در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10

در قسمت قبلی ما توضیحاتی درباره ساختار PKI بصورت سلسله مراتبی دادیم و در این قسمت می خواهیم بصورت عملی این ساختار را پیاده سازی کنیم پس با ما همراه باشید.
نکته: بدون مطالعه کردن قسمت های قبلی درک مطالب این قسمت میسر نیست.
ساختار کلی سناریوی ما بصورت زیر می باشد:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم



تنظیمات اولیه Web Server


اولین قسمت در پیاده سازی این سناریو نصب DC و سرویس DNS می باشد. بعد از نصب این دو سرویس باید IIS را قبل از نصب هر گونه CA Server نصب کنید. چون Web Server اطلاعات AIA and CDP کل ساختار را نگهداری می کند.
بعد از نصب IIS شما باید کارهای زیر را بر روی Web Server انجام دهید:
  1. ایجاد فولدری به نام CertEnroll بر روی Web Server و Share کردن آن.
  2. مجوز دادن Full به گروه Cert Publishers و Everyone در Share Permission بر روی این فولدر.
  3. دادن مجوز Full به گروه Cert Publishers در Security Permission و مجوز Read & Execute و list folder… به گروه Everyone
  4. بعد از انجام مراحل بالا کارهای زیر را بر روی IIS انجام دهید:
  5. ایجاد یک Virtual Directory به نام CertEnroll در IIS.
  6. دادن مجوز به گروه های ANONYMOUS LOGON بر روی این فولدر در کنسول IIS
  7. فعال کردن گذینه Allow double escaping در Request Filtering
  8. فعال کردن ابشن Directory Browsing.
انجام مراحل فوق را می توانید در قسمت سوم از سلسله آموزش های این مجموعه پیگیری کنید.
فقط لازمه بگم وقتی شما IIS را بر روی خود CA سرور نصب کنید گاهی وقتا پارامترهای AIA and CDP بخوبی کار نمی کنند و Unable to Download را نشان می دهند که برای رفع این مشکل باید Directory Browsing را فعال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم



ایجاد Alias CNAMEبرای پارمترهای AIA/CDP


بعد از انجام مراحل فوق ما باید یک Alias CNAME برای پارامترهای AIA/CDP ایجاد کنیم.
در این سناریو این Alias CNAME بصورت زیر می باشد:
http:// PKI.Mahshaher.Com
این Alias CNAME به Web Server اشاره دارد که در این سناریو IP آن می شود 192.168.100.103
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم



نصب Standalone Offline Root CA


در این مرحله باید Root CA را نصب کنیم. برای اینکار به Server Manager رجوع کنید و این سرویس را بصورت Stand-alone نصب کنید. در حین نصب شما باید مدت زمان Root Ca’s Certificate را مشخص کنید که در این سناریو بر روی 20 سال تنظیم شده است.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

نکته: برای نصب این سرویس به قسمت دوم این سلسله آموزشی رجوع کنید.
بعد از نصب Root CA یکسری تنظیماتی هستش که شما باید آنها را انجام دهید. این تنظیمات شامل:
  1. کپی کردن Root CA’s Certificate and Root CRL list به پوشه CertEnroll
  2. تنظیم کردن پارمترهای ValidityPeriodUnits و ValidityPeriod
  3. Map کردن اسم Forest به Root CA.
  4. تنظیم پارامترهای AIA and CDP
  5. تنظیم کردن CRLPeriod
در مرحله اول باید اسم Forest را به این Root CA مپ کنیم برای اینکار دو دستور زیر را با مجوز Administrator اجرا کنید:
Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=mahshaher,DC=local"
certutil -setreg ca\DSDomainDN “DC=DC,DC=mahshaher,DC=local”
ما از اسم های این سناریو استفاده کردیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

بعد از آن سرویس adcs را ریستارت کنید.
قدم بعدی تنظیم تنظیم کردن پارمترهای ValidityPeriodUnits و ValidityPeriod می باشد. تا جائی که من دیدم در بیشتر آموزشهای فارسی این دو پارامتر را از قلم می اندازند. خب این دو پارامتر چی هستن؟؟؟
CA Server وقتی بصورت Stand-alone نصب می شود Certificateها را با مدت زمان یک سال صادر می کند (Lifetime Certificate) و وقتی که یک سال این Certificate به اتمام رسد شما باید این Certificate را Renew کنید که مستلزم Online کردن Root CA می باشد. فکر نکنم کس باشه که دوست داره هر سال Root CA را انلاین کنه؟ پس در نتیجه ما باید به Root CA بگیم که Certificateها را با طول عمر بیشتری صادر کند. در این سناریو ما این پارامتر را بر روی 10 سال ست می کنیم. برای اینکار دو دستور زیر را بر روی Root CAاجرا کنید:
Certutil -setreg CA\ValidityPeriodUnits 10
Certutil -setreg CA\ValidityPeriod "Years"
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

سرویس adcs را ریستارت کنید.
قدم بعدی باید AIA/CDP را تنظیم کنیم. (در تنظیم این دو پارامتر نهایت دقت را به خرج دهید)
برای تنظیم AIA از دستور زیر استفاده کنید:
certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pki.mahshaher.com/CertEnroll/%1_%3%4.crt"
برای تنظیم CDP از دستور زیر استفاده کنید:
certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:http://pki.mahshaher.com/CertEnroll/%3%8%9.crl"
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید. (تنها پارامتری که در این دستورات نیاز دارید تعقیر دهید فقط http می باشد. تا اخر این آموزش اینو یادتون باشه)
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در آخر سرویس adcs را ریستارت کنید. دوستان دو دستور بالا دو مخزن در CDP and AIAایجاد می کند:
  1. مخزنی که بر روی Root CA ذخیره شده است.
  2. و مخزنی که بصورت http و به Alias CNAME که قبلا ایجاد کردیم اشاره دارد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در نهایت شما باید مقدار CRLPeriod را تنظیم کنید. CRLPeriod چی هستش؟؟؟
شما بوسیله این پارامتر تعیین می کنید کی و چه وقت لیست CRLمربوط به Root CA اکسپایرشود. (با Expire شدن این لیست Root CA باید Online شود و دوباره CRL را رفرش کند.)
برای تنظیم این مقدار از کانتینر Revoked Certificate یک Properties بگیرید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

همانطور که می بینید بر روی 10 سال ست کردیم تا هر 10 سال یکبار CRL این CA اکسپایر شود. پس چرا Delta CRL را غیرفعال کردیم؟؟؟ کار Delta CRL چی بود؟؟؟
اخرین تعقیراتی که پس از انتشار Base CRL ایجاد می شد را در خود نگهداری می کند. و چون Root CA به CA Serverهای محدودی Certificate صادر می کند و هر 10 سال یک بار لیست Base CRL را منتشر میکند. فعال کردن این گذینه معقول نیست.
بعد از انجام مراحل بالا لیست CRL را بوسیله مراحل زیر منتشر یا Publish کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

مهمترین مرحله:
محتویات پوشه زیر را در پوشه CertEnroll در Web Server کپی کنید.
C:\Windows\System32\CertSrv\CertEnroll
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

خب الان Root CA را بگذارید روشن باشه بریم سراغ پیکربندی Intermediate CA


نصب Standalone Offline Intermediate CA


مراحل نصب این سرویس مانند Root CA می باشد با این تفاوت که مدت زمان Intermediate CA’s Certificate بر روی 10 سال (در این سناریو) ست می شود. و یک درخواست برای Root CA ایجاد می شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

Next کنید و Setup را به پایان برسونید. مراحلی که شما باید در Intermediate CA انجام دهید:
  1. کپی کردن Intermediate CA’s Certificate and it’s CRL list به پوشه CertEnroll
  2. نصب Root CA’s Certificate and Root CA CRL list بر روی Intermediate CA
  3. تنظیم کردن پارمترهای ValidityPeriodUnits و ValidityPeriod
  4. Submitکردن درخواست Intermediate CA به Root CA
  5. مپ کردن Forest name بر روی Intermediate CA
  6. تنظیم پارامترهای AIA and CDP
  7. تنظیم CRLPeriod
در اولین قدم Root CA’s Certificate و Root CA CRL را بر روی Intermediate CA کپی کنید و در مسیری که این فایلها را کپی کردید دستورات زیر را اجرا کنید:
certutil -addstore -f root "Root-CA_Mahshaher-Root-CA.crt"
certutil -addstore -f root "Mahshaher-Root-CA.crl"
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

