Aktif Dizin Sertifika Servisi: Rol Servisleri
Windows Server 2008 R2 üzerinde AD Sertifika Hizmeti’nin 6 bileşeni bulunmaktadır. Bu bileşenler şu şekildedir:
- Sertifika Otoritesi (Certification Authority) : Temel rol servisidir. Kök ve Alt CA sunucuları; etki alanındaki veya dışında bulunan kullanıcı, bilgisayar veya servislere sertifika verilmesi ve bu sertifikaların geçerliliğinin yönetilmesi işlemlerini gerçekleştirir.
- CA Web Kaydı (Certification Authority Web Enrollment): Kullanıcıların sertifika talep etmek, yenilemek, Sertifika iptal listesine (Certificate Revocation List – CRL) erişmek, akıllı kart sertifikalarının dağıtmak için basitleştirilmiş bir web ara yüzü sunmaktadır. Bu arayüze “http://SunucuAdi/certsrv” adresinden erişilebilir.
- Çevrimiçi Yanıtlama Hizmeti (Online Responder Service): Belirli sertifikaların iptal edilme durum bilgisi isteklerini alır, bu sertifikaların durumunu analiz eder ve istenen sertifika durum bilgilerini içeren imzalı bir yanıtı geri gönderir. Bu servis Online Certificate Service Protokol’ünü (OCSP) çalıştırır. Bu servis, kompleks yapılar içinde, Certificate Revocation List (CRL) kontrolünü daha rahat erişilebilir kılmaktadır. CRL girdileri, istekte bulunan kişiye tüm CRL yerine, geçerliliğini öğrenmek istediği sertifikanın geçerlilik durumunu imzalı olarak yollar. Bu sayede istemci, sertifika doğrulamak istediğinde hem harcanan toplam ağ trafiği büyük oranda düşmüş olur, hem de daha hızlı cevap alır. http://technet.microsoft.com/tr-tr/library/cc770413(v=ws.10).aspx
- Ağ Aygıtları Kayıt Servisi (Network Device Enrollment Service): Etki alanı hesabı olmayan yönlendiricilerin ve diğer ağ aygıtlarının, Simple Certificate Enrollment Protocol (SCEP) kullanarak sertifika almasına olanak sağlar. http://technet.microsoft.com/tr-tr/library/cc753784(v=ws.10).aspx
- Sertifika Kaydı Web Hizmeti (Certificate Enrollment Web Service): Kullanıcıların ya da bilgisayarların, bilgisayarlar etki alanı üyesi olmasa bile ya da etki alanı ağında olmasa bile, HTTPS protokolünü kullanarak sertifika kaydı gerçekleştirmelerini sağlar. Bu hizmet; gelen talepleri HTTPS trafiği üzerinden alır, talebi asıl yapan istemci adına DCOM protokolünü kullanarak CA’ya bağlanır ve sertifika kayıt işlemini tamamlar, daha sonra sertifika cevabını yine HTTPS üzerinden geri gönderir.
- Sertifika Kaydı İlkesi Web Hizmeti (Certificate Enrollment Policy Web Service): Kullanıcıların ve bilgisayarların sertifika kaydı ilkesi bilgilerini almalarını sağlar. Bu hizmet; ağdaki istemci bilgisayarlara sertifika ilkesini iletmek için HTTPS protokolünü kullanır. LDAP kullanarak AD-DS’ten sertifika ilke bilgisini alır, bu bilgiyi ön belleğinde saklar ve istemciye sunar. Bu hizmet, bir önce belirtilen rol servisi (Sertifika Kaydı Web Hizmeti) ile otaklaşa çalışır. Bu iki hizmet, istemci bilgisayar etki alanının bir üyesi olmadığında veya bir etki alanının bulunduğu ağa bağlı olmadığında da ilke tabanlı sertifika kaydı sağlar. Bu sayede orman (forest) sınırları dışarısında gereksiz yere CA kurulmasının önüne geçilebilmekte, organizasyon dışındaki iş ortakları ve hareketli (mobil) çalışanlara sertifika düzenlenebilmektedir.
