در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7

در قسمتهای قبلی اشاره کردیم که چرا یک Certificate باید مدت زمان داشته باشد. وقتی Subjectی سرتیفیکیتی برای او صادر می شود سه پارامتر زیر را بر روی آن چک می کند:
  • باطل بودن Certificate
  • مدت زمان اعتبار این Certificate
  • آیا CAی که این Certificate را صادر کرده معتبر می باشد؟
قانونی در زیر ساخت کلید عمومی وجود دارد که اگر CA’s Certificate منظورم سرتیفیکت خود CA Server مدت زمان اعتبار آن به پایان برسد تمام Certificateهای صادر شده آن باطل خواهد شد. این قانون شامل Root CA, Subordinate CA and Issuing CA می باشد.Certificateها بسته به نوع آنها مدت زمان خاصی برای خود دارند که در جدول زیر آنها را مشاهده می کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


مدت زمان Certificateها در یک ساختار سلسله مراتبی می تواند متفاوت باشد و این تفاوت به مدت زمان Root CA’s Certificate بستگی دارد. مثال می زنم: فرض کنید در حین نصب Root CA مدت زمان CA’s Certificate آن را بر روی 5 سال تنظیم می کنیم. وقتی Root CA قصد داشته باشد Certificateی به subordinate CA صادر کند مدت زمان آن Certificate زیر 5 سال می باشد به عنوان مثال دو سال. پس در سه سال اول هر Certificateی از Root CA صادر شود مدت زمان اعتبار آن Certificate دو سال می باشد. وقتی که سه سال اول تمام شد Root CA مدت زمان اعتبار Certificate ها را کاهش می دهد. تا به 4.5 برسد که در این صورت Certificate ها زیر 6 ماه صادر خواهند شد.

قانون دوم


هیچ CA Server در دنیا وجود ندارد که Certificateی صادر کند که مدت زمان آن Certificate بیشتر از مدت زمان CA’s Certificate باشد.با توجه به تعاریف بالا باید مکانیزمی وجود داشته باشد که قبل از Expire شدن Certificate آن را از نو ایجاد کرد (Renew) ما کلا به دو دلیل Certificateها را Renew می کنیم: (این مسئله را با علت وجود مدت زمان بر روی Certificate اشتباه نگیرید).
  • جلوگیری از Expire شدن Certificateها.
  • جلوگیری از صادر شدن Certificateها با مدت زمان کوتاه.
Renew کردن CA’s Certificate تاثیر مستقیمی بر روی نحوه اعتبار سنجی CA Server توسط کلاینتها دارد. بهتراست با یک سوال شروع کنیم:

با Renew کردن Root CA’s Certificate چه اتفاقاتی بر روی کلاینتها و Subordinate CA می افتد؟

قبل از جواب دادن به این سوال باید عرض کنم موقع Renew کردن یک Certificate ما دو روش مهم برای این کار داریم:
  • Renew کردن Certificate با کلید قبلی.
  • Renew کردن Certificate با ایجاد دو کلید جدید.
در مواقعی که ما از روش اولی استفاده کنیم هیچ اتفاق و واکنش خاصی بر روی ساختار PKI نمی افتد و مانند قبل ساختار PKI به کار خود ادامه می دهد. ولی اگر در پروسه Renew کردن ما یک جفت کلید جدید ایجاد کنیم واکنشهای زیر اتفاق می افتد و مدیر ساختار PKI باید از آنها با خبر باشد.برای اینکه کلاینتها به یک CA Server اعتماد داشته باشند باید CA’s Certificate آن CA بر روی کلاینت ذخیره شود و از این به بعد Certificate های صادر شده از این CA را با CA’s Certificate مقایسه و اعتبار سنجی می شوند. پس در نتیجه هر Certificate به CA’s Certificate متصل و اعتبار سنجی می شود. چگونه یک Client می تواند به CA’s Certificate دسترسی داشته باشد؟ و Certificateها چگونه با CA’s Certificate اعتبار سنجی شوند؟ بوسیله سه پارامتر زیر:

  1. Subject Key Identifier
  2. Authority Key Identifier
  3. Authority Information Access

SKI حاوی یک KeyID می باشد که متعلق به Public key روت CA می باشد و بصورت هش رمزگذاری شده است. این KeyID بصورت اتوماتیک به فیلد AKI اضافه می شود.
  • نکته: فیلد AKI بر روی هر Certificateی که CA صادر می کند اعمال می شود.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


و AIA هم شامل مخازنی مانند LDAP and URL می باشد که محل دانلود CA’s Certificate را مشخص میکند.پس نتیجه گیری می کنیم کلاینتها بوسیله AIA به CA’s Certificate دسترسی و آن را دانلود می کنند و بوسیله SKI and AKI که بر روی Certificateها تعبیه شده خود را با CA’s Certificate مقایسه و اعتبار سنجی می کنند. وقتی ما CA’s Certificate را با یک حفت کلید جدید Renew کنیم یک Certificate کاملا جدید با پارامترهای SKI and AKI جدید ایجاد می شود. با این شرایط تکلیف Certificateهای قبلی و عملیات Validation چه خواهد شد؟؟؟ در این صورت همه Certificateهای قبلی باید باطل شوند و کلاینتها باید دوباره CA’s Certificate را دانلود کنند و بر روی خود اعمال کنند!!!!!!!!!!! برای حل این مشکل Windows بصورت اتوماتیک دو Certificate ایجاد می کند یک Certificate که بوسیله CA’s Certificate قدیمی Sign شده و CA’s Certificate جدید را تصدیق و معتبر می کند. و Certificate دوم که بوسیله CA’s Certificate جدید Sign شده و CA’s Certificate قدیمی را تصدیق و معتبر می کند. نمی خوام بیشتر از این ریز بشم ولی کلا اگر یک Certificate قدیمی بخواهد مدت زمان خود و اعتبار خود را چک کند به Ca's Certificate قدیمی متصل می شود که این Certificate مستقیما به Certificate جدید وصل می باشد و برعکس. و به لطف این دو Certificate، سرتیفیکتهای قدیمی وجدید می توانند به کار خود ادامه دهند.لیست این Certificate ها را می توانید در مسیر زیر پیدا کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


وقتی این دو Certificate ایجاد شد بصورت اتوماتیک در مخازن AIA اپلود می شوند و بر روی کلاینتها Distribute می شوند و در Intermediate and Trusted Root CA certificate store ذخیره خواهند شد.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


بخاطر داشته باشید PKI Client ها فقط در زمانvalidation از این Certificateها استفاده می کنند. و یکی از این Certificate ها در Intermediate و Trusted Root CA certificate store ذخیره خواهد شد.پس شما به عنوان یک مدیر PKI باید همیشه به این توجه داشته باشید که این Certificate ها بر روی PKI Client Domain-Joined and Non-Domain Joined اعمال بشه و در مخازن AIA وجود داشته باشند. و کلاینتها بتوانند به URLهای تعریف شده در AIA دسترسی داشته باشند و اما Renew کردن Root CA’s Certificate: برای اینکار:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


اگر می خواهید از همان کلید قبلی استفاده کنید گذینه No را انتخاب و Ok کنید. ولی اگر می خواهید یک کلید خصوصی و عمومی جدید ایجاد کنید گذینه Yes را انتخاب و Ok کنید.طبق گفته بالا در مواقعی کلید جدید ایجاد کنید که کلید های قبلی CA سرور در معرض خطر باشد. نکته: Renew کردن Certificate پروسه ی هستش که بیشتر بر روی Root CA and Subordinate CA ها انجام میشه نه بر روی هر Certificateی که CA صادر می کند. ناگفته نماند که Renew کردن Certificate ها بر روی کلاینتها بصورت اتوماتیک انجام می شود (به لطف GPO)

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


یا خود کاربر می تواند این پروسه را انجام دهد (به شرطی که مجوز اینکار را داشته باشد)

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


در هنگام ایجاد Certificate Template شما می توانید مدت زمان اعتبار این Certificate و همچنان مدت زمانی که سرتیفیکت Renew می شود را تعیین کنید. و همچنان می توانید از قابلیت جدیدی که در Windows Server 2012 ایجاد شده Certificate را با کلید قبلی Renew کنید.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم


اجازه بدید اخر این مقاله را با یک سوال تموم کنم: ایا با Renew کردن Root CA’s Certificate نیازی به Renew کردن Subordinate CA هست یا نه؟؟؟؟

موفق و پیروز باشید

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#راه_اندازی_Certificate_Authority #certificate_services_به_زبان_ساده #آموزش_راه_اندازی_pki #آموزش_certificate_authority_server #آموزش_راه_اندازی_pki_در_مایکروسافت #مقایسه_Enterprise_و_Standalone_CA_ها #راه_اندازی_CA_مایکروسافتی #آموزش_راه_اندازی_certificate_authority #PKI_در_مایکروسافت #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
1 نظر
امیرحسین کریم پور

ایا با Renew کردن Root CA’s Certificate نیازی به Renew کردن Subordinate CA هست یا نه؟؟؟؟

جواب نه هست؟

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....