7 Nisan 2013 Pazar

AD-CS: En iyi uygulamalar


Aktif Dizin Sertifika Servisi: En İyi Uygulamalar
(Best Practices)
Bir organizasyonda Aktif Dizin Sertifika Servisi için tavsiye edilen en iyi uygulamalar şu şekildedir:

  • Organizasyondaki AD-CS ve PKI gereksinimi analiz edilmeli ve gerek duyuluyorsa planlı ve yazılı bir şekilde kurulum gerçekleştirilmelidir.
  • AD-CS sunucu rolünün yüklü olduğu makinede sadece DNS rolünün yüklü olması tavsiye edilmektedir. Özellikle AD-DS yüklü olmamasına özen gösterilmelidir. Aksi halde SO üzerindeki bir problem tüm etki alanındaki sistemlerin çalışmasına engel olabilir.
  • Tek katmanlı SO hiyerarşik yapıdan kaçınılmalıdır.
  • Sertifikaların geçerlilik süreleri operasyonel işlemlerin çok sık gerçekleştirilmemesi için çok kısa olmamalı, güvenlik zafiyeti ve kontrol eksikliğine sebep olmaması için çok uzun olmamalıdır.
  • Katmanlı yapılarda her katman arasındaki sertifika geçerlilik tarihinin en fazla 10 yıl olması tavsiye edilmektedir. Örneğin, Kök Sertifika Otoritelerinin sertifika ömrü 30 yıl iken, Ara Sertifika Otoriteleri’nin 20 yıl, Kayıt Eden Sertifika Otoriteleri’nin ise 10 yıl olması uygundur.
  • Sertifikaların kontrol edildiği CA kaldırıldığında, sertifika kontrolü gerçekleştirilemeyeceği için bazı uygulamalar düzgün çalışmayabilir. Bu sebeple kaldırılan Sertifika Otoritesi’nin sertifikası, üst Sertifika Otoritesi tarafından iptal edilmeli ve iptal nedeni belirtilmelidir. Daha sonra iptal nedeninin gösterildiği sertifika iptal listesi (CRL) yayınlanmalıdır.
  • Kök CA kaldırıldığında,bu KÖK CA tarafından verilen tüm sertifikalar iptal edilmeli ve iptal nedeni belirtilmelidir. Daha sonra iptal nedeninin gösterildiği sertifika iptal listesi (CRL) yayınlanmalıdır.
  • Sertifika Otoritesi’ne ait bilgisayarın adı ve etki alanı kurulum sonrasında değiştirilemez. Bu sebeple dikkatli olarak isimlendirme yapılmalıdır. Departman adı, lokasyon adı gibi bilgilerin isim içerisinde geçmemesi tavsiye edilmektedir.
  • Sertifika otoritesi kurulduktan sonra kurulum türü değiştirilemez. Bu sebeple, Enterprise veya Standalone kurulumlarından hangisinin kurulacağına dikkat edilmelidir.
  • Sertifika işlemlerinin yönetimi için grup ilkeleri uygun şekilde yapılandırılmalıdır.
  • Sertifika İptal Listeleri (CRL) ve SO sertifikalarına erişim kolay ve hızlı olmalıdır.
  • Sertifika Otoriteleri yedekli çalışmalıdır.
Gönderen zaman:
Etiketler: , , , , , , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)