بر روی آنجام دادید شوید و بر روی CA Certificate راست کلیک کنید و گذینه Properties را کلیک کنید
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

و قدم آخر اضافه کردن URL سرویس OCSP می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته: اگر می خواهید کلاینتها از لیست CRLاستفاده نکنند و فقط از OCSP استفاده کنند تیک Disable Certificate… را تیک بزنید که توصیه شده نیست.بعد از اعمال شدن این Policy همه کلاینتها علاوه بر تنظیمات CDP از OCSP نیز استفاده می کنند.

Troubleshooting the Online Responder


بعضی مواقع پیش میاد که Revocation Configurationی که در OCSP ایجاد کردید از کار می افتد و علامت قرمز رنگی جلوی آن ظاهر می شود. در چنین شرایطی اگر کلاینتی وضعیت Certificate را از OCSP درخواست دهد نتیجه عملیات Fail می شود. اگر به Event Viewer مراجعه کنید مشاهده می کنید Errorی ثبت شده که علت این مشکل را توضیح داده:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

با سرچی که در Internet انجام دادم متوجه شدم علت این مشکل نبود سرتیفیکت OCSP Response Signing در Personal Store در سرور OCSP می باشد. برای حل این مشکل ساده دوباره آن Certificate را Enroll کردم و مشکل حل شد. برای Enroll کردن این Certificate مراحل زیر را دنبال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

مشکل حل شد. توضیحات بیشتر در مورد این مشکل را می توانید در لینک زیر مطالعه کنید:
https://technet.microsoft.com/en-us/library/dd299794(v=ws.10).aspx
نکته دیگری که اهمیت زیادی دارد مدت زمانی هستش که OCSP اطلاعات Revocation را از مخازن CDP بدست می آورد. بصورت پیش فرض این مدت زمان بر اساس مدت زمانی می باشد که بر روی Base CRL and Delta CRL ست شده است. که بصورت پیش فرض Base CRL یک هفته می باشد و Delta CRL دو روز. من می خواهم تنظیمی انجام دهم که این اطلاعات هر 5 ساعت یکبار بر روی OCSP ابدیت شود.
برای این منظور:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته دیگری که حائز اهمیت هستش Cache شدن لیست CRL در کلاینتها می باشد. ( در سازمانهای که از OCSP استفاده نشود) وقتی لیست CRL در کلاینتی Cache می شود تا یک هفته این اطلاعات بر روی آن کلاینت باقی می ماند و کلاینت در این مدت زمان برای چک کردن وضعیت Certificate از کش خود استفاده میکند. بعضی وقتا به دلایلی شما Certificateی را باطل می کنید ولی کلاینتها از وضعیت این Certificate تا بعد از Expire شدن کش اطلاعی ندارند. آیا راه حلی وجود دارد که بتوانم این Cache را پاک کنم تا کلاینتها بتوانند جدیدترن لیست CRL را از CA دانلود کنند؟؟؟ بله شما می توانید با دستور زیر CRL Cache یک سیستم را پاک کنید:
certutil -urlcache crl delete
برای اطلاع بیشتر:

Forcing the Expiration of Locally Cached Certificate Revocation Lists

http://windowsitpro.com/security/forcing-expiration-locally-cached-certificate-revocation-lists

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#راه_اندازی_Certificate_Authority #آموزش_راه_اندازی_pki_در_مایکروسافت #سرتیفیکت_سرور #راه_اندازی_سرویس_online_responder #آموزش_راه_اندازی_certificate_authority #آموزش_راه_اندازی_ca_در_مایکروسافت #PKI_در_مایکروسافت #سرور_ocsp #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....