درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    تخفیف های وب سایت
    همه تخفیف ها

    عضویت در

    کانال تلگرام

    توسینسو

    اطلاعات مطلب
      مدرس/نویسنده
      احمد جهلولی
      امتیاز: 37751
      رتبه:18
      0
      79
      37
      616

      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      تاریخ 27 ماه قبل
      نظرات 2
      بازدیدها 531
      در این قسمت پیش نیازها و تنظیماتی که برای پیاده سازی CEP/CES لازم می باشد را برسی می کنیم.
      قبل از هر چیز بهتر است سناریو و کاربرد دو رول CESP/CES را توضیح دهیم.
      یکی از چالشهای سازمان های بزرگ که خود مسئول زیر ساخت کلید عمومی خود هستند صادر کردن و Renew کردن Certificate به کاربران خود در خارج از سازمان می باشد. با آمدن ویندوز سرور 2008 R2 مایکروسافت این مشکل بزرگ را با ارائه دو رول CEP/CES حل کرده است. این دو سریس باعث می شود که کاربران خارج از سازمان بتوانند بصورت اتوماتیک درخواست Certificate دهند و بر روی خود اعمال کنند و با قابلیت Key Based Renewal که در آموزش قبلی آن را برسی کردیم بصورت اتوماتیک بتوانند Certificate های خود را قبل از Expire شدن Renew کنند.
      خب!!! برای پیاده سازی این دو سرویس باید مراحل زیر را طی کنیم:

      1. Installation Requirements
      2. CA Requirement
      3. Client Requirement
      4. Network Connectivity Requirement
      5. Firewall Requirement
      6. Authentication Method Consideration
      7. Delegation Requirement
      8. Renewal-only Mode Requirement
      9. Renewal Requirement
      10. Service Account Configuration

      پیش نیازهای نصب:


      1. برای نصب و کانفیگ این دو رول باید عضو گروه Enterprise Admin و Local Administrator بود.
      2. کامپیوتری که می خواهید یکی از این دور رول را بر روی آن نصب کنید باید عضو Domain باشد.
      3. FFL ساختار باید از Windows Server 2008 به بالا باشد.
      4. این دو رول باید بر روی Windows Server 2008R2 به بالا نصب شوند.
      5. اگر از قابلیت Key based renewal استفاده می کنید سرورCA باید Windows server 2012 به بالا باشند.
      6. می توان این دو رول را بر روی یک کامپیوتر نصب کرد.
      7. می توان این دو رول را بر روی هر نسخه ای از Windows Server 2008 R2 or Windows server 2012 نصب کرد.
      8. شما می توانید این دو رول را در Windows server 2012 بر روی مد Core Installation نصب کنید.
      9. این دو رول برای ارتباط از SSL/TLS یا https با کلاینتها استفاده می کنند. پس قبل از نصب شما باید Certificate ی که حاوی Server Authentication باشد بر روی آن کامپیوتر اعمال کنید.

      10. پیش نیازهای CA Server:


      این پیش نیازها بر روی CA Serverی اعمال شود که ترافیک این دو رول به سوی آن هدایت می شود.
      1. در ساختار CES/CEP فقط از Enterprise CA Server پشتیبانی می شود.
      2. اگر کلاینتها از متد Client Certificate Authentication برای احراز هویت در CES استفاده کنند باید CA Server بر روی Windows Server 2008R2 نصب شود.
      3. اگر بر روی رول CES قابلیت Renewal-only mode فعال باشد CA Server باید بر روی Windows Server 2012 نصب شود.


      پیش نیازهای کلاینت ها:


      1. برای استفاده از این دو رول سیستم عامل کلاینتها حتما باید Windows 7 به بالا باشند.
      2. اگر قابلیت Key-based renewal بر روی Certificate Template ها فعال باشد کلاینتها باید از Windows 8 به بالا استفاده کنند.


      پیش نیازهای ارتباط کلاینتها با CESCEP و ارتباط CESCEP با AD DS and CA Server:


      یکی از مهمترین مراحل پیاده سازی این سناریو ارتباط همه یNode ها با هم دیگس مخصوصا که این دو رول در ناحیه DMZ شبکه قرار دارند. تمام ارتباطات کلاینتها با این سرویس ها از طریق پروتکل https صورت می گیرد. پس فقط ترافیک https 443 برای ارتباط کلاینتها با این دو رول لازم است. و ارتباط رول CEP با AD DS از طریق پروتکل LDAP or LDAPS و بوسیله پورت 389/636 انجام می شود و ارتباط CES با CA Server از طریق پروتکل DCOM صورت می گیرد که از پورتها بصورت تصادفی یا رندم استفاده می کند. گرچه شما می توانید این پورتهای رندم را در CA Server تنظیم و محدود کنید. برای اینکار لینک زیر را مطالعه کنید:

      How to configure RPC dynamic port allocation to work with firewalls

      https://support.microsoft.com/en-us/kb/154596
      


      نیازمندی های Firewall:


      اگر بین رول CEP و AD DS فایروالی باشد شما باید پورتهای زیر را برای ارتباط این دو سرور تنظیم کنید:
      Kerberos ports: 464, 440
      
      LDAP ports: 389, 636
      
      برای تنظیم Firewall برای رول CES شما باید CA Server را تنظیم کنید که از پورتهای مشخصی استفاده کند تا بتوان آن پورتها را بر روی Firewall تنظیم کرد.
      برای تنظیم پورتهای CA Server لینک زیر را مطالعه کنید:
      محدود کردن پورتهای RPC و عبور ترافیک Certificate Enrollment در TMG


      ملاحضاتی درباره نحوه احراز هویت در این سناریو:


      در این سناریو ما سه نوع روش احراز هویت داریم:

      1. Windows integrated authentication
      2. Client certificate authentication
      3. Username and password authentication

      اگه نخوام زیاد زوم کنم و توضیح بدم خلاصه کلام در روش Windows integrated authentication اینست که فقط برای کاربان عضو دومین کاربرد دارد. اگر رول CES/CEP را برای کاربران داخل سازمان پیاده سازی کردید از این متد استفاده کنید.

      و اما متد Client certificate authentication. اگر Certificate ی بر روی کامپیوتری اعمال شود آن کامپیوتر می تواند از این متد استفاده کند. و همچنین این روش نیازمند اتصال کامپیوترها بصورت مستقیم با دومین نیستند. استفاده از این متد همراه متد Username and password authentication می تواند امنیت بهتری برای سازمان به ارمغان بیاورد. و بهتر بتوان کاربران بیرون از سازمان را احراز هویت کرد.

      متد Username and password authentication که ساده ترین و کم امنیت ترین روش در این سناریو به حساب می آید. این روش نیازی به اعمال کردن Certificate بر روی کامپیوتر ندارد و برای کاربران خارج از سازمان کارائی دارد. بصورت خیلی ساده User & Pass را وارد می کنید و در CES احراز هویت می شوید.


      نیازمندی های Delegation:


      این Delegation را با Delegationی که بر رویOU ها اعمال میشه اشتباه نگیرید. در اینجا Delegation به یک سرویس اجازه می دهد که به عنوان یک User Account or Computer Account وارد عمل شده و به منابع شبکه دسترسی داشته باشد.
      برای اشنائی با Delegation مقاله زیر را دانلود و قسمت Delegating authentication را مطالعه کنید:
       https://www.microsoft.com/en-US/download/details.aspx?id=53314
      
      وقتی از Delegation استفاده می کنیم که شرایط پایین فراهم باشد:
      1. سرویس CES بر روی کامپیوتری غیر از CA Server نصب شده است.
      2. وقتی که کاربران بیرون از سازمان درخواست Certificate دهند. پروسه Certificate Enrollment
      3. وقتی از متد احراز هویت Windows integrated authentication and Client certificate authentication استفاده بشه.
      Delegation برای شرایط پایین لازم نیست:
      1. CA Server و CES بر روی یک کامپیوتر نصب شده باشند.
      2. از متد احراز هویت Username and password authentication استفاده کنیم.
      خب... اگر در هنگام کانفیگ این دو رول گذینه Use the built-in application pool identity را انتحاب کنید شما باید عملیات Delegation را بر روی Computer Accountی که CES را میزبانی می کند انجام دهید ولی اگر سرویس CES بر روی یک User Account اجرا شود شما در مرحله اول باید یک SPN برای آن User ایجاد کنید و بعد از Delegation را برای آن User تنظیم کنید.
      برای ایجاد SPN برای یک User از دستور setspn استفاده می کنیم. برای ایجاد SPN برای Userی به نام CES و کامپیوتری با دامنه cpandl-ces1.cpandl.com دستور زیر را اجرا می کنیم:
      setspn -s http/cpandl-ces1.cpandl.com cpandl\ces
      
      نوع Delegation ی که شما باید تنظیم کنید بستگی به متد احراز هویت دارد:
      1. اگر از متد Windows integrated authentication استفاده کنید باید گذینه Use Kerberos only را انتخاب کنید.
      2. اگر از متد Client certificate authentication استفاده کنید باید گذینه Use any authentication protocol. را نتخاب کنید.
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      در آموزش آتی این تنظیمات را بصورت عملی نشان می دهیم.


      نیازمندی های Renewal-only mode:


      برای سازمان های که قصد ندارند از Delegation استفاده کنند (استفاده از Delegation چون به کاربران خارج از سازمان مجوز دسترسی به بعضی از منابع داخلی شبکه را می دهد همیشه همراه با ریسک پیاده سازی می شود) و نمی خواهند رول CES را بر روی CA Server نصب کنند می توانند از Renewal-only mode استفاده کنند.
      با فعال کردن این قابلیت بر روی CES کامپیوترها و Subjectهای که بر روی آنها از قبل Certificate اعمال شده می توانند بصورت اتوماتیک Certificate های خود را قبل از Expire شدن Renew کنند.
      برای فعال کردن این قابلیت شما باید CA Policy Module flag را توسط دستور زیر فعال کنید:
      certutil -config "CAConfig" -setreg policy\EditFlags +EDITF_ENABLERENEWONBEHALFOF
      
      به جای CA Config شما باید Config CAساختار خودتون رو بذارید:
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      به عنوان مثال :
      Certutil -config " DC.MAHSHAHER.LOCAL\Mahshaher-Issuning-CA" -setreg policy\EditFlags +EDITF_ENABLERENEWONBEHALFOF
      


      نیازمندی های Service Account:


      هنگام تنظیم رول CES از شما خواسته میشه که Use the built-in application pool identity را انتخاب کنید یا Service Account؟؟؟ که گذینه دوم پیشنهاد شدس.
      بصورت پیش فرض CEP از اعتبار DefaultAppPool (ApplicationPoolIdentity) استفاده می کند. شما می توانید بعد از اتمام و نصب سرویس CEP تنظیمات پیش فرض را پاک کنید و از Service Account استفاده کنید.
      به نکات زیر توجه کنید:
      1. CEP/CES یا باید از Use the built-in application pool identity استفاده کنند یا Service Account. (برای زمانی که هر دو رول بر روی یک سیستم نصب میشوند سعی کند هر دو رول از یک متد استفاده کنند یا application pool identity یا Service Account)
      2. شما نمی توانید از Local User استفاده کنید.
      3. در تنظیمات بالا می توان از قابلیت Managed service accounts استفاده کرد.
      Service Account برای سرویس CES باید:
      1. عضو گروه IIS-IUSRS باشد.
      2. مجوز Request Certificate بر روی CA Server داشته باشد.


      CES/CEP در چه توپولوژی کاربرد دارد؟


      Intranet with a Single Forest

      در ساده ترین حالت CES/CEP می توانند در یک فارست فعالیت کنند و بر روی Issuing-CA نصب شوند ولی توصیه می شود هر کدام از این رول ها را بر روی یک سیستم جدا نصب و پیکربندی شوند. در چنین سناریوهای متد احراز هویت Windows integrated Authentication می باشد.
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      Intranet with Multiple Forests

      در این حالت که سازمان دارای چندین AD DS Forest می باشد شما می توانید ساختار PKI را در یک فارست راه اندازی کنید و از همان نقطه مدیریت کنید و علاوه بر اینها شما می توانید برای دیگر فارست ها Certificate صادر کنید. تنها فرقی که این سناریو با سناریوی Cross-forest Certificate Enrollment دارد نیاز به ایجاد رابطه Trust ندارید.
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      باز هم در این سناریو متد احراز هویت Windows integrated Authentication می باشد.

      Perimeter Network & Branch Office

      در سناریوهای که CES/CEP در DMZ شبکه قرار دارند. در چنین سناریوهای User and Computerهای که عضو دومین نیستند یا از طریق VPN به شعبه اصلی وصل می شوند می توانند درخواست Certificate دهند. در این ساختار هر دو رول در قسمت DMZ قرار دارند و کلاینتها از طریق پروتکل https می توانند با آنها ارتباط برقرار کنند. این ساختار برای کاربرانی مفید می باشد که بیشتر اوقات خارج از سازمان فعالیت می کنند یا شعبه های دیگر که از طریق VPN به سازمان وصل می شوند. به تصویر زیر توجه کنید:
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      همچنین می توان از توپولوژی زیر استفاده کرد:
      آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم

      CES/CEP را می توان بر روی شعبه های دیگری پیاده سازی کرد و ترافیک آن شعبه با شعبه های دیگر را به بسوی شعبه اصلی هدایت کرد.
      در اینجا پیش نیازهای راه اندازی CEP/CES را برسی کردیم در جلسه آینده که آخرین قسمت این سری آموزشی می باشد این دو رول را پیاده سازی می کنیم.

      نویسنده : احمد جهلولی
      منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
      برچسب ها
      ردیفعنوان
      1آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت اول
      2آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوم
      3آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سوم
      4آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم
      5آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پنجم
      6آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت ششم
      7آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هفتم
      8آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت هشتم
      9آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت نهم
      10آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دهم
      11آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت یازدهم
      12آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت دوازدهم
      13آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت سیزدهم
      14آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهاردهم
      15آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت پانزدهم ( پایانی )
      16ایجاد Certificate Signing Request بوسیله کنسول MMC
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • ممنون رفیق که مینویسی
      • مطالب سایت بسیار پربار و آموزنده می باشد . به نوبه خود از زحمات کلیه پشتیبانان و همچنین مدرسان این ساید بویژه آقای مهندس احمد جهلولی تشکر می کنم .

      برای ارسال نظر ابتدا به سایت وارد شوید