درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

راه اندازی Offline Root CA به همراه یک Subordinate Issuing CA در سرور 2008 - قسمت اول

15 نظرات

چند وقت پیش سه مقاله در خصوص طراحی و معماری زیرساخت کلید عمومی یا PKI در وب سایت انجمن تخصصی فناوری اطلاعات ایران قرار دادم ، در این مقالات مفاهیم کلی طراحی و معماری زیرساخت کلید عمومی بررسی و تحلیل شده بود اما به هیچ عنوان بحث فنی انجام نشده بود ، در این مقاله قصد داریم تا یکی از طراحی های مد نظر در آن سری از مقالات را که به عنوان یک طراحی ایده آل مطرح می شود را با یکدیگر بصورت کاملا عملی انجام دهیم. تا اینجای کار و با مطالعه سری مقاله های قبلی متوجه شدیم که یک طراحی مناسب زیرساخت کلید عمومی یا PKI قطعا باید متشکل از یک Offline Root CA یا مرکز صدور گواهینامه دیجیتال آفلاین و چندین Subordinate CA یا مراکز صدور گواهینامه دیجیتال موجود در ساختار اکتیودایرکتوری باشد.خوب با توجه به اینکه ساختار دو لایه ای و ساختار سه لایه ای از نظر انجام تنظیمات چندان تفاوتی با یکدیگر ندارند در این مقاله یک ساختار دو لایه ای را که در آن یک Offline Root CA و یک Subordinate CA وجود دارد را با همدیگر پیاده سازی می کنیم. پیشنهاد می کنیم قبل از خواندن این مقاله سری به این سری مقالات بزنید و دید نسبی به این مقوله پیدا کنید :

طرح سناریو

همانطور که در شکل زیر مشاهده می کنید ما یک سرور که عضو هیچ Domain ای نمی باشد و در Workgroup می باشد را به نام RootCA ایجاد خواهیم کرد که بر روی آن ویندوز سرور 2008 نسخه R2 نصب شده است و سپس آن را در حالت Offline قرار می دهیم ، یعنی ارتباطات شبکه ای آن را قطع می کنیم ، توجه کنید که با توجه به مقالات قبلی ، شما نبایستی Offline Root CA را به عضویت Domain در بیاورید. سپس یک Enterprise Subordinate CA با نام SubCA در ویندوز سرور 2008 نسخه R2 ایجاد می کنیم که در اکتیودایرکتوری و Domain ای به نام tosinso.com عضویت دارد ، توجه کنید که بعد از راه اندازی سرویس این CA فعال نخواهد شد تا گواهینامه اصلی از طریق RootCA برای آن صادر شود. توجه کنید که مهمترین اصلی در راه اندازی چنین سرویسی این است که SubCA بایستی بتواند به لیست CRL و AIA ای که RootCA دارد دسترسی پیدا کند ، یا در صورت لزوم دسترسی را به صورت کلی حذف کنیم. این طرح کلی سناریو می باشد که در ادامه آن را انجام خواهیم داد.

سناریو راه اندازی PKI در مایکروسافت

راه اندازی Offline Root CA در ویندوز سرور 2008

خوب همانطور که از نامش هم پیداست این سرور در حالت آفلاین قرار دارد یعنی اصلا به شبکه متصل نمی باشد. برای اینکار کافیست یک ویندوز سرور 2008 داشته باشید ، در این حالت به Root CA ای که ساخته می شود در اصطلاح Stan Alone نیز گفته می شود زیرا عضو هیچ Domain ای نمی باشد و فقط برای صدور گواهینامه یا Certificate برای Subordinate CA ها استفاده می شود. خوب برای نصب این CA کافیست وارد کنسول Server Manager بشوید و طبق موارد زیر عمل کنید :

1-

طبق شکل زیر گزینه Active Directory Certificate Services را انتخاب کنید و سپس Next را کلیک کنید.

انتخاب Active Directory Certificate Services

2-

از Role های موجود در شکل زیر صرفا گزینه Certificate Authority را انتخاب کنید ، توجه کنید که این CA در حالت Offline قرار دارد بنابراین شما نیازی به این ندارید که حالت Web Enrollment را در آن فعال کنید ، به دلیل اینکه قرار نیست کسی از طریق وب به آن متصل شود ، بعد از انتخاب Certificate Authority بر روی Next کلیک کنید.

انتخاب Certificate Authority در Role های CA

3-

مشابه تصویر زیر برای نوع CA یا CA Type گزینه Stand-Alone را انتخاب کنید ، البته چاره دیگری هم ندارید زیرا به دلیل عدم عضویت این سرور در Domain شما نمی توانید Enterprise CA در این سرور داشته باشید و بنابراین Stan-Alone را انتخاب کنید و بر روی Next کلیک کنید.

انتخاب نوع CA از نوع Stand Alone

4-

مشابه تصویر زیر گزینه Root CA را انتخاب کنید ، گزینه Subordinate CA را به امید خدا در آموزش بعدی برای ایجاد یک CA میانی برای این CA ریشه ایجاد خواهید کرد ، بر روی Next کلیک کنید.

انتخاب نوع Ca از نوع Root CA

5-

همانطور که در تصویر زیر مشاهده می کنید از شما خواسته می شود که برای این CA یک کلید خصوصی یا Private Key ایجاد شود ، به این نکته توجه داشته باشید که تنها CA ای که می تواند برای خودش Certificate و Private Key ایجاد کند فقط و فقط CA ریشه یا Root CA است ، در تصویر زیر گزینه Create a new private key را انتخاب کنید تا CA برای خود یک کلید خصوصی ایجاد کند ، توجه داشته باشید که در صورتیکه CA فاقد کلید خصوصی برای خود باشد قادر به ارائه سرویس نخواهد بود ، بر روی Next کلیک کنید.

انتخاب الگوریتم مورد استفاده CA در رمزنگاری

6-

همانطور که در تصویر پایین مشاهده می کنید در این قسمت از شما در خصوص الگوریتم های مورد استفاده در این ساختار PKI و همچنین CSP سئوال می شود. این موارد برای ایجاد کلید های خصوصی و عموی الزامی است ، در قسمت CSP شما روش نگهداری کلید خصوصی را مشخص می کنید ، برای مثال اگر می خواهید کلید خصوصی شما قابلیت خروجی گرفتن در یک کارت هوشمند را داشته باشد در این قسمت بایستی CSP متناسب با آن را انتخاب کنید ، در قسمت Key Character Length طول کلید ایجاد شده توسط این CA را انتخاب می کنید ، در قسمت Hashing Algorithm هم الگوریتم Hashing یا درهم سازی متناسب با ساختار خود را انتخاب می کنید ، در اینجا ما نمی خواهیم تغییرات چندانی در ساختار داشته باشیم و بنابراین همه چیز را در حالت پیشفرض باقی گذاشته و بر روی Next کلیک می کنیم.

انتخاب الگوریتم Ca برای تولید کلید خصوصی

7-

در تصویر زیر از شما اسم این CA خواسته می شود که تمامی Certificate هایی که از طریق این CA ساخته می شوند در ساختار سلسله مراتبی که ایجاد می شود حتما این اسم را خواهند دید ، توجه کنید که پیشفرض اسم سرور در این قسمت قرار می گیرد اما شما می توانید آن را عوض کنید ، من در اینجا همان اسم PDC را انتخاب کرده ام با توجه به اسم سرور فعلی ، اما یک نکته را در نظر داشته باشید ، همیشه به اسم سرور خود دقت کنید ، بعد از اینکه CA شما نصب شود دیگر نمی توانید اسم سرور خود را عوض کنید. بر روی گزینه Next کلیک کنید.

انتخاب اسم برای Ca در قالب Distinguished Name

8-

در ادامه و همانطور که در تصویر زیر مشاهده می کنید شما مدت زمان اعتبار یا Validity Period سرور را مشخص می کنید ، هر چند معمولا برای سرورهای ریشه این زمان زیادتر از زمان سرورهای Subordinate در نظر گرفته می شود تا در صورت منقضی شدن سرورهای Subordinate بتوانیم از طریق سرور ریشه آنها را مجددا معتبر کنیم اما در این سناریو با توجه به اینکه در محیط لابراتوار قرار داریم همان 5 سال اعتبار پیشفرض را برای سرور در نظر می گیرم و بر روی Next کلیک می کنیم.

تعیین مدت زمان اعتبار CA

9-

در تصویر زیر ویزارد از شما محل ذخیره سازی فایل های مورد نیاز برای نصب CA و Log های CA را از شما می خواهد ، طبق رویه عمل کنید و بر روی Next کلیک کنید ، در نهایت به شما خلاصه ای از تنظیمات و موارد خواسته شده ارائه می شود که با کلیک کردن بر روی گزینه Install سرور CA شما براحتی نصب می شود.

محل قرارگیری لاگها و فایل های CA

10- قدم بعدی این است که نام Domain ای که قرار است به عنوان Subordinate CA ما فعالیت کند را در این Root CA در اصطلاح MAP کنیم ، دقت کنید که در اینجا بایستی از ابزار certutil.exe و همچنین از ساختار نامگذاری DN یا Distinguished Name استفاده کنیم ، برای انجام اینکار کافیست در CMD ای که بر روی CA ریشه باز می کنید دو دستور زیر را بصورت جداگانه اجرا کنید ، بعد از اجرا موفقیت آمیز این دو دستور بایستی یکبار سروریس CA را Stop و Start کنید تا تغییرات اعمال شود ، در اینجا نام دامین ما itpro.local است که دستورات به شکل زیر خواهند بود.

certutil.exe –setreg ca\DSConfigDN CN=Configuration,DC=ITPRO,DC=LOCAL
certutil -setreg ca\DSDomainDN “DC=ITPRO,DC=LOCAL”

انتخاب Domain برای Root CA

انتخاب domain برای root CA

11-

تا اینجای مسئله کافیست و Root CA شما به درستی فعالیت می کند ، اما در اینجا یک مبحث پیش می آید و آن انتشار CRL و AIA است که شما می توانید دو سناریوی متفاوت را در این قسمت بکار ببرید ، اولین سناریو این است که آدرس یک سرور آنلاین در شبکه را به جای آدرس های پیشفرض سرور Root قرار بدهید تا لیست در آنجا منتشر شود که در این حالت سرور شما به نوعی هر چند وقت یکبار بایستی آنلاین شود ، سناریوی دوم این است که در سرور Subordinate بررسی CRL ها سرور Root را غیرفعال کنید که در سناریوی ما این موضوع منطفی تر به نظر می رسد.

خوب تا اینجا کار ما یک سرور Root CA بصورت Stan Alone و Offline ایجاد کرده ایم و تنظیمات اولیه آن را برای دامین itpro.local نیز انجام داده ایم ، حالا قرار است به سراغ نصب و راه اندازی Subordinate CA برویم که بصورت آنلاین است و از این سرور ریشه Certificate دریافت بایستی بکند تا بتواند به کار خود در شبکه ادامه دهد. توجه کنید که سناریو در آموزش بعدی به این شکل است که ما یک سرور Subordinate را نصب می کنید و در حین کار نوع CA را Subordinate در نظر می گیریم و سپس درخواست این CA را بصورت آفلاین با یک فلش مموری به سرور ریشه می فرستیم و گواهینامه دریافت می کنیم ، پس با ما تا آموزش بعدی باشید.

ITPro باشید.

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 راه اندازی Offline Root CA به همراه یک Subordinate Issuing CA در سرور 2008 - قسمت اول رایگان
2 راه اندازی Offline Root CA به همراه یک Subordinate Issuing CA در سرور 2008 – قسمت دوم رایگان
  • اقا ممنون...خیلی این مطلب کمک کرد

  • با تشکر از مطالب خوبتون

    مرسی

  • برای Secure کردن LDAP علاوه بر مراحل فوق چه کاره دیگه ای باید انجام داد

  • سلام

    چطوری میتونم یه certificate برای کامپیوتر های خارج از دامین تولید کنیم؟

    چطوری میشه پیغام error ،ssl حذف کرد؟

    واسه کامپیوتر های داخل دامین مشکل ندارم

    اما واسه کامپیوتر های خارج از دامین امکان برقراری ارتباط با Ca وجود ندارد

  • لطفا سئوالتون رو در قسمت تالار گفتمان مطرح کنید با تشکر

  • نمی دونم به ادمائی که مطالب شبکه رو از جائی کپی می کنند و به اسم خودشون می ذارن چی باید بگم؟؟؟

    مهندس نصیری لینک زیر رو ببنید چطور نوشته های شما رو کپی کردن. D:

    راه اندازی OFFLINE ROOT CA به همراه یک SUBORDINATE ISSUING CA در سرور 2016

  • خیلی با مزه بود ... یعنی اینقدر که این بنده خدا صرف کرده که کپی رایت مطلب رو برداره میتونست مطلب بهتری تولید کنه ، جالبه حتی اون سه تا مطلب PKI رو هم رسما به نام خودش منتشر کرده ، اشکال نداره ، پیش میاد و اینجور افراد همیشه هستن ، مهم اینه کاربرای ITPRO میدونن مطلب مال کی هست و نیاز به اثبات نداره و از طرفی اینها گوگل رو که نمیتونن دور بزنن ، حالا جالبه که یکی از اساتید یکی از موسسات معتبر کشور مطالب من رو جزوه کرده بود سر کلاس داده بود بعد میگفت به دانشجوهاش که نصیری کپی کرده از مطالب من گذاشته تو سایتش ، اینا مال من بوده !! خلاصه کاریش نمیشه کرد ما فرهنگ سازی می کنیم و به این چیزا کاری نداریم مهم اینه مردم میفهمن .... تصاویر زیر گویاست :

    آموزش راه اندازی CA

    آموزش راه اندازی CA

  • من این سایت بالا رو چک کردم بدبخت منبع رو زده itpro. اون سه تا لینک رو ببینید. نمیدونم شایدم الان که من میبینم درستش کرده ولی منبع ایتی پرو

  • تازه درست کرده من همون موقع براش پیام دادم ، بازم دستش درد نکنه .

  • سلام

    ممنون از آموزش خوبتون

    میشه بدونم چرا root و sub رو روی یک سرور نصب نکردید؟

    اگر من یک سرور برای CA بزارم که عضو دامین باشه و root و sub با هم باشه چه مشکلی میتونه داشته باشه؟

    آیا کوچک یا بزرگ بودن سازمان تاثیری در روش نصب داره؟

  • دوست عزیز ظاهرا اصلا مطالعه نکردید که برای چی ما دو تا سرور راه اندازی کردیم !! لطفا سری مطالب مفهومی PKI رو مطالعه کنید ! شما نمی تونید دو تا CA روی یک سرور داشته باشید و این هم از نظر منطقی و هم از نظر ساختاری بی معنی هست.

  • سلام.

    آیا Cryptographic و Key length و hash algorithm

    در ROOT CA و Policy CA و Issuing CAها

    حتما باید تنظیمات یکسانی داشته باشد؟

  • بستگی به نحوه استفاده داره ، طبیعتا اگر برای مصارف مشترک استفاده بشن مثلا بین CA ها باید یکسان باشه اما مثلا برای صدور به کاربران میتونه متفاوت بشه .

  • ممنون از پاسختون. برای اینکه مطمئن بشم درست متوجه شدم:

    بنابراین در هنگام

    نصب و راه اندازی

    یک Subordinate CA در بخش Cryptography باید تمامی تنظیمات مطابق با تنظیماتی باشه که در هنگام نصب Root CA استفاده شده؟

    به تعبیری تمام CA های زیر مجموعه یک Root CA در هنگام نصب و راه اندازی، باید همگی تنظیمات Cryptography و Hashing و Key length یکسان با Root CA داشته باشند.

    درسته؟

  • سلام خسته نباشید

    سوالی خدمتتان داشتم

    من روی ویندوز 7 vmware نصب کردم و سپس داخل vmware از ویندوز سرور 2003 که قبلا داشتم استفاده کردم و جهت راه اندازی root CA از من سی دی نصب را میخواهد درصورتیکه که من فایل ویندوز را داشتم حالا باید چطور ادامه کارم را انجام دهم

    باتشکر از لطف شما

برای ارسال نظر ابتدا به سایت وارد شوید

arrow