درخواست های ارتباط
جستجو تنظیمات
لیست دوستان من

Active Directory Certificate Services قسمت ششم

1 نظرات

در این جلسه Certificate Template و روش Enroll کردن آنها را یاد خواهیم گرفت.

Certificate Template


هر Certificate در ساختار PKI وظایف و کارهای مشخصی برای انجام دارد به اصطلاح دیگر هر Certificate برای کار مشخصی ایجاد می شود. بعضی از Certificateها برای رمزگذاری و رمزگشائی کردن به کار می روند و بعضی از آنها برای احراز هویت Client/Server به کار می رود و بعضی از آنها برای سرویس خاصی کاربرد دارند.وظایف هر Certificate درون خود Certificate تعبیه شده است.

Image

وقتی شما یک Domain Controller در ساختار راه اندازی می کنید در پروسه نصب یکسری Certificate برای کارهای مشخصی ایجاد می شود. که به این Certificateهای اماده و از پیش ساخته شده Certificate Template گفته می شود. که با نصب Enterprise CA آنها را در قسمت Certificate Template می توانید مشاهده کنید.

Image

نکته: Stand-alone CA فاقد Certificate Template می باشد. Certificate Templateهای که در بالا مشاهده می کنید بر Subjectهای مختلفی اعمال می شود و برای کارهای خاصی استفاده می شود مثلا در بالا شما سرتیفیکت تمپلت User را مشاهده می کنید که بر روی Userها اعمال می شود. وهر User که این تمپلت بر روی آن اعمال شود می تواند کارهای که در Certificate تعیین شده بوسیله این Template انجام دهد.

Image

با استفاده از این تمپلت یک User می توانید فایلهای خود را رمزگذاری کند، Emailهای خود را Secure کند یا Clientها خود را برای بقیه احراز هویت کند.بعضی از Certificate Template ها بر روی کامپیوترها اعمال می شوند. که کارهای مشخصی انجام می دهند:

Image

به نکات زیر در خصوص Certificate Templateها توجه کنید:

  • Certificate Templateها فقط در همان Forest معتبر هستند.

  • Certificate Template ها غیر قابل حذف هستند.

  • بصورت پیش فرض فقط گروه Enterprise Admins و Domain Admins روت Domain میتوانند Certificate Templateها را مدیریت کنند. یعنی اگر در ساختار چندین Child and Tree داشته باشید فقط Domain Admins and Enterprise Admins اولین DC یا روت می توانند Certificate Templateها را مدیریت کند.

  • اگر شما چندین Enterprise CA در ساختار داشته باشید هر تعقیری در Certificate Template ایجاد کنید این تعقیرات بر روی دیگر Enterprise CA ها اعمال می شود.

نکته: Certificate Template ها در کل ساختار دومین Publish می شوند و هر Subjectی می تواند Certificate Templateها را طبق مجوزی که بر روی Certificate تنظیم شده Enroll کنند.

ترفند:

برای مدیریت Certificate Template ها در ساختارهای چند دومینی می توانید یک گروه برای این منظور ایجاد کنید و مجوز مدیریتی را بوسیله مراحل زیر به این گروه واگذار کنید:

ADSI Edit را اجرا کنید و مسیر زیر را دنبال کنید

Image

Image

و به گروه مورد نظر مجوز مدیریتی دهید.

نکته: عملیات بالا را هم بر روی کانتینر CN=OID انجام دهید.

Certificate Template Versions


Certificate Template ها دارای چندین ورژن می باشند.

  1. Version 1 certificate templates

  2. Version 2 certificate templates

  3. Version 3 certificate templates

  4. Version 4 certificate templates

اولین ورژن در Windows Server 2000 معرفی شده که بر روی Windows 2000 و یندوزهای کلانیتی مانند 98 و غیره کاربر داشت. این ورژن تنها قابلیتی که به مدیر شبکه به ارمغان می آورد تعریف Permission بر روی آنها بود. که بصورت اتوماتیک و دستی می توان این ورژن را Enroll کرد. این ورژن برای سیستم عاملهای زیر در دسترس می باشد:

  1. Windows Server 2008 R2, all editions

  2. Windows Server 2008, all editions

  3. Windows Server 2003 R2, all editions

  4. Windows Server 2003, all editions

  5. Windows 2000 Server, all edition

دومین ورژن در Windows Server 2003 معرفی شد. که به مدیر شبکه اختیاراتی مانند کنترول درخواست، نحوه صدورو نحوه استفاده از آن را می داد. این ورژن مانند ورژن قبلی بصورت دستی و اتوماتیک Enroll می شود. این ورژن برای سیستم عاملهای زیر در دسترس می باشد:

  1. Windows Server 2008 R2, all editions

  2. Windows Server 2008, Enterprise and Datacenter editions

  3. Windows Server 2003 R2, Enterprise and Datacenter editions

  4. Windows Server 2003, Enterprise and Datacenter editions

سومین ورژن دقیقا مانند ورژن دو می باشد منتها قابلیت جدیدی به نام Suite B Cryptography در آن ایجاد شده که مجموعه از الگوریتم های رمزگذاری می باشد که بوسیله United States National Security Agency (NSA) تالیف و تایید شده است که برای ارتباطات خیلی حساس و سیستم های احراز هویت خیلی قوی کاربرد دارد. قابلیت فوق برای سیستم عاملهای Windows Vista and Windows Server 2008 به بالا قابل پیاده سازی می باشد. این ورژن برای سیستم عاملهای زیر در دسترس می باشد:

  1. Windows Server 2008 R2, all editions

  2. Windows Server 2008, Enterprise and Datacenter editions

و جدیدترین ورژن که در Windows Server 2012 معرفی شده است ورژن چهار می باشد که تمام امکانات بالا را دارد. و امکاناتی مانند renew کردن Certificate با کلید قبلی و تب Compatibility که باعث می شود به راحتی برای هر سیستم عامل Certificate مربوط به آن را انتخاب کنید. و امکانات دیگر. این ورژن مانند ورژنهای قبلی بصورت دستی و اتوماتیک Enroll می شود و برای سیستم عاملهای زیر در دسترس می باشد:

  1. Windows 8

  2. Windows 8.1

  3. Windows Server 2012

  4. Windows Server 2012 R2

Manage certificate templates


یکی از مهمترین Best Practice های مایکروسافت درباره Certificate Template حذف Templateهای بلا استفاده در سازمان می باشد. مایکروسافت توصیه کرده که اگر از Certificate Templateهای که در کادر زیر وجود دارد

Image

هیچ استفاده ی نکرده اید یا به اصطلاح دیگر هیچکدام از Certificate Templateها بالا را Enroll نکردید آنها را حذف کنید تا بر روی Subjectها اعمال نشود و در صورت لزوم آنها را صادر کنیم.

نکته: اگر Certificate Templateی بر روی Subjectی اعمال شده باشد آن Certificate Template را حذف نکنید.

یکی از استفاده های زیادی که از Certificate در سازمانها می شود رمزگذاری کردن اطلاعات می باشد. برای اینکه کاربران بتوانند از خدمات CA Server در رمزگذاری کردن اطلاعات استفاده کنند باید Certificate این کار را از CA Server سازمان دریافت کنند. این Certificate باید الگوریتم های رمزگذاری را برای کاربران فراهم کند. خوشبختانه چند Certificate آماده و از پیش تعریف شده برای اینکار وجود دارد مانند Basic EFS or User.

اگر Certificate Templateی می خواهید که فقط عملیات رمزگذاری را برای شما انجام دهد Basic EFS را تنظیم کنید. ولی سرتیفیکت تمپلت User یک پکیج می باشد که برای کارهای مختلفی می توان از آن استفاده کرد. من تمپلت User را برای اینکار تنظیم می کنم.

نکته: توصیه اکید می کنم قبل از هرگونه رمزگذاری، توسط پرسنل سازمان، برای جلوگیری از دست دادن اطلاعات پرسنل یک Data Recovery Agent ایجاد کنید.

برای تنظیم این Certificate Template برای کاربران سازمان مراحل زیر را دنبال کنید:

Image

Image

Image

در کادر بالا و درون تب Compatibility شما باید مشخص کنید این CA Server برروی چه سیستم عاملی میزبانی می شود و گیرنده این Template دارای چه نوع سیستم عاملی می باشند. شما با انتخاب سیستم عامل در کادر بالا قابلیتهای را از این Certificate Template کم و زیاد می کنید. چون من از Windows Server 2012 R2 برای سرور و Windows 10 برای کلاینتها استفاده کردم قابلیتهای که به این Certificate Template اضافه می شود را نشان می دهد.

Image

در تب General می توانید یک اسم برای این Certificate Template بنویسید و مدت اعتبار و مدت Renew شدن این Certificate را مشخص کنید. و با تیک زدن گذینه Publish Certificate in Active Directory این Template در دیتابیس AD همراه با اطلاعات Subjectی که این Certificate را دریافت می کند ذخیره خواهد شد هدف این کار دسترسی به Certificate این User توسط User های دیگر می باشد.

برای اطلاع بیشتر:

This setting indicates the certificate issued based on the certificate template should be published to the Active Directory Domain Services (AD DS) database. When this setting is enabled, the user or computer object in the AD DS database is updated with the certificate of the user or computer respectively. The private key is not published to the AD DS database. For both computer and user certificates, the user Certificate attribute of the AD DS object is updated with the certificate. The CA must have write permission to the AD DS database user and computer objects to make this update. The permission to write to the computer and user objects in the AD DS database is granted to CAs through their membership in the Cert Publishers group by default. This setting is typically only used with user certificates. When a user’s certificate is published in the AD DS database, other users can search the AD DS database to find the certificate of that user. The certificate can then be used to encrypt email or files to the user whose certificate is published in the AD DS database.

Configure Certificate Publishing in Active Directory Domain Services

https://technet.microsoft.com/en-us/library/cc730861(v=ws.11).aspx

Image

در تب بالا در قسمت Purpose هدف این Certificate را مشخص کنید. قراره این Certificate چه کاری انجام بده؟؟؟ همچنین می توانید اجازه دهید که کلید خصوصی این Certificate اکسپورت شود یا نه؟ ( در بعضی از سناریوها export کردن کلید خصوصی Certificate الزامی می باشد و شما باید تیک این گذینه را بزنید). به علاوه شما می توانید تنظیم کنید که این Certificate با کلید خصوصی قبلی، دوباره Renew شود. (یکی از قابلیتهای جدید Windows Server 2012 می باشد) وقتی شما در قسمت Purpose گذینه های Encryption or Signature and encryption را انتخاب کنید گذینه Archive subject's encryption private key فعال می شود و شما با انتخاب این گذینه می توانید کلید خصوصی این Certificate را در دیتابیس Subject ذخیره کنید تا در مواقعی که کلید خصوصی به هر دلیلی از بین رفت بتوان این کلید را بازیابی کرد.

Certification authorities (CAs) can archive a subject's keys in their databases when certificates are issued. If subjects lose their keys, the information can be retrieved from the database and securely provided to the subjects.

Request Handling

https://technet.microsoft.com/en-us/library/cc732007(v=ws.11).aspx

Image

اجازه بدید مفهوم Cryptography را روشن کنیم؟

Cryptography یکسری قانون، روش، تکنولوژی یا علوم پایه می باشد برای امن کردن اطلاعات

در شبکه های اینترانت و اینترنت. Cryptography در مایکروسافت یکسری libraryی هستن که شامل الگوریتم رمزگذاری و رمزگشائی می باشد. Cryptography امن کردن اطلاعات را در دو سطح نرم افزار و سخت افزار تعریف می کند.

  1. Cryptographic service providers (software)

  2. Key storage providers (hardware)

در کادر بالا شما در قسمت Provider Category میتوانید سطح امنیت را مشخص کنید.

نکته: key storage providers از چیپست های (تراشه) به نام Trusted Platform Module برای ذخیره کردن Certificate, Password, Secret Keys و غیره استفاده می کند. و شما می توانید این تراشه ها را از طریق کنسول زیر در Windows تنظیم کنید

Image

تنظیمات امنیتی بالا برای ذخیره سازی کلید خصوصی و عمومی بر روی کلاینت می باشد.

Cryptography

https://technet.microsoft.com/library/cc770477

Image

در این تب می توانید پارامترهای چون application policies, issuance policies, certificate subject types, and key usage attributes را تنظیم کنید.

نکته: هر Certificate بنا به ماهیت عملکرد خود از پارامترهای متفاوتی در این تب استفاده می کند.

گذینه Application Policy شما را قادر می سازد که عملکرد این Certificate را مشخص کنید.

نکته: Application Policy را با نام های دیگری چون called extended key usage or enhanced key usage نیز می شناسند.

در مثال بالا سرتیفیکت تمپلت User سه کار عمده را انجام می دهد:

  • رمزگذاری کردن اطلاعات.

  • امن کردن E-Mailهای ارسالی و دریافتی.

  • احراز کردن کلاینت برای منابع شبکه.

شما می توانید این عملکرد را بنا به نیاز سازمان خود تعقیر دهید. برای اینکار Application Policy را انتخاب کنید و دکمه Edit را کلیک کنید:

Image

Image

شما با تنظیم Issuance Policy می توانید قوانینی تعریف کنید که هر Subjectی که این Certificate را درخواست دهد باید این قوانین را رعایت کند و برای Issue کردن این Certificate می توانید شرایطی را تعریف کنید. همانطور که می دانید هر درخواستی که به سمت CA Server ارسال می شود CA Server موظف است بر اساس یکسری Policyها یا سیاست به این درخواست پاسخ دهد.

Image

در کادر بالا شما گذینه ای دارید به نام Enable requestor specified issuance policies که با تیک زدن آن به کلاینتها اجازه می دهید سیاستهای که در بالا تعریف کردیم را در درخواست خود مشخص کنند. وگرنه درخواست آنها برای این سرتیفیکت Fail می شود.

Image

با ادیت کردن Key Usage میتوان Certificate را به انجام دادن کارهای محدودی کرد یا عملکردهای متعدی به عملکردهای آن اضافه کرد. شما بوسیله تنظیمات بالا میتوانید نحوه استفاده کردن از این Certificate را کنترول کنید.

و بقیه پرامترها که میتوانید آنها را در لینک زیر مطالعه کنید:

Certificate Template Extensions

https://technet.microsoft.com/library/cc754305

Image

در تب Subject Name می توانید تعیین کنید که نام استفاده شده برای این Certificate چگونه ایجاد شود. هر Certificate برای اینکه برروی Subjectی اعمال شود باید برای خود یک نام انتخاب کند. شما بوسیله تنظیمات بالا می توانید تعیین کنید این نام چگونه برای Subject انتخاب شود. که چندین گذینه دارید.

با انتخاب Supply the Request شما این نام را باید در CSR مشخص کنید. این فرایند را می توانید در این مقاله بخوانید.

گذینه دیگری وجود دارد به نام Build from this Active Directory information که این اطلاعات را از ساختار Active Directory استخراج میکند.

Image

نکته: یکی از مزایای استفاده از Enterprise CA این مورد می باشد. و همچنان که می دانید این قابلیت در Stand-Alone CA موجود نیست و شما باید این اطلاعات را در CSR مشخص کنید. برای اطلاعات بیشتر در مورد تنظیمات بالا لینک زیر را مطالعه کنید:

Subject Names

https://technet.microsoft.com/en-us/library/cc753994(v=ws.11).aspx

Image

در تب Security شما باید مشخص کنید چه کسی مجوز مدیریت این Certificate Template را داشته باشد؟ و همچنین این Certificate Template بر روی چه کسانی اعمال شود؟ و چگونه اعمال شود؟

شما علاوه بر بقیه Permissionها دو Permission متفاوت دارید:

Enroll=

اگر شما این مجوز را به گروهی دهید آن گروه می توانند بصورت دستی از طریق Snap-In Certificate Console یا از طریق Certificate Enrollment Web Service آن را درخواست و بر روی خود اعمال کنند.

AutoEnrollmet=

اگر این مجوز را به گروهی دهید Certificate Template بصورت اتوماتیک بر روی کلاینتها اعمال می شود و شما نیاز به انجام کار خاصی ندارید.

نکته: اگر می خواهید پروسه AutoEnrollmet بصورت کاملا اتوماتیک اعمال شود تنظیمات زیر که در تب Request Handling می باشد را بصورت پیش فرض رها کنید.

Image

بعد از انجام تنظیمات بالا و دادن Permission به گروه ها OK کنید تا Certificate Template ایجاد شود.

Image

نکته: ما هم اینک یک Certificate Template Version 4 ساختیم. که از قابلیتهای جدیدی استفاده می کند. پس به خاطر داشته باشید این قابلیتهای جدید فقط بر روی Windows 8 and Windows Server 2012 به بالا اعمال می شود. بعد از انجام مراحل بالا باید این Certificate Template را به CA Server معرفی کنیم برای اینکار

Image

Image

بعد از انجام مراحل بالاEnroll کردن Certificate Template بصورت دستی (Enrollment) و بصورت اتوماتیک (Auto-Enrollment) را توضیح می دهیم.

Certificate Enrollment


بر روی کلاینتها دستور MMC را اجرا کنید و کنسول Certificate را انتخاب کنید:

My user account:

manage certificates related to your account (personal certificate);

Service account:

manage certificates related to a service (IIS, LDAP etc.);

Computer account:

manage certificates related to the computer (or remote computer).

نکته: چون این Certificate برای Userهای دومین ایجاد شده در Snap-in بالا User Account را انتخاب کنید.

Image

Image

Image

با زدن دکمه Enroll این Certificateبر روی این کلاینت اعمال می شود.

Certificate Auto-Enrollment


نکته: قابلیت Auto-Enrollment فقط در محیط دومین قابل پیاده سازی می باشد.

برای اینکه کاربرها بتوانند اتوماتیک این Certificate را درخواست دهند و بر روی خود عمال کنند ما باید یک Group Policy برای آنها ایجاد می کنیم. برای اینکار کنسول Group Policy Management را اجرا کنید:

Image

Image

Image

گذینه های آن ساده هستن و نیازی به توضیح ندارند.

نکته: مراحل بالا را بر روی User and Computer انجام دهید.

بعد از اجرای دستور Gpupdate /force این Certificate بصورت اتوماتیک بر روی کلاینتها اعمال می شود.

Image

Image

در آخر این مقاله نکته ی درباره رمزگذاری اطلاعات را یاد آوری کنم که دید بهتری به شما می دهد:

By default, EFS certificates are self-signed; that is, they don't need to obtain certificates from a CA.

When a user first encrypts a file, EFS looks for the existence of an EFS certificate. If one isn't found, it looks for the existence of a Microsoft Enterprise CA in the domain. If a CA is found, a certificate is requested from the CA; if it isn't, a self-signed certificate is created and used.

However, more granular control of EFS, including EFS certificates and EFS recovery, can be established if a CA is present. You can use Windows 2000 or Windows Server 2003 Certificate Services.

در آخر برای عیب یابی این پروسه لینک زیر را مطالعه کنید:

Troubleshooting Certificate AutoEnrollmet in Active Directory Certificate Services (AD CS)

http://social.technet.microsoft.com/wiki/contents/articles/3048.troubleshooting-certificate-autoenrollment-in-active-directory-certificate-services-ad-cs.aspx

در جلسه اینده Renew کردن Certificate یا ایجاد یک Data Recovery Agent را آموزش خواهم داد.

موفق وپیروز باشید

نویسنده: احمد جهلولی

آیا این مطلب را پسندیدید؟
ردیف عنوان قیمت
1 Active Directory Certificate Services قسمت اول رایگان
2 Active Directory Certificate Services قسمت دوم رایگان
3 Active Directory Certificate Services قسمت سوم رایگان
4 Active Directory Certificate Services قسمت چهارم رایگان
5 Active Directory Certificate Services قسمت پنجم رایگان
6 Active Directory Certificate Services قسمت ششم رایگان
7 Active Directory Certificate Services قسمت هفتم رایگان
8 Active Directory Certificate Services قسمت هشتم رایگان
9 Active Directory Certificate Services قسمت نهم رایگان
10 Active Directory Certificate Services قسمت دهم (مهمترین قسمت) رایگان
11 Active Directory Certificate Services قسمت یازدهم رایگان
12 Active Directory Certificate Services قسمت دوازدهم رایگان
13 Active Directory Certificate Services قسمت سیزدهم رایگان
14 Active Directory Certificate Services قسمت چهاردهم رایگان
15 Active Directory Certificate Services قسمت پانزدهم (آخرین قسمت) رایگان
16 ایجاد Certificate Signing Request بوسیله کنسول MMC رایگان

برای ارسال نظر ابتدا به سایت وارد شوید

arrow