S/MIME etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
S/MIME etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

24 Haziran 2013 Pazartesi

Exchange Server: Sertifikalar && S/MIME

Exchange Server: Sertifikalar && S/MIME

Sertifikalar
Mail iletişimini daha güvenilir hale getirmek için sertifikalar kullanılabilmektedir. Exchange Server 2000 ve 2003 ortamlarında sertifika kullanımı yaygın olmamakla birlikte IIS üzerinde manuel olarak gerçekleştiriliyordu. Exchenge Server 2007 ile birlikte bu işlemler Exchange Management Console ve Exchange Management Shell üzerinde daha basit adımlar ile gerçeklenmeye başlamıştır.

Exchange Server 2010 üzerinde sertifika 5 servis için oluşturulabilmektedir. Bu servisler şunlardır:
  • IMAP
  • POP
  • SMTP
  • IIS (HTTP)
  • UM (Unified Messaging)

Bu trafikler ve kullanan bileşenler şu şekildedir:
  • SMTP: HTS ve ETS arasında veya ortak organizasyonlar arasındaki SMTP trafiğinde kimlik doğrulama ve şifreleme sağlamak için kullanılır.
  • EdgeSync Senkronizasyonu: HTS ve ETS arasındaki LSAP iletişimini şifrelemede kullanılır.
  • UM: UMS rolündeki sunucudan HTS rolündeki sunucuya, IP giriş kapılarına (gateway) ve Ofis İletişim Sunucuları’na (Office Communication Servers) giden SMTP trafiğini şifrelemek için kullanılır.
  • Autodiscover: CAS ve istemci arasındaki HTTPS trafiğini şifrelemek için kullanılır.
  • POP3/IMAP4: Posta alınması sürecinde şifreleme ve kimlik doğrulama için kullanılır.
  • Outlook Anywhere: CAS rolündeki sunucudan istemciye giden trafik güvenliğini sağlamak için kullanılır.
  • OWA: CAS rolündeki sunucudan istemciye giden HTTP trafiğinin güvenliğini sağlamak için kullanılır.
  • ActiveSycn: CAS rolündeki sunucudan istemciye giden HTTP trafiğinin güvenliğini sağlamak için kullanılır.

Kullanılan sertifika güvenilir bir sertifika otoritesi tarafından onaylanmış olabileceği gibi, kendimiz de bir sertifika oluşturabiliriz. Kendimizin onaylayacağı sertifikada bir uyarı mesajının çıkabileceği, bu uyarı mesajını almamak için istemcilere onaylayıcının sertifikasının yüklenmesi gerektiği unutulmamalıdır. İç sistemlerde kendimizin imzaladığı, dış sistemlerde ise bir CA tarafından imzalanan sertifikaların kullanılması önerilmektedir.
Kendimizin onayladığı sertifikaları kullanabileceğimiz sistemler şu şekildedir:
  • Hub Transport sunucuları arasına
  • HTS ve ETS arasında
  • EdgeSync trafiği için
  • UM trafiği için
  • Dahili CAS rolü sunucularında

CA tarafından onaylanan sertifikaları kullanabileceğimiz sistemler şu şekildedir:
  • POP3 & IMAP4 trafiği için
  • OWA için
  • Outlook Anywhere
  • ActiveSync için
  • Autodiscover için


Ek Bilgiler:
  • Exchange Server 2010 kurulumu sırasında varsayılan olarak SMTP sertifikası da oluşturulmuş durumdadır. Ama diğer iletişim protokolleri için sertifikalar, Exchange ortamı yöneticisi tarafından oluşturulmalıdır.
  • Exchange Server 2013 kurulumu sırasında MBS üzerinde kendinden imzalı sertifika yüklü olarak gelmektedir. CAS, MBS üzerindeki sertifikaya güvendiği için kullanıcılar herhangi bir sertifika uyarısı almamaktadır.
  • Sertifika oluşturulması için bakınız: http://www.cozumpark.com/blogs/exchangeserver/archive/2009/11/22/exchange-2010-sertifika-olu-turma.aspx


Secure/Multipurpose Internet Mail Extensions (S/MIME)
Sayısal imzalama gönderici taraflı kimlik doğrulama, bütünlük ve reddedilemezlik kazandırmak için kullanılan bir çözümdür. Sayısal imza ile, SMTP protokolünde olduğu gibi, posta açık olarak gönderilir. Base64 kodlama gerçekleştirilse bile şifreleme yapılmadığı sürece posta bir başkası tarafından okunabilir. Asimetrik şifreleme ile ise gizlilik, bütünlük ve alıcı taraflı kimlik doğrulama gerçekleştirilmektedir. Posta iletişiminde sayısal imzalama ve şifreleme kullanılması ile güvenlik arttırılması sağlanabilir. Bu amaçla posta içeriğine bir takım eklentiler konulmalıdır. MIME(Multipurpose Internet Mail Extensions) gönderilecek olan postaya resim, ses, görüntü gibi eklentileri eklemek için kullanılan bir internet standardıdır. Bu standarda bahsedilen güvenlik eklentilerinin eklenmesiyle yeni bir standart oluşturulmuştur. Bu standart S/MIME olarak adlandırılmaktadır. S/MIME temelinde asimetrik şifreleme ve sayısal imzalama yatmaktadır. S/MIME ile posta gönderilirken, önce göndericinin özel anahtarı ile imzalanır, sonra da alıcının genel anahtarı ile şifreleme gerçekleştirilir. Bu postayı alınırken, önce alıcının özel anahtarı ile şifre çözülür, sonra da göndericinin genel anahtarı ile doğrulama gerçekleşir. Böylece iki taraflı kimlik doğrulama, gizlilik, bütünlük ve reddedilemezlik sağlanır. Kullanılan sertifikalar etki alanını yöneticisi tarafından imzalanabildiği gibi, uluslar arası sertifika makamları tarafından da imzalanabilmektedir.

