در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13

در این قسمت قابلیت Key Based Renewal را برسی می کنیم.قابلیت Key Based Renewal اولین بار در Windows Server 2012 معرفی شده است. این قابلیت باعث می شود کاربرانی که عضو دومین نیستند بصورت اتوماتیک Certificateهای خود را Renew کنند.برای اطلاع بیشتر درباره Renew کردن Certificate ها به قسمت هفتم از این سری آموزشی مراجعه کنید.

شاید بپرسید چرا ا برای این پروسه نیازمند این قابلیت هستیم؟

جواب : برای اینکه Subject ها بصورت اتومات بتوانند Certificate های خود را Renew کنند CA Server نیازمند اطلاعات مهمی می باشد. هویت درخواست کنند، ایا این درخواست کنند در خود سازمان فعالیت می کند یا در فارست های دیگر، مجوز این کار را دارد یا نه و ....
در درون سازمان تمام این اطلاعات بوسیله متد احزاز هویت ویندوز به نام Windows Integrated قابل دستیابی می باشد. ولی متاسفانه این متد برای کاربران خارج از سازمان کارائی ندارد. پس Key Based Renewal از دارنده خود Certificate و بوسیله خود Certificate آن Subject را احراز هویت می کند. در تعریف دیگر هویت هر Subjectی Certificate ی می باشد که دارد.
هر Subjectی که توانائی دسترسی به کلید خصوصی خود دارد می تواند قبل از Expire شدن Certificate آن را Renew کند.
اجازه بدید یک نگاهی به نیازمندی ها و تنظیمات این قابلیت بیندازیم تا بهتر این قابلیت را درک کنیم.

پیش نیازهای Key Based Renewal در تنظیمات Certificate Template ها:


اولین تنظیمی که بر روی Certificate Template ها انجام می شود فعال کردن گذینه زیر می باشد:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

با فعال کردن گذینه زیر این قابلیت بر روی Certificate Template فعال می شود و Subjectهای که این Certificate بر روی آنها اعمال می شود می توانند بصورت اتوماتیک Certificate های خود را Renew کنند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: قبل از اعمال تنظیمات بالا تنظیمات تب Subject Name را انجام دهید. (در زیر آمده است) بدون تنظیم آن تب گذینه های فوق فعال نمی شوند.
نکته بعدی: علاوه بر تنظیمات بالا شما باید مجوز لازم برای کاربران خارج از سازمان در تب Security اعمال کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

شما با فعال کردن گذینه بالا به Certificate Template اجازه می دهید که از پارمترهای که بر روی آن ست می شود بعنوان Subject Name استفاده شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

به علت اینکه خود Certificate هویت درخواست کنند را مشخص می کند ما باید Client Authentication را بر روی این Certificate Template اضافه کنیم.
تنظیمات بالا پیش نیازهای پیاده سازی این قابلیت بود که برای اطلاع بیشتر درباره تنظیمات Certificate Template به قسمت ششم از این سری آموزش رجوع کنید.
علاوه بر تنظیمات بالا ما باید به Certificate Enrollment Policy دسترسی داشته باشیم. و همانطور که می دانید نمی توانیم از حالت پیش فرض Certificate Enrollment Policy استفاده کنیم چون استفاده از LDAP نیازمند عضو بودن در دومین هستش. (بوسیله LDAP اطلاعات Subject از AD استخراج و هویت Subject ها مشخص می شود)
پس آن چیزی که ما نیاز داریم استفاده از سرویس Web Enrollment Policy Service /CEP می باشد که در قسمت دوازدهم آن را برسی کردیم.

نیازمندی های Key Based Renewal در Certificate Enrollment Policy Service:


همانطور که می دانید کاربران خارج از سازمان نمی توانند از متد Windows Integrated استفاده کنند پس ما نیازمند متدی برای احراز هویت Subjectهای خارج از سازمان هستیم که علاوه بر متد Windows Integrated دو متد دیگر برای اینکار داریم:

  1. Username/Password
  2. Client Certificate

درباره Client Certificate قبلا توضیح دادیم و متد Usernamepassword هم کاربران با وارد کردن User Pass خود می توانند خود را در CEP احراز هویت کنند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

و همچنان نیازمند فعال کردن این قابلیت بر روی CEP هستیم
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم


نیازمندی های Key Based Renewal در Certificate Enrollment Web Service /CES:


هنگامی که شما سرویس CES را نصب و تنظیم می کنید می توانید آن را برای Certificate Enrollment و Key Based Renewal تنظیم کنید یا می توانید آن را فقط در مد Renewal only mode تنظیم کنید.
Renewal only mode چیست؟
بخاطر اینکه سرویس CEP در ناحیه DMZ شبکه قرار دارد و برای ارتباط با CA نیازمند ایجاد Delegate با CA Server می باشد (آموزش بعدی مفصل توضیح خواهم داد) یک هکر می تواند از این تنظیمات به نفع خود استفاده کند و کارهای ناخواسته ای را انجام دهد، بخاطر همین دلیل ما می توانیم سرور CES را جوری تنظیم کنیم که فقط Certificate ها را Renew کند و کسی اجازه ندارد درخواست Certificate جدید دهد. (فقط Certificate های که قبلا بر روی Subjectها اعمال شده را Renew می کند.)
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: سرویس CES با استفاده از متد Client Certificate سابجکت ها را احراز می کند و سپس از اعتبار خود استفاده می کند و درخواست را به CA Server ارائه می دهد و پس از بازگشت جواب از طرف CA Server آن را به سمت آن Subject ارسال می کند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

قسمت بعدی انتخاب یک Service Account می باشد.اهمیت این قسمت را در بخش بعدی از این سری آموزش برسی می کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

در تصویر زیر شما باید نوع احراز هویت را در CES بر روی Client Certificate Authenticate ست کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: نوع احراز هویت در CEP می تواند با نوع احراز هویت در CES فرق داشته باشد.
علاوه بر فعال کردن Key based renewal در CEP شما باید این قابلیت را در CES نیز فعال کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

در آخر به اینم اشاره کنم که اگر Certificateی که Kay based renewal بر روی آن فعال است بنا به دلایلی بخواهیم باطل کنیم، برای اینکار مراحل زیر را انجام دهید: (متنش آسونه)

  1. Remove the template that has key-based renewal enabled from each CA that is issuing the template.
  2. Revoke the appropriate certificates.
  3. Publish an updated CRL for each CA that was issuing the template that had key-based renewal enabled.
  4. Reissue the certificate template that has key-based renewal to the appropriate certification authorities for issuance.

در این آموزش ما اصطلاح وکاربرد Key Based Renewal را توضیح دادیم و همچنین Renewal-only mode را نیز توضیح دادیم و گفتیم کی از این قابلیت استفاده کنیم و همچنین پیشنیازهای Key based renewal را به شما نشان دادیم.
در آموزش بعدی ما ساختار و تنظیمات راه اندازی CEP/CES را برسی و اماده سازی می کنیم.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
#آموزش_راه_اندازی_pki #رول_cep #آموزش_راه_اندازی_pki_در_مایکروسافت #رول_ces #PKI_در_مایکروسافت #طراحی_ساختار_PKI #آموزش_adcs
عنوان
1 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 1 رایگان
2 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 2 رایگان
3 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 3 رایگان
4 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4 رایگان
5 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 5 رایگان
6 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 6 رایگان
7 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 7 رایگان
8 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 8 رایگان
9 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 9 رایگان
10 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 10 رایگان
11 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 11 رایگان
12 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 12 رایگان
13 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 13 رایگان
14 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 14 رایگان
15 آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 15 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....