درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37801
رتبه:19
0
79
37
617

ویدیوهای پیشنهادی

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

تاریخ 32 ماه قبل
نظرات 0
بازدیدها 501
در این قسمت قابلیت Key Based Renewal را برسی می کنیم.
قابلیت Key Based Renewal اولین بار در Windows Server 2012 معرفی شده است. این قابلیت باعث می شود کاربرانی که عضو دومین نیستند بصورت اتوماتیک Certificateهای خود را Renew کنند.
برای اطلاع بیشتر درباره Renew کردن Certificate ها به قسمت هفتم از این سری آموزشی مراجعه کنید.
شاید بپرسید چرا ما برای این پروسه نیازمند این قابلیت هستیم؟
جواب : برای اینکه Subject ها بصورت اتومات بتوانند Certificate های خود را Renew کنند CA Server نیازمند اطلاعات مهمی می باشد. هویت درخواست کنند، ایا این درخواست کنند در خود سازمان فعالیت می کند یا در فارست های دیگر، مجوز این کار را دارد یا نه و ....
در درون سازمان تمام این اطلاعات بوسیله متد احزاز هویت ویندوز به نام Windows Integrated قابل دستیابی می باشد. ولی متاسفانه این متد برای کاربران خارج از سازمان کارائی ندارد. پس Key Based Renewal از دارنده خود Certificate و بوسیله خود Certificate آن Subject را احراز هویت می کند. در تعریف دیگر هویت هر Subjectی Certificate ی می باشد که دارد.
هر Subjectی که توانائی دسترسی به کلید خصوصی خود دارد می تواند قبل از Expire شدن Certificate آن را Renew کند.
اجازه بدید یک نگاهی به نیازمندی ها و تنظیمات این قابلیت بیندازیم تا بهتر این قابلیت را درک کنیم.

پیش نیازهای Key Based Renewal در تنظیمات Certificate Template ها:


اولین تنظیمی که بر روی Certificate Template ها انجام می شود فعال کردن گذینه زیر می باشد:
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

با فعال کردن گذینه زیر این قابلیت بر روی Certificate Template فعال می شود و Subjectهای که این Certificate بر روی آنها اعمال می شود می توانند بصورت اتوماتیک Certificate های خود را Renew کنند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: قبل از اعمال تنظیمات بالا تنظیمات تب Subject Name را انجام دهید. (در زیر آمده است) بدون تنظیم آن تب گذینه های فوق فعال نمی شوند.
نکته بعدی: علاوه بر تنظیمات بالا شما باید مجوز لازم برای کاربران خارج از سازمان در تب Security اعمال کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

شما با فعال کردن گذینه بالا به Certificate Template اجازه می دهید که از پارمترهای که بر روی آن ست می شود بعنوان Subject Name استفاده شود.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

به علت اینکه خود Certificate هویت درخواست کنند را مشخص می کند ما باید Client Authentication را بر روی این Certificate Template اضافه کنیم.
تنظیمات بالا پیش نیازهای پیاده سازی این قابلیت بود که برای اطلاع بیشتر درباره تنظیمات Certificate Template به قسمت ششم از این سری آموزش رجوع کنید.
علاوه بر تنظیمات بالا ما باید به Certificate Enrollment Policy دسترسی داشته باشیم. و همانطور که می دانید نمی توانیم از حالت پیش فرض Certificate Enrollment Policy استفاده کنیم چون استفاده از LDAP نیازمند عضو بودن در دومین هستش. (بوسیله LDAP اطلاعات Subject از AD استخراج و هویت Subject ها مشخص می شود)
پس آن چیزی که ما نیاز داریم استفاده از سرویس Web Enrollment Policy Service /CEP می باشد که در قسمت دوازدهم آن را برسی کردیم.

نیازمندی های Key Based Renewal در Certificate Enrollment Policy Service:


همانطور که می دانید کاربران خارج از سازمان نمی توانند از متد Windows Integrated استفاده کنند پس ما نیازمند متدی برای احراز هویت Subjectهای خارج از سازمان هستیم که علاوه بر متد Windows Integrated دو متد دیگر برای اینکار داریم:

  1. Username/Password
  2. Client Certificate

درباره Client Certificate قبلا توضیح دادیم و متد Usernamepassword هم کاربران با وارد کردن User Pass خود می توانند خود را در CEP احراز هویت کنند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

و همچنان نیازمند فعال کردن این قابلیت بر روی CEP هستیم
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم


نیازمندی های Key Based Renewal در Certificate Enrollment Web Service /CES:


هنگامی که شما سرویس CES را نصب و تنظیم می کنید می توانید آن را برای Certificate Enrollment و Key Based Renewal تنظیم کنید یا می توانید آن را فقط در مد Renewal only mode تنظیم کنید.
Renewal only mode چیست؟
بخاطر اینکه سرویس CEP در ناحیه DMZ شبکه قرار دارد و برای ارتباط با CA نیازمند ایجاد Delegate با CA Server می باشد (آموزش بعدی مفصل توضیح خواهم داد) یک هکر می تواند از این تنظیمات به نفع خود استفاده کند و کارهای ناخواسته ای را انجام دهد، بخاطر همین دلیل ما می توانیم سرور CES را جوری تنظیم کنیم که فقط Certificate ها را Renew کند و کسی اجازه ندارد درخواست Certificate جدید دهد. (فقط Certificate های که قبلا بر روی Subjectها اعمال شده را Renew می کند.)
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: سرویس CES با استفاده از متد Client Certificate سابجکت ها را احراز می کند و سپس از اعتبار خود استفاده می کند و درخواست را به CA Server ارائه می دهد و پس از بازگشت جواب از طرف CA Server آن را به سمت آن Subject ارسال می کند.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

قسمت بعدی انتخاب یک Service Account می باشد.اهمیت این قسمت را در بخش بعدی از این سری آموزش برسی می کنیم.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

در تصویر زیر شما باید نوع احراز هویت را در CES بر روی Client Certificate Authenticate ست کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

نکته: نوع احراز هویت در CEP می تواند با نوع احراز هویت در CES فرق داشته باشد.
علاوه بر فعال کردن Key based renewal در CEP شما باید این قابلیت را در CES نیز فعال کنید.
آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم

در آخر به اینم اشاره کنم که اگر Certificateی که Kay based renewal بر روی آن فعال است بنا به دلایلی بخواهیم باطل کنیم، برای اینکار مراحل زیر را انجام دهید: (متنش آسونه)

  1. Remove the template that has key-based renewal enabled from each CA that is issuing the template.
  2. Revoke the appropriate certificates.
  3. Publish an updated CRL for each CA that was issuing the template that had key-based renewal enabled.
  4. Reissue the certificate template that has key-based renewal to the appropriate certification authorities for issuance.

در این آموزش ما اصطلاح وکاربرد Key Based Renewal را توضیح دادیم و همچنین Renewal-only mode را نیز توضیح دادیم و گفتیم کی از این قابلیت استفاده کنیم و همچنین پیشنیازهای Key based renewal را به شما نشان دادیم.
در آموزش بعدی ما ساختار و تنظیمات راه اندازی CEP/CES را برسی و اماده سازی می کنیم.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
برچسب ها
ردیف عنوان
1 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت اول
2 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم
3 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سوم
4 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم
5 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم
6 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت ششم
7 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم
8 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هشتم
9 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم
10 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم
11 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم
12 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوازدهم
13 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم
14 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم
15 آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پانزدهم ( پایانی )
16 ایجاد Certificate Signing Request بوسیله کنسول MMC
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید