7 Nisan 2013 Pazar

AD-CS: Kurulum Türleri

Aktif Dizin Sertifika Servisi: Kurulum Türleri

İki türde AD-CS kurulumu gerçekleştirilebilir:
  • Enterprise CA
  • Standalone CA

Enterprise CA Kurulumu
Dijital imzalama, S/MIME kullanarak e-posta güvenliğini sağlama, SSL/TLS kullanarak güvenli bir Web sunucusuna kimlik doğrulaması yapma, akıllı kart kullanarak etki alanında oturum açma gibi amaçlarla sertifika yayımlayabilir. Enterprise CA şu özelliklere sahiptir:
  • Active Directory Etki Alanı Hizmetleri'ne (AD DS) erişim gerektirir.
  • Genellikle kayıt etme (issuing) işlemi için kullanılırlar.
  • Ormandaki (Forest) tüm kullanıcı ve bilgisayarlar için; sertifikasını, Güvenilen Kök Sertifika Yetkilileri (Trusted Root Certification Authorities) sertifika deposuna yerleştirmek amacıyla grup ilkesini kullanır. 
  • AD DS'ye kullanıcı sertifikaları ve sertifika iptal listeleri (CRL) yayımlar.
Enterprise CA'ları, bir sertifika şablonuna dayalı olarak sertifika verir. Sertifika şablonları kullandığınızda aşağıdaki işlevleri kullanmak mümkündür:
  • Enterprise Sertifika Otoriteleri, sertifika kaydı sırasında kullanıcılar için kimlik denetimini zorunlu kılar. Her sertifika şablonunun, sertifika istek sahibinin istediği türde sertifika almaya yetkili olup olmadığını belirleyen, AD DS üzerinde ayarlanmış bir güvenlik izni vardır.
  • Sertifika konusu veya adı, AD DS üzerindeki bilgilerden otomatik olarak oluşturulabilir veya istek sahibi tarafından sağlanabilir.
  • İlke modülü, verilen sertifikaya, sertifika uzantılarının önceden tanımlanmış bir listesini ekler. Uzantılar sertifika şablonu tarafından tanımlanır. Böylece, sertifika ve amaçlanan kullanımla ilgili olarak sertifika isteyenin sağlaması gereken bilgiler azalır.
  • Sertifika vermek için otomatik kayıt kullanılabilir. Ancak yöneticilerin, bu otomatik yapıyı kontrol etmesi ve güvenliğini sağlaması için, parola politikası gibi bazı politikaları sıkı tutması gerekir.

Standalone CA Kurulumu
Dijital imzalama, S/MIME kullanarak e-posta güvenliğini sağlama, SSL/TLS kullanarak güvenli bir Web sunucusuna kimlik doğrulaması yapma gibi amaçlarla sertifika yayımlayabilir. Standalone Sertifika Otoriteleri şu özelliklere sahiptir:
  • Enterprise Sertifika Otoriteleri’nin aksine Standalone CA'lar, Active Directory Etki Alanı Hizmetleri'ni (AD-DS) kullanmayı gerektirmez. AD DS kullanılsa bile, SO hiyerarşisinde ya sadece çevrimdışı güvenilen Kök Sertifika Otoriteleri olarak kullanılabilir; ya da istemcilere bir extranet veya Internet üzerinden sertifika vermek için kullanılabilir. 
  • Genellikle Kök ve Ara CA’lar için kullanılırlar.
  • Ağ bağlantısı kapalı tutularak, çevrimdışı olarak çalışmalıdırlar. Çevrimiçi çalışacaklarsa HSM (Hardware Security Module) kullanılmalıdır.
  • Sertifika oluşturmak için şablon kullanmazlar.
  • İstemciler, bir Standalone Sertifika Otoritesi’ne sertifika isteği gönderdiğinde, kendilerini tanımlayan bilgileri sağlamaları ve gereksinim duydukları sertifikanın türünü belirtmeleri gerekir. (Enterprise CA'larına istek gönderilirken bunların yapılmasına gerek yoktur; çünkü, etki alanındaki istemcilerin bilgileri zaten AD DS üzerinde bulunmaktadır ve sertifika türü de bir sertifika şablonuyla belirtilmiş olması gerekmektedir). İsteklerle ilgili kimlik doğrulama bilgileri yerel bilgisayarın Güvenlik Hesapları Yöneticisi (Security Accounts Manager) veritabanından alınır.
  • Varsayılan olarak, Standalone Sertifika Otoritesi’ne gönderilen tüm sertifika istekleri, Standalone Sertifika Otoritesi’nin yöneticisi gönderilen bilgileri doğrulayıp isteği onaylayana kadar beklemeye alınır. Sertifika isteyenin kimlik bilgileri Standalone Sertifika Otoritesi tarafından doğrulanmadığı için, yöneticinin bu görevleri gerçekleştirmesi gerekir.
  • Yöneticinin, Standalone CA'nın sertifikasını etki alanı kullanıcısının güvenilen kök deposuna dağıtması ya da kullanıcıların bu görevi kendilerinin yapması gerekir.
Standalone olarak kurulan bir sertifika otoritesi, AD-DS kullanırsa; bu sunucu aşağıdaki ek özelliklere sahip olur:
  • Domain Admins grubunun bir üyesi veya etki alanı denetleyicisine Yazma erişime sahip bir yönetici Standalone bir Kök (root) Sertifika Otoritesi yüklerse, etki alanındaki tüm kullanıcı ve bilgisayarlar için Güvenilen Kök Sertifika Yetkilileri (Trusted Root Certification Authorities) sertifika deposuna otomatik olarak eklenir. Bu nedenle, etki alanına Standalone bir Kök CA yüklenecekse, sertifika istekleri alındığında CA tarafından gerçekleştirilecek varsayılan eylem, istekleri beklemede (requests as pending) olarak değiştirilmelidir. Aksi takdirde, etki alanına sertifika isteyenin kimliğini doğrulamadan otomatik olarak sertifikalar veren bir güvenilen Kök CA yüklenmiş olur.
  • Kuruluştaki üst etki alanının Domain Admins grubunun bir üyesi veya AD DS'ya Yazma erişime sahip bir yönetici tarafından Standalone CA yüklenirse; yüklenen bu Standalone CA, kendi CA sertifikasını ve sertifika iptal listesini (CRL) AD DS'ye yayımlar.
Katmanlı Yapı
  • Tek katmanlı yapıda Kök SO Enterprise olarak kurulurken, Ara ve Kayıt Eden sertifika otoriteleri bulunmamaktadır.
  • İki katmanlı yapıda Kök SO olan Standalone, Kayıt Eden Sertifika Otoritesi Enterprise olarak kurulurken, Ara SO bulunmamaktadır.
  • Üç katmanlı yapıda Kök ve Ara SO Standalone olarak, Kayıt Eden SO Enterprise olarak kurulur.



Gönderen zaman:
Etiketler: , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)