قدم دوم مپ کردن Forest name بر روی Intermediate CA می باشد.
Certutil -setreg CA\DSConfigDN "CN=Configuration,DC=mahshaher,DC=local"
certutil -setreg ca\DSDomainDN “DC=DC,DC=mahshaher,DC=local”
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید.
قدم بعدی تنظیم کردن پارمترهای ValidityPeriodUnits و ValidityPeriod
Certutil -setreg CA\ValidityPeriodUnits 5
Certutil -setreg CA\ValidityPeriod "Years"
در Root CA این مقدار را ما بصورت 10 سال تنظیم کردیم ولی در Intermediate CA ما Certificate را با طول عمر 5 سال به Issuing CA صادر می کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

قدم بعدی تنظیم پارامترهای AIA and CDP می باشد.
(AIA)

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:http://pki.mahshaher.com/CertEnroll/%1_%3%4.crt"
(CDP)

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n10:http://pki.mahshaher.com/CertEnroll/%3%8%9.crl"
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

فک نکنم توضیح خاصی بخاد. قدم بعدی تنظیم CRLPeriod می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

توضیح دادم
قدم بعدی Publish کردن CRL می باشد. برای اینکار همانند Root CA از کانتینر Revoked Certificates یک Properties بگیرید و گذینه Publish را کلیک کنید و در آخر New CRLرا انتخاب و OK کنید.
مهمترین مرحله:
به مسیر زیر بروید و محتویات آن را در پوشه CertEnroll که بر روی Web Server می باشد کپی کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آخرین مرحله Submit کردن درخواست Intermediate CA به Root CA می باشد.
هنگام نصب Intermediate CA در مراحل Setup که در بالا نشان دادم یک درخواست در درایو C بر روی Intermediate CA ایجاد شد. این فایل را به Root CA منتقل کنید.
بر روی Root CA مراحل زیر را انجام دهید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

فایلی که در Root CA کپی کردید را به بهش معرفی کنید. بعد از Open کردن یک Certificate در کانتینر Pending ایجاد می شود. آن Certificate را Issue کنید. (اگر با این مراحل اشنائی ندارید به آموزش های قبلی رجوع کنید)
وقتی Certificate را Issue کردید به کانتینر Issuing Certificates بروید و آن Certificateرا با کلید خصوصی Export کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در تصویر بالا سرتیفیکتهای که با Request ID=4,5 هستن ذهن شما را مشوش نکنند. اینها مربوط به تمرین های من هستتش که خواستم تاثیراتی که بعد از Renew کردن Root CA’s Certificate اتفاق می افتد را ببینم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

وقتی که Certificate را Export کردید آن را به Intermediate CA منتقل کنید.
بعد از انتقال، مراحل زیر را در Intermediate CA انجام دهید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

بعد از انتخاب Install CA Certificate باید فایلی که کپی کرید را معرفی و Ok باید بدون هیچ مشکلی Intermediate CA استارت شود. در این مرحله می توانید با خیال راحت Root CA را خاموش کنید. بریم برای تنظیم Issuing CA


نصب Enterprise Mahshaher-Issuing-CA


این سرویس را در مد Enterprise و بصورت Subordinate نصب کنید. و مدت زمان CA’s Certificate آن را بر روی 5 سال ست کنید. (در این سناریو)
نکته: فقط سروری که به دومین Join شده یا بر روی خود DC است می تواند بصورت Enterprise نصب شود.
در پروسه نصب باید محل ذخیره سازی درخواستی که برای Intermediate CA ایجاد می شود را مشخص کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

Next کنید و Setup را کامل کنید. کارهای که باید در Mahshaher-Issuing-CA انجام دهیم:
  1. نصب Root CA’s Certificate و Root CA CRL بر روی Issuing CA
  2. کپی کردن Mahshaher-Issuing-CA’s Certificate به پوشه CertEnroll
  3. Publish کردن Root CA’s Certificate در کل Forest
  4. Submit کردن درخواست Issuing CA به Intermediate CA
  5. Publish کردن CRL List
  6. تنظیم کردن AIA/CDP
ما چنتا کار که قبلا بر روی Root CA and Intermediate CA انجام می دادیم را تنظیم نمی کنیم. می دونید چرا؟؟؟؟
نیازی به مپ کردن اسم Forest نداریم چون داریم CA را بر روی DC و در محیط دومین نصب می کنیم.
نیازی به تنظیم کردن پارمترهای ValidityPeriodUnits و ValidityPeriod نیست چون این مقادیر در خود Template Certificate تنظیم می شوند
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

نیازی به تنظیم کردن CRLPeriod نیست چون این Issuing CA می باشد و با کاربر در تعامل می باشد و شاید روزانه چندین Certificate بنا به دلایلی باطل شود. در نتیجه تنظیمات پیش فرض آن مناسب می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

خب اولین کارمون نصب Root CA’s Certificate و Root CA CRL در Issuing CA می باشد. برای اینکار دستورات زیر را اجرا کنید:
certutil -addstore -f root "Root-CA_Mahshaher-Root-CA.crt"
certutil -addstore -f root "Mahshaher-Root-CA.crl"
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید.
قدم دوم Publish کردن Root CA’s Certificate در کل Forest. برای اینکار از Group Policy استفاده کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

و Root CA’s Certificate را Import کنید.
قدم بعدی تنظیم کردن AIA/CDPمی باشد. برای اینکار دستورات زیر را بر روی Issuing CA اجرا کنید.
نکته: دستورات پایین با دستورات قبلی که بر روی Root CA and Inter.. اجرا می کردیم یکسان نیست. با اجرای دستورات زیر ما دو مخزن به علاوه مخازن موجود، اضافه خواهیم کرد. یک مخزن مربوط به LDAP هستش و یکی پوشه شیر CertEnroll که بر روی Web Server می باشد.
(AIA)

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.mahshaher.com/CertEnroll/%1_%3%4.crt"
(CRL)

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.mahshaher.com/CertEnroll/%3%8%9.crl\n65:file://\\dc.mahshaher.local\CertEnroll\%3%8%9.crl"
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید. (فقط پارامترهای http and file مربوط به سازمان خود را تعقیر دهید)
بعد از اجرای دستورات فوق سرویس adcs را ریستارت کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

قدم بعدی که خیلی مهمه کپی کردن Mahshaher-Issuing-CA’s Certificate به پوشه CertEnroll می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

حتما تعجب کردید که چرا CRL لیستها را کپی نکردیم؟؟؟؟ برای جواب این سوال باید به تصویر زیر نگاه کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در بالا ما در قسمت CRL Period تعریف کردم که بعد از گذشتن 1 هفته لیست CRL این CA Server را در مسیرهای بالا ذخیره کنه. ما در بالا چه مسیرهای داریم؟؟ http, Ldap and File پارمتر File به پوشه شیر شده CertEnroll اشاره دارد یعنی اگر ما الان CRL را Publish کنیم این لیستها بصورت اتوماتیک به این پوشه شیر شده کپی میشه. (فعلا چیزی رو Publish نکنید).
قدم بعدی Submit کردن درخواست Mahshaher-Issuing-CA به Intermediate CA می باشد.
به درایو C بروید و فایل درخواست این CA را به Intermediate CA منتقل کنید.
و مراحل زیر را در Intermediate CA انجام دهید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

بعد از کلیک کردن گذینه بالا پنجره ی باز می شود و از شما فایل در خواست Mahshaher-Issuing-CA را می خواهد. بعد از معرفی کردن فایل و Open کردن Certificateی در کانتینر Pending Certificates ایجاد می شود.آن را Issue کنید. بعد از Issue کردن این Certificate آن را به همراه کلید خصوصی آن Export کنید. و در نهایت فایل Export شده را به Mahshaher-Issuing-CA منتقل کنید. بعد از انتقال این Certificate، آن بر روی Mahshaher-Issuing-CA نصب کنید. (تمام این مراحل را با تصویر در قسمت Intermediate CA توضیح دادم)
در لحظه استارت شدن سرویس Mahshaher-Issuing-CA شاید با هشدار زیر رو به رو شوید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در حال حاضر این سرویس قادربه برسی لیستهای CRL سرورهای قبلی نیست. نگران نباشید و برای ادامه OK کنید. بعد از استارت شدن سرویس Issuing CA لیستهای CRL این سرویس را Publish کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

اگر در هنگام Publish کردن CRL هر گونه اخطاری دریافت کردید بدانید و آگاه باشید که D: پارامترهای CDP را بصورت صحیح تنظیم نکردید.
یه سری به پوشه CertEnroll که آن را شیر کردید بزنید و از کپی شدن لیست CRL این سرور مطمئن شوید.


نصب Enterprise Ahvaz-Issuing-CA


این سرویس را در مد Enterprise و بصورت Subordinate نصب کنید. و مدت زمان CA’s Certificate آن را بر روی 5 سال ست کنید. (در این سناریو)
کارهای زیر را بر روی این سرور انجام دهید:
  1. نصب Root CA’s Certificate بر روی Ahvaz-Issuing-CA
  2. Publish کردن Root CA’s Certificate در دومین Ahvaz.Mahshaher.Local
  3. تنظیم کردن مقادیر CDP/AIA
  4. Submit کردن درخواست Ahvaz-Issuing-CA به Intermediate CA
  5. انتقال Ahvaz-Issuing-CA’s Certificate and it’s CRL List به پوشه CertEnroll شیر شده بر روی Web Server.
بیشتر کارها که قراره بر روی این سرورانجام دهیم تکراریه ولی توضیح می دهم.
Root CA’s Certificate و Root CRL list را بوسیله دو دستور زیر بر روی Ahvaz-Issuing-CA نصب کنید.
certutil -addstore -f root "Root-CA_Mahshaher-Root-CA.crt"
certutil -addstore -f root "Mahshaher-Root-CA.crl"
برای Publish کردن Root CA’s Certificate در دومین Ahvaz.Mahshaher.Local از Group Policy استفاده کنید.
قدم بعدی تنظیم کردن مقادیر CDP/AIA
دودستور پایین مخازنی مانند Mahshaher-Issuing-CA در Ahvaz-Issuing-CA ایجاد می کند.
(AIA)

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://pki.mahshaher.com/CertEnroll/%1_%3%4.crt"
(CRL)

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://pki.mahshaher.com/CertEnroll/%3%8%9.crl\n65:file://\\dc.mahshaher.local\CertEnroll\%3%8%9.crl"
از پامترهای مخصوص سازمان خود در دستورات بالا استفاده کنید.فقط پارامترهای http and file مربوط به سازمان خود را تعقیر دهید.
بعد از اجرای دستورات فوق سرویس adcs را ریستارت کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

نکته مهم: در صورتی از پارمتر File در CDP استفاده کنید که ارتباط لایه دوبا دومین ماهشهر داشته باشید.
قدم بعدی Submit کردن درخواست Ahvaz-Issuing-CA به Intermediate CA
سه بار این پروسه را در این مقاله توضیح دادم فکر نکنم لازم باشه توضیح بدم که چکاری باید انجام دهید.
وقتی که سرویس این سرور ران شد Ahvaz-Issuing-CA’s Certificate را به پوشه CertEnroll در Web Server منتقل کنید.
الان لیست CRL را Publish کنید. باید مطمئن شوید لیستهای CRL این سرور در پوشه Certenrll کپی شده باشه. اینم پوشه CertEnroll ما در این سناریو:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

به احتمال زیاد پوشه شما Certificateها و لیستهای CRL کمتری نسبت به پوشه بالا داره. ( تست های زیادی انجام دادم که اینطور زیاد شدن D:
در این مرحله شما می توانید Intermediate CA را خاموش و از مدار خارج کنید.


نصب و تنظیم OCSP سرور


خب ما در این سناریو OCSP را در دومین Ahvaz.mahshaher.local نصب خواهیم کرد.
کارهای که ما باید بر روی این سرور انجام دهیم:
OCSP را به دومین ahvaz.mahshaher.local جوین کنید. (در این سناریو)
نصب سرویس OCSP
ایجاد A Record برای این سرویس در DNS Server
ایجاد سرتیفیکت تمپلیت OCSP Response Signing بر روی دو سرور Mahshaher-Issuing-CA و Ahvaz-Issuing-CA
ایجاد دو Revocation Configuration بر روی OCSP یکی برای Mahshaher-Issuing-CA و یکی برای Ahvaz-Issuing-CA.
ایجاد URL سرویس OCSP در تنظیمات مربوطه به AIA برروی هر دو سرور Mahshaher-Issuing-CA و Ahvaz-Issuing-CA
تمام مراحل فوق را من در قسمت چهارم از این سری آموزش توضیح دادم. به آن قسمت رجوع کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم



تست ساختار CA Hierarchy


ابزار pkiview.msc را در یکی از DC ها اجرا کنید و چک کنید تمام پارامترهای مربوط به AIA/CDP با وضعیت OK نشان داده شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در همان کنسول بالا بر روی Enterprise PKI راست کلیک کنید و گذینه Manage AD Containers را انتخاب کنید و پرامترهای زیر را چک کنید که در وضعیت OK باشند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

الان توسط ابزار زیر AIA, CDP and OCSP را چک کنید. (در مورد نحوه کار کردن این ابزار به قسمت چهارم این سری آموزش رجوع کنید.)
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

الان یک Windows 10 نصب و جوین یکی از دومین ها کنید و سعی کنید از دو Issuing-CA درخواست Certificate بدید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

در مرحله آخر یک Certificate را Export کنید و در درایو C ذخیره کنید و دستور زیر را اجرا کنید:
certutil -verify -urlfetch c:\test.cer
خروجی دستور را چک کنید و مطمئن شوید تمام مسیر Certificate path بصورت successfully باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم


خب دوستان اینم از ساختار سلسله مراتبی PKI امیدوارم مشکلات و ابهاماتی که دوستان در راه اندازی چنین ساختاری دارن رفع شده باشه و بتونن حداکثر استفاده از این سرویس مهم و قوی را داشته باشند.
برای سناریوی بالا من حداقل یک هفته مطالعه و تمرین داشتم و تا جائی که می توانستم ریزترین جزئیات آن را برای شما توضیح دادم. مطمئنم شما همین سناریو با کمی تفاوت را می توانید در دنیای واقعی راه اندازی کنید.
در قسمت های بعدی قابلیتهای جدیدی که در Win Server 2008 ارائه شده به نام Certificate Enrollment Policy Web Service و Certificate Enrollment Web Service را آموزش خواهم داد.

موفق و پیروز باشید.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#آموزش_pki_در_مایکروسافت #آموزش_راه_اندازی_offline_root_ca #سرتیفیکت_سرور #ساختار_pki_بصورت_سلسله_مراتبی #راه_اندازی_CA_مایکروسافتی #آموزش_راه_اندازی_certificate_authority #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
6 نظر
میلاد  فرضعلی زاده

واقعاا دستتون درد نکنه مطلب مفید و عالی بوووووود

امیرحسین کریم پور

میشه بجای Stand-alone Offline Root CA یک Enterprise Offline Root CA راه اندازی کنیم؟

امیرحسین کریم پور

در این قسمت چه گزینه ای رو باید انتخاب کنم:

وب سایت توسینسو

احمد جهلولی

گذینه دوم را در سناریوهای (Reinstall کردن OS سرور CA و یا در پروسه های Migration و...این گذینه کاربرد دارد) انتخاب می کنند که شما از قبل یک CA داشته باشید و می خواهید این CA Server با همان Private Key سی ای قبلی به کار خود ادامه دهد.

اگر این چنین نباشد گذینه اول را انتخاب کنید.

احمد جهلولی

میشه بجای Stand-alone Offline Root CA یک Enterprise Offline Root CA راه اندازی کنیم؟

خیر

این نظر توسط امیرحسین کریم پور در تاریخ يكشنبه, 18 فروردین 1398 حذف شده است.

دلیل: این پست فاقد محتوای فنی است. تشکر صرفا از طریق گزینه پسندیدم انجام می شود. متشکرم

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....