Ek Bilgiler:
  • Bu şekilde iletişim için posta istemcisinin S/MIME desteğinin olması gerekmektedir. Örneğin, OWA’da, S/MIME ActiveX kontrolü kullanılarak sağlanır. Bu sebeple ActiveX desteği olan bir istemci tercih edilmeli ve ActiveX özelliği açılmalıdır.
  • S/MIME desteği ilk olarak Exchange Server 2003 ile birlikte Outlook Web Access için yayınlanmıştı. Günümüzde bu destek gelişerek sürdürülmektedir. S/MIME v3 ile üç sarmallı bir iletişim (Triple-Wrapped Messages) sağlanmaktadır. Bu yapı ile önce imzalama, sonra şifreleme, sonra yine imzalama işlemi gerçekleştirilmektedir.
  • S/MIME ile gerçekleşen operasyonlar ile güvenlik sağlandığı gibi, bu operasyonlar istemci tarafında gerçekleştiği için posta sunucusu için herhangi bir işlem maliyeti yoktur. Diğer taraftan, kullanıcıların özel anahtarları etki alanı sunucusunda tutulmadığı durumlarda, sunucu tarafında yöneticilere kontrol eksikliği oluşabilmektedir. Posta sunucusundaki imzalanmış ve şifrelenmiş posta okunamadığı için taşıma kuralları uygulanamaz, Anti-virüs/Anti-spam gibi çözümlerle zararlı tespiti gerçekleştirilemez, veri kaçağı anlaşılamaz. Bu durum da kontrol eksikliğine sebep olabilmekte ve yasal düzenlemelere karşı bulguya sebep olabilmektedir.

Kaynak site:
http://technet.microsoft.com/en-us/library/aa995740(v=exchg.65).aspx
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , ,

7 Nisan 2013 Pazar

AD-CS: Sertifikalar

Aktif Dizin Sertifika Servisi: Sertifikalar

Microsoft Office Communications Server (OCS), Microsoft Exchange Server, IIS sunucular ve bir çok Microsoft sistemi sertifikalara ihtiyaç duymaktadır. Bu sertifikaların üretilmesi, geçerliliğinin kontrol edilmesi, yetkilendirme yapılması gibi merkezi bir yönetimin sağlanması, sertifika taleplerinin otomatik olarak gerçekleştirilebilmesi için bir otorite oluşturulması, PKI adı verilen bir alt yapının kurulması ihtiyaç olmuştur. Bu amaçla, Windows Server 2003’te Certificate Services olarak, Windows Server 2008’de ise Active Directory Certificate Service adı verilen bir hizmet kullanılmaktadır.

Burada bahsedilen otomatik talep (auto enrollment) ile Windows bilgisayarlar Enterprise olarak kurulum gerçekleştirilen CA’lar üzerinden otomatik olarak sertifika kaydı gerçekleştirebilirler. Bir bilgisayar etki alanından grup ilkelerini indirince sertifikalarını da günceller. Eksik tipte bir sertifika mevcutsa bu sertifikayı Enterprise CA’dan talep eder, geçersiz olanlar ya iptal edilir ya da güncellenir.

Sertifikaların Kullanım Alanları
AD-CS tarafından desteklenen uygulamalardan bazıları şu şekildedir:
  • S/Mime (Secure / Multipurpose Internet Mail Extensions) ve elektronik posta iletişimi
  • Kablosuz bağlantılarda güvenlik
  • VPN
  • IPSec ile güvenilir veri iletişimi
  • Web browser’daki sertifika ile kimlik doğrulama
  • EFS ile veri şifrelemesi
  • Akıllı kart ile kimlik doğrulama ve oturum açma
  • SSL ve TLS ile güvenilir veri iletişimi, LDAP
  • Dijital imza ile belge imzalama

Yararları
  • Klasik PKI tarafından sunulan yararlar Windows PKI tarafında da geçerlidir.
  • AD CS, organizasyonlara sertifika yönetimi ve dağıtımı için düşük maliyetli, verimli ve güvenli bir yol sunar.
  • Son kullanıcı AD üzerinde kimlik doğruladıktan sonra, kendilerine özel anahtarları kullanmaları sağlanır. Böylece transparanlık sağlanır.
  • Yazılımcılar Windows tarafından sunulan API’leri kullanarak kendilerine özel uygulamalar geliştirebilirler.

Sertifikaların İptali
Sertifikaların iptal edildiği durumlarda, sertifikaların geçerliliğini doğrulama girişiminde bulunan kişilere, bilgisayarlara ve uygulamalara sertifika iptali bilgilerini dağıtma gereği ortaya çıkar. İptal bilgileri verme gereği ve bunların zamanlanması, uygulamaya ve uygulamanın sertifika iptali denetimine bağlı olarak değişir.

Sertifika durumu ile ilgili iletişim için iki yol vardır:
  • Sertifika İptal Listeleri (CRL): Düzenli olarak dağıtılan ve iptal edilen veya askıya alınan tüm sertifikaların seri numaraları gibi bazı bilgileri içerir. Bir istemcinin sertifika iptal durumunu denetleyebilmesi için, CA tarafından iptal edilen tüm sertifikalarla ilgili bilgilerin yer aldığı bir CRL'yi karşıdan yüklemesi gerekir. Bu durum hem fazla bant genişliği harcanmasına hem de fazla depo alanı istemektedir. Ayrıca bu listelerin sık sık değişmesi maliyeti arttırırken, uzun süre değişmemesi ise güvenliğe tehdit oluşturmaktadır. Tüm iptal edilen sertifikaların bulunduğu listeye Full CRL, Full CRL alındıktan sonra güncelleme yapılan iptal listesine ise Delta CRL adı verilir.
  • Çevrimiçi Yanıtlayıcı: Çevrimiçi Sertifika Durumu Protokolü'ne (OCSP) dayanır. Çevrimiçi Yanıtlayıcılar kullanıldığında, hedef istemciler tüm sertifika iptal verilerini almaz sadece sorgulama yaptıkları sertifikanın durumunu alır. Sertifika durumunu imzalı olarak döner. Sonuçta Sertifika Otoritesi’ndeki sertifika veritabanında iptal edilmiş kaç sertifika olursa olsun, istek başına alınan veri miktarı sabittir.

Grup ilkeleri ile sertifikaların yönetimi
Bir Active Directory Etki Alanı Hizmetleri (AD DS) ortamında, sertifikalarla ilgili bazı işlemleri yönetmek için grup ilkeleri kullanılabilir. Grup ilkeleri ile gerçekleştirilebilecek bazı işlemler şunlardır:
  • Kimlik bilgisi dolaşımı: AD DS'deki bir kullanıcıya özel X.509 sertifikalarının, sertifika isteklerinin ve özel anahtarların kullanıcı profilinden bağımsız olarak depolanmasına ve ağdaki herhangi bir bilgisayarda kullanılmasına olanak sağlar. Böylece, istemcilerin sertifikaları ve gizli anahtarları, istemcinin oturum açtığı bilgisayar ile AD üzerinde senkron olarak saklanabilmektedir. Bu durumda, daha yeni olan sertifika veya anahtar diğerini günceller ve istemci başka bir bilgisayarda oturum açtığında, güncel sertifikaları kullanarak işlemlerini gerçekleştirir. Sonuç olarak, hem istemci eski anahtar ve sertifikaları kullanmamış olur, hem de sertifika ve anahtarların bir bilgisayardan diğerine taşınması için operasyon yapılmasına gerek kalmaz.
  • Sertifikaların otomatik kaydı: Grup ilkeleri kullanılarak; kullanıcılar, bilgisayarlar veya hizmetler sertifikalara otomatik olarak kaydettirilir. Kullanıcı ve bilgisayarlara verilen kayıt işlemleri otomatik olarak gerçekleştirilirken, ya şablonlar kullanılmalıdır ya da grup ilkeleri yapılandırılmalıdır.
  • Sertifika yolu doğrulama: Grup ilkelerindeki sertifika yolu doğrulama ayarları ile Ara (Intermediate) Sertifika Otoritesi’ne ait sertifikaları dağıtma, güvenilmeyen sertifikaları engelleme, kod imzalama için kullanılan sertifikaları yönetme, sertifikalar ve sertifika iptal listeleri (CRL) için alma ayarlarını yapılandırma gibi bir çok işlem gerçekleştirilebilir.
  • Sertifika dağıtımı: Sertifikalara olan güvenin yönetilmesi sağlanır. Grup ilkeleri ile güvenilir sertifikalar belirlenebilir, Verisign gibi dış Sertifika Otoriteleri’nden alınan ve iptal edilemeyen sertifikaların kullanımı sınırlandırılabilir veya önlenebilir. Not: Grup ilkeleri ile, bilgisayarların Trusted Root Certification Authorities konteynırına Sertifika Otoritesi sertifikaları eklenebilirken, kullanıcıların grup ilkelerine eklenememektedir.
Gönderen zaman: Hiç yorum yok:
Etiketler: , , , , , , , , , , , , , ,
Kaydol: Yorumlar (Atom)