AD-CS: Sertifika Otoriteleri için Katmanlı Yapı

Aktif Dizin Sertifika Servisi: Sertifika Otoriteleri

Sertifikaların Kullanım Alanları
Microsoft PKI yapısında 3 katmanlı sertifika otoritesi bulunmaktadır:

• Kök (Root) CA: Organizasyon PKI yapısında en güvenilir CA türüdür. Kök Sertifika Otoriteleri, son kullanıcılara da sertifika verebileceği gibi, sadece alt katmanındaki sertifika otoritelerine sertifika vermesi tavsiye edilmektedir. Kendi sertifikalarını kendileri imzalarlar.
• Orta/Alt (Intermediate / Subordinate) CA: Kök Sertifika Otoriteleri tarafından kendisine sertifika dağıtma yetkisi verilen otoritelerdir. Bu sertifika otoriteleri de direk olarak son kullanıcı ve bilgisayarlara sertifika vermezler, diğer otoritelerin sertifikalarını onaylarlar.
• Veren/İhraç Eden (Issuing) CA: Direk oalrak son kullancııdan gelen sertifika isteğini işler. Bu amaçla önce bu isteği alır, uygunsa onaylar, gerekli düzenlemeleri yaparak sertifikayı oluşturur ve sonra da yayımlar.

PKI yapısı oldukça iyi tasarlanması gereken bir yapıdır. Bu yapı oldukça esnek ve genişletilebilir. PKI yapısı tasarlanırken, kullanacak bir organizasyonda en az bir tane Kök Sertifika Otoritesinin bulunması zorunludur. Kök SO birden fazla da olabilir. Büyük ölçekli organizasyonlarda 5-6 katmanlı bir yapı, orta ölçekli organizasyonlarda 2 katmanlı bir yapı önerilmektedir. Küçük ölçekli sistemlerde ise sadece Kök SO’nin bulunması yeterli olacaktır.

Hiyerarşik yapının sebepleri
Hiyerarşik yapının oluşmasının birden fazla sebebi olabilir. