در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11

در این قسمت متد Cross-forest Certificate Enrollment را بصورت خلاصه برسی و آموزش میدهیم.

Cross-forest Certificate Enrollment چیست؟
سازمانهای Enterprise که دارای چندین (AD DS) Forest می باشند یک PKI بصورت مرکزی بر روی یکی از Forestها راه اندازی می کنند و توسط یکی از CA Server ها آن Forest می توان به سایر Forestها Certificate صادر کرد.

Cross-forest enrollment enables enterprises to deploy a central PKI in one Active Directory Domain Services (AD DS) forest that issues certificates to domain members in other forests.

این روش باعث کاهش تعداد CA Serverها در بقیه Forest ها می شود. و همچنین می توان از یک نقطه مرکزی ساختار PKI را مدیریت کرد.
نکته: با امدن Windows Server 2008 R2 قابلیتی بوجود آمد به نام Certificate Enrollment Web Services که بوسیله آن می توان روش بالا را بدون رابطه Trust بین Forestها برای Forestهای دیگر و کاربران اینترنت پیاده سازی کرد. در آموزش بعدی آن را برسی می کنیم.
پیش نیازهای Cross-forest Certificate Enrollment:
  1. یک رابطه Trust بصورت Two-way بین Forestها.
  2. نصب یک Enterprise CA Server بر روی Resource Forest.
  3. و سیستم عاملهای که این روش را ساپورت کنند. این OS شامل:
    1. Windows XP
    2. Windows Server 2003
    3. Windows Vista
    4. Windows Server 2008
    5. Windows 7
    6. Windows Server 2008 R2
    7. Windows Server 2012 & R2
    8. Windows 10

نکته: برای پیاده سازی این روش حتما باید Enterprise CA Server داشته باشید در این روش Stan-alone CA Server ساپورت نمی شود.
ما در این روش دو اصطلاح داریم که دانستن آنها ضروریه:
Resource forest: فارستی که Enterprise CA را میزبانی می کند و به بقیه Forestها Certificate صادر می کند.
Account Forest: فارستی که از Resource Forest سرویس دریافت می کند.

:Example scenario


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

در سیستم عاملهای که این روش را ساپورت نمی کنند می توانند از توپولوژی زیر استفاده کنند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم


پیاده سازی Cross-forest Certificate Enrollment در ساختارهای Enterprise


برای اموزش این روش دو Forest یکی به نام Mahshaher.Local و دیگری Tehran.Local ایجاد و بین آنها یک رابطه Trust بصورت Two-way ایجاد کردم.

Create a Two-Way, Forest Trust for Both Sides of the Trust

https://technet.microsoft.com/en-us/library/cc816590(v=ws.10).aspx
نکته: برای راحتی کار در قسمت Outgoing Trust Authentication Level--Local Forest گذینه Forest-wide authentication. را انتخاب کنید. وگرنه:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

مرحله بعدی نصب Enterprise CA بر روی Mahshaer.Local می باشد. برای اینکار به قسمت دوم این سری آموزش رجوع کنید.
مرحله بعدی فعال کردن LDAP referral می باشد. به لطف LDAP referral هستش که ما می توانیم از روش Cross-forest Certificate Enrollment استفاده کنیم.
برای فعال کردن LDAP referral دستور زیر را بر روی Enterprise CA اجرا کنید:
certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

قدم بعدی اضافه کردن Enterprise CA Computer Account در گروه Cert Publisher مربوط به Account Forestها می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

قدم بعدی تنظیم کردن مخازن AIA/CDP می باشد. این مخازن را جوری تنظیم کنید که Account Forest ها بتوانند به این مخازن دستری داشته باشند. برای اطلاع بیشتر به قسمت سوم رجوع کنید.
مرحله بعدی Publishکردن Root CA’s Certificate (در سناریوهای که ساختار PKI بصورت سلسله مراتبی داشته باشید) و Enterprise Ca’s Certificate در Account Forestها می باشد. در این سناریو Root CA’s Certificate and Enterprise CA’s Certificate را به Tehran.Local منتقل می کنیم ودستورات زیر را وارد می کنیم:
certutil -dspublish -f  RootCA
certutil -dspublish -f  NTAuthCA
certutil -dspublish -f  SubCA
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

اطلاعات Certificate در Active Directory در سه جای مهم ذخیره می شود:

  1. Enrollment services
  2. Certificate templates
  3. OID

در مرحله بعدی ما باید این سه کانتینر را در Account Forest کپی کنیم. قبلی از اینکار ما باید به ادمین فارست Mahshaher.Local این مجوز را بدهیم. برای اینکار کاربر Administrator یا گروه Domain Admins فارست Mahshaher.local را در Local Administrators دومین کنترولر Tehran.local عضو می کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

بعد از مجوز دادن به کاربر ادمین بوسیله اسکریپت محتویات این سه کانتینر را در Account Forest کپی می کنیم. برای اطلاعات بیشتر درباره اسکریپت ونحوه ایجاد آن لینک زیر را بخوانید:
https://technet.microsoft.com/en-us/library/ff961506(v=ws.10).aspx
بعد از ایجاد اسکریپت دستور زیر را بر روی تک تک Account Forestها اجرا کنید:
./PKISync.ps1 -sourceforest  -targetforest  -f
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

نکته: یکی از عیب های این روش ( نمیشه اسمشو عیب گذاشت ولی خب یک جور دردسر زیادی برای ادمین حساب میشه) با تعقیر محتویات این سه کانتینرادمین دوباره باید محتویات این کانتینرها را در Account Forestها کپی کند. در شرایط عادی وقتی لازم میشه این کانتینرها را کپی کنید که یک Certificate Template جدید ایجاد کنید.
برای اتوماتیک کردن پروسه بالائی لینک زیر را بخوانید:
https://technet.microsoft.com/en-us/library/ff955844(v=ws.10).aspx
مرحله بعد باید به گروه های Domain Users and Domain Computers های Account Forest بر روی CA Server مجوز Request Certificate دهیم:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

قدم بعدی (اختیاری) قابلیت AutoEnrollmet را برای Account Forestها فعال کنید. برای فعال کردن این قابلیت به قسمت ششم این سری آموزش مراجعه کنید.
و مرحله آخر ایجاد Certificate Template برای Account Forestها می باشد. برای اطلاع بیشتر درباره ایجاد Certificate Template به قسمت ششم مراجعه کنید.

نتیجه تنظیمات:


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم


نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#cross-forest_certificate_enrollmentچیست؟ #آموزش_راه_اندازی_pki #صدور_سرتیفیکت_بین_فارستها #آموزش_راه_اندازی_pki_در_مایکروسافت #سرتیفیکت_سرور #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
2 نظر
امیرحسین کریم پور

مرحله بعدی Publishکردن Root CA’s Certificate (در سناریوهای که ساختار PKI بصورت سلسله مراتبی داشته باشید) و Enterprise Ca’s Certificate در Account Forestها می باشد.

ینی اگه ساختار سلسله مراتبی نداشته باشیم لازم نیست این کارو انجام بدیم؟

امیرحسین کریم پور

من دستور زیر رو اجرا میکنم ولی پیغام access denied میگیرم.

./PKISync.ps1 -sourceforest <SourceForestDNS> -targetforest <TargetForestDNS> -f
نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....