تبلیغات
قطره (ای از زندگی یک درگیر کامپیوتر) - ADCS و راه اندازی CA Server
 
اگر قادر نیستی خود را بالا ببری ،همانند سیب باش تا با افتادنت اندیشه ای بالا برود.

ADCS و راه اندازی CA Server

نوشته شده توسط :سعید كلانتری
شنبه 7 بهمن 1391-05:05 ب.ظ

لطفا ادامه مطلب

ADCS یکی از سرویسهای ویندوز سرور برای ایجاد و مدیریت Certificate ها بر پایه ی (Public key Infrastructure(PKI هست. از طریق این سرویس قادر هستید تا با راه اندازی یک Certification Authority(CA) Server اقدام به ایجاد Certificate ها برای تبادل امن اطلاعات و داده ها در شبکه داخلی خود کنید.

بطور خلاصه Certificate ها رو میشه در دو دسته طبقه بندی کرد. Self-Sign Certificate ها که تنها برای شبکه های داخلی معتبر هستند و دیگری trusted Certificate ها که در سطح شبکه داخلی و همین طور اینترنت. برای ایجاد یک Self-Sign Certificate میبایست با استفاده ADCS یک CA راه اندازی کنید و از آن طریق به ایجاد و مدیریت Certificate ها بپردازید.

برای راه اندازی CA ها از معماری سلسله مراتبی استفاده میشه البته با ساختارهای مختلف و هدف از همه این ساختارها افزایش سطح امنیت در پیاده سازی CA هاست.

ساده ترین ساختار، ساختار یک لایه هست به این ترتیب که تنها یک CA با نام Root CA برای ایجاد، انتشار و مدیریت Certificate ها پیاده سازی میشه. کنترل و مدیریت این CA به لحاظ امنیتی کمی دشوار خواهد بود.

ساختار بعدی ساختار دو لایه هست. به این ترتیب که شما یک CA Server به عنوان Root CA راه اندازی میکنید که تنها وظیفه ایجاد Certificate ها رو به عهده خواهد داشت و یک یا تعدادی CA دیگر با نام Issuing CA که وظیفه انتشار CA ها رو به عهده خواهد گرفت. در این ساختار Issuing CA ها درخواست ایجاد Certificate رو به Root CA شما ارسال میکنند و سپس Root CA اقدام به انتشار Certificate درخواست شده میکند.

و در نهایت ساختار سه لایه که در این ساختار شما یک Root CA سپس یک یا تعدادی  CA دیگر در لایه ی بعد با نام Intermediate CA و در انتها یک یا تعدادی Issuing CA در لایه سوم ایجاد خواهید کرد.

برای پیاده سازی یک CA با ساختار تک لایه مراحل زیر رو دنبال کنید:
در یک ماشین با سیستم عامل Windows Server 2008R2 که در دامنه بصورت Member Server هست وارد مسیر Start> Administrative Tools> Server Manager> Roles شده Add Role رو کلیک کنید و Role مربوطه یعنی Active Directory Certificate Services رو انتخاب و نصب و راه اندازی رو شروع کنید:

139 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه Role Services سرویس هایی که مربوط به ADCS میشه رو خواهید دید. Certificate Authority که جلوتر در موردش صحبت کردم. Certificate Authority Web Enrollment سرویسی هست که با ارائه یک Web Interface به کاربران اجازه ارسال درخواست برای دریافت Certificate ها رو از طریق Web فراهم میکنه. Online Responder با ارائه لیستی از Certificate های معتبر و نامعتبر معروف به CRL در واقع اعتبار Certificate های ایجاد شده رو بررسی و مشخص میکنه. Network Device Enrollmnet Service سرویسی است Device هایی نظیر Switch و Router رو با سرویس ADCS یکپارچه میکنه. Certificate Enroolment Web Services به همراه Certificate Enrollment Policy Web Services این امکان فراهم میکنند تا کاربران و کامپیوترهایی که عضو دامنه داخلی نیستند و یا کامپیوترهایی که عضو دامنه هستند و در خارج از شبکه داخلی قرار دارند بتونند درخواستهایی رو برای دریافت Certificate به CA ارسال کنند. تنها سه مورد ابتدایی رو انتخاب کنید:

140 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه Setup Type به دلیل اینکه ماشینی که CA Server عضوی از دامنه است گزینه Enterprise رو انتخاب کنید:

141 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه CA Type گزینه Root CA رو انتخاب کنید. به یاد داشته باشید بدون در نظر گرفتن ساختار پیاده سازی CA، همیشه اولین CA شما میبایست به صورت Root CA راه اندازی شود:

142 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه Private Key گزینه Create a new private key رو انتخاب کنید:

143 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه Cryptography نوع الگوریتمی در ساختار PKI برای رمزنگاری استفاده خواهد شد مشخص میشود. بدون تغییر تنطیمات به صفحه بعد بروید:

144 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

در صفحه CA Name نامی رو برای CA Server تعیین کنید. در صفحه Validity Period مدت زمانی که Certificate هایی ایجاد شده معتبر خواهند بود مشخص کنید. ادامه Wizard رو تا انتها بدون تغییر پیش برید تا CA شما نصب و راه اندازی بشه.

از مسیر Start> Administrative Tools> Certification Authority را اجرا کنید. کنسول مربوط به CA و مدیریت Certificate ها رو خواهید دید. در زمان راه اندازی CA بطور پیش فرض یک Certificate برای CA Server ایجاد خواهد شد. در کنسول گزینه Issued Certificates رو انتخاب کنید تا Certificate هایی که ایجاد شده اند ببینید:

145 ADCS و راه اندازی CA Server

 

 

 

 

 

 

 

 

 

 

 

 

 

در این پست تنها در رابطه با راه اندازی CA Server با استفاده از سرویس ADCS صحبت کردم. در بخش ها و پست های بعدی مربوطه در رابطه با نحوه ایجاد، توزیع و مدیریت Certificate ها با استفاده از سرویس های نصب شده در همین بخش صحبت خواهم کرد. تنها برای اینکه یک تصویر کلی در این رابطه داشته باشید باید بگم که شما در مرحله بعدی نیاز داره تا یک درخواست برای ایجاد Certificate به CA ارسال کنید. این درخواست یا از طریق یک Web Interface ( که به دلیل نصب سرویس Certificate Authorirt Web Enrollment در حال حاضر بر روی CA Server از طریق IIS راه اندازی شده و قابل دسترسی است ) و یا از طریق یک Issuing CA Server در معماری لایه دو و سه و یا از طرف یک Server مانند Exchange Server در شبکه داخلی شما ایجاد و به CA ارسال خواهد شد. شما میتونید از Template هایی که در CA وجود داره برای ایجاد Certificate ها نیز بهره ببرید. در مراحل بعد طی مراحلی CA Server اقدام به ایجاد Certificate خواهد کرد و در نهایت Certificate ایجاد شده به روشهای مختلف ( از طریق Policy یا روش های دیگر ) توزیع و منتشر خواهد شد.





درباره وبلاگ:



آرشیو:


طبقه بندی:


آخرین پستها:


پیوندها:


پیوندهای روزانه:


صفحات جانبی:


نویسندگان:


ابر برچسبها:


آمار وبلاگ:







The Theme Being Used Is MihanBlog Created By ThemeBox