درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوازدهم

1 نظرات
59 بازدیدها
در این قسمت مفهوم و کاربرد Certificate Enrollment Policy Web Services را برسی می کنیم.
Certificate Enrollment Policy Web Services به دو رول زیر اشاره دارد:

  1. Certificate Enrollment Policy Web Service (CEP)
  2. Certificate Enrollment Web Service (CES)

در مرحله اول مفاهیم و کاربرد هر کدام از این رولها را برسی می کنیم.در ابتدا باید بگم این دو رول با آمدن Windows Server 2008 R2 ایجاد شده اند و امکانات خارق العاده به سرویس AD CS اضافه کردن.

Certificate Enrollment Policy Web Service چیست؟


CEP یکی از رول های AD CS می باشد که User and Computer ها را قادر می سازد اطلاعات و سیاستهایcertificate enrollment را بدست آورند. اگر این رول را با رول Certificate Enrollment Web Service نصب کنید کاربران خارج از سازمان مانند کاربران اینترنت را قادر می سازد عملیات Certificate Enrollment را انجام دهند. CEP درخواستها را بوسیله https از کاربران دریافت می کند و با استفاده از پروتکل LDAP به Domain Controller وصل می شود و اطلاعات را استخراج می کند و به کلاینتها بر می گرداند. در نسخه های قبلی AD CS فقط کاربرانی که عضو Domain بودن می توانستن از LADP استفاده کنند و سیاستهای Certificate Enrollment را از DC بدست آورند. ولی با امدن این رول کاربران خارج از سازمان و کاربرانی که عضو دومین نیستن می توانند به این اطلاعات دسترسی داشته باشند. شما با Publish کردن این رول قادر خواهید بود:
  • از قابلیت Cross-forest Certificate Enrollment بدون ایجاد Trust بین Forestها استفاده کنیم. برای اشنائی و استفاده از قابلیت فوق به قسمت یازدهم مراجعه کنید.
  • کاربران اینترنت مانند موبایلها و بقیه دیوایسها می توانند از خدمات PKI سازمان بهره مند شوند.

شاید یکی سوالی داشته باشه که سیاستهای های PKI که این رول آنها را استخراج می کند چیست؟ این سیاستها نحوه جواب دادن CA به کاربران و نحوه Enroll کردن Certificate ها و Certificate Templateها را مشخص می کند. و همچنین یک سری قوانین برای اثبات یک CA مورد اعتماد برای کاربران وضع می کند. و چه Certificate ی می توان آنها را درخواست کرد و چه CA Server های می توانند چنین Certificate های را ارئه دهند.

Image


Certificate Enrollment Policy Web Service چیست؟


CES همانند CEP می باشد که بوسیله پروتکل https درخواست Certificate را از کاربران دریافت می کند و بوسیله پروتکلDCOM درخواستها را به CA Server واگذار می کند. در نسخه های قبلی فقط کاربران عضو دومین می توانستند از DCOM استفاده کنند. ولی با امدن این قابلیت کاربران خارجی می توانند از خدمات PKI استفاده کنند.

Image


فرق بین Certification Authority Web Enrollment و Certificate Enrollment Web Services در چیست؟


CA Web Enrollment اولین بار در Windows 2000 ارائه شده و کاربر را قادر می سازد که بوسیله یک Web Page که با ادرس https://Your-Server/certsrv قابل دسترس می باشد درخواست خود را در این سرویس اپلود کنند و پارمترهای مختلفی از قبیل لیست CRL و CA’s Certificate را دانلود کنند.CA web enrollment بوسیله یک مرورگر هم زمان می تواند فقط به یک کاربر سرویس دهد و برای اینکار نیاز به تنظیمات و پیش نیازی ندارد. در ضمن یکی از عیب های این سرویس دستی بودن درخواست ها توسط کاربران می باشد. مثلا اگر کاربری اطلاعات کافی از این سرویس ندارد نمی تواند از این سرویس استفاده کند. ولی Certificate Enrollment Web Services بیشتر بر روی اتومات کردن این پروسه فکوس کرده و کاربر و Application ها می توانند بصورت اتوماتیک درخواست Certificate دهند.Certificate Enrollment Web Services و Certification Authority Web Enrollment هر دو از پروتکل https برای اتصال با کاربران استفاده می کنند، و برای استفاده از Certificate Enrollment Web Services نیازمند Windows 7 به بالا می باشد.

مزایای استفاده از Certificate Enrollment Web Services چیست؟


استفاده از CEP//CES دو مزیت رو به ارمغان میاورد:

  1. Forest Consolidation
  2. Perimeter network certificate enrollment

در نسخه های قبل از Win 2088 R2 در سازمانهای که چندین AD DS Forest دارند برای اتومات کردن Certificate Enrollment باید در هر فارست یک Enterprise CA Server نصب کرد که هزینه و مدیریت زیادی مطلبد و همچنین هر Forest نیازمند Certificate Template های خود و همچنین نیازمند ایجاد یک Trust از نوع Two-way بین فارست بود. (در two tier PKI)

Image


با امدن رول های Certificate Enrollment Web Services چنین سازمانهای می توانستند بدون ایجاد Trust و با نصب یک Enterprise CA Server در یکی از فارستها به مقصود خود برسند.

Image


قبل از Win 2008 R2 برای اینکه کاربران بتوانند از قابلیت Certificate Enrollment بصورت اتومات استفاده کنند نیازمند این بودند که بصورت مستقیم به شبکه سازمان متصل باشند و عضو دومین شوند. با امدن قابلیت Certificate Enrollment Web Services و قرار دادن این سرورها در قسمت DMZ شبکه کاربران خارج از سازمان و کاربرانی که بصورت مستقیم به شبکه سازمان متصل نیستد می توانند از قابلیت Certificate Enrollment بصورت اتوماتیک استفاده کنند.

Image


در قسمت بعدی یکی از ویژگی های جدید که در Windows Server 2012 معرفی شده به نام Key Based Renewal را برسی می کنیم.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
برچسب ها
ردیف عنوان قیمت
1 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت اول رایگان
2 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم رایگان
3 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سوم رایگان
4 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم رایگان
5 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم رایگان
6 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت ششم رایگان
7 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم رایگان
8 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هشتم رایگان
9 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم رایگان
10 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم رایگان
11 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم رایگان
12 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوازدهم رایگان
13 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم رایگان
14 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم رایگان
15 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پانزدهم ( پایانی ) رایگان
16 ایجاد Certificate Signing Request بوسیله کنسول MMC رایگان
مطالب مرتبط

در حال دریافت اطلاعات

نظرات

برای ارسال نظر ابتدا به سایت وارد شوید

arrow