درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37801
رتبه:19
0
79
37
617

ویدیوهای پیشنهادی

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

تاریخ 34 ماه قبل
نظرات 0
بازدیدها 867
در این قسمت قصد دارم مباحث تکمیلی Online Responder و مباحث CRL را توضیح بدم.

Configuring Custom OCSP URIs via Group Policy


با یک سوال شروع می کنم. کلاینتها از کجا متوجه می شوند برای برسی وضعیت Certificateها به کجا رجوع کنند؟؟ درسته کلاینتها به تنظیمات CDP, AIA and OCSP رجوع می کنند. خب مکانیزم متصل شدن به این تنظیمات را از کجا بدست می آورند؟؟؟؟ نمی دونم جوابتون چیه ولی امیدوارم بگید از طریق اطلاعاتی که در Certificate ذخیره شده است این تنظیمات را بدست می آورند. شما بعد از تنظیم کردن CDP, AIA and OCSP در ساختار این اطلاعات به Certificateها اضافه می شود و کلاینتها با چک کردن اطلاعات Certificate به این اطلاعات دسترسی پیدا می کنند. یک سوال دیگه!!! Certificateهای که قبل از ایجاد این تنظیمات به Subjectها صادر شده اند چی؟؟؟ ایا آن Subjectها می توانند به این اطلاعات دسترسی داشته باشند؟؟ جواب منفی هستش. بخاطر همین توصیه شده قبل از هر گونه صادر کردن Certificate مقادیر بالا را تنظیم کنید. ولی خوشبختانه با آمدن Windows Vista و Windows Server 2008 تنظیماتی در Group Policy اضافه شده که می توان URL سرویس OCSP را به کلاینتهای سازمان اعمال کرد. و دیگر نگران Certificateهای که قبل از ایجاد تنظیمات OCSP صادر شدند نباشید. برای اینکه URL سرویس OCSP را بوسیله Group Policy به کلاینتها اعمال کنیم مراحل زیر را دنبال کنید:

قدم اول Export کردن CA Certificate می باشد برای اینکار:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

و CA Certificate را ذخیره کنید. و بعد از آن اعمال تنظیمات GP بر روی کل Domain.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

میسر زیر را طی کنید:
Computer Configuration\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته: اگر Issuing CA شما Root CA نباشد باید این تنظیمات را بر روی Intermediate Certification Authorities انجام دهید.بعد از تعیین کانتینر اعمال تنظیمات، بر روی کانتینر مورد نظر راست کلیک کنید و گذینه Import را کلیک کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

بعد از آن Wizardی ظاهر می شود که شما باید CA Certificateی که در مرحله قبل آن را Export کردید را Import کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

بعد از Import کردن CA Certificate وارد کانتینری که این تنظیمات را بر روی آنجام دادید شوید و بر روی CA Certificate راست کلیک کنید و گذینه Properties را کلیک کنید
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

و قدم آخر اضافه کردن URL سرویس OCSP می باشد.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته: اگر می خواهید کلاینتها از لیست CRLاستفاده نکنند و فقط از OCSP استفاده کنند تیک Disable Certificate… را تیک بزنید که توصیه شده نیست.بعد از اعمال شدن این Policy همه کلاینتها علاوه بر تنظیمات CDP از OCSP نیز استفاده می کنند.

Troubleshooting the Online Responder


بعضی مواقع پیش میاد که Revocation Configurationی که در OCSP ایجاد کردید از کار می افتد و علامت قرمز رنگی جلوی آن ظاهر می شود. در چنین شرایطی اگر کلاینتی وضعیت Certificate را از OCSP درخواست دهد نتیجه عملیات Fail می شود. اگر به Event Viewer مراجعه کنید مشاهده می کنید Errorی ثبت شده که علت این مشکل را توضیح داده:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

با سرچی که در Internet انجام دادم متوجه شدم علت این مشکل نبود سرتیفیکت OCSP Response Signing در Personal Store در سرور OCSP می باشد. برای حل این مشکل ساده دوباره آن Certificate را Enroll کردم و مشکل حل شد. برای Enroll کردن این Certificate مراحل زیر را دنبال کنید:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

مشکل حل شد. توضیحات بیشتر در مورد این مشکل را می توانید در لینک زیر مطالعه کنید:
https://technet.microsoft.com/en-us/library/dd299794(v=ws.10).aspx
نکته دیگری که اهمیت زیادی دارد مدت زمانی هستش که OCSP اطلاعات Revocation را از مخازن CDP بدست می آورد. بصورت پیش فرض این مدت زمان بر اساس مدت زمانی می باشد که بر روی Base CRL and Delta CRL ست شده است. که بصورت پیش فرض Base CRL یک هفته می باشد و Delta CRL دو روز. من می خواهم تنظیمی انجام دهم که این اطلاعات هر 5 ساعت یکبار بر روی OCSP ابدیت شود.
برای این منظور:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم

نکته دیگری که حائز اهمیت هستش Cache شدن لیست CRL در کلاینتها می باشد. ( در سازمانهای که از OCSP استفاده نشود) وقتی لیست CRL در کلاینتی Cache می شود تا یک هفته این اطلاعات بر روی آن کلاینت باقی می ماند و کلاینت در این مدت زمان برای چک کردن وضعیت Certificate از کش خود استفاده میکند. بعضی وقتا به دلایلی شما Certificateی را باطل می کنید ولی کلاینتها از وضعیت این Certificate تا بعد از Expire شدن کش اطلاعی ندارند. آیا راه حلی وجود دارد که بتوانم این Cache را پاک کنم تا کلاینتها بتوانند جدیدترن لیست CRL را از CA دانلود کنند؟؟؟ بله شما می توانید با دستور زیر CRL Cache یک سیستم را پاک کنید:
certutil -urlcache crl delete
برای اطلاع بیشتر:

Forcing the Expiration of Locally Cached Certificate Revocation Lists

http://windowsitpro.com/security/forcing-expiration-locally-cached-certificate-revocation-lists

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
برچسب ها
ردیف عنوان
1 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت اول
2 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم
3 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سوم
4 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم
5 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم
6 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت ششم
7 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم
8 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هشتم
9 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم
10 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم
11 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم
12 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوازدهم
13 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم
14 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم
15 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پانزدهم ( پایانی )
16 ایجاد Certificate Signing Request بوسیله کنسول MMC
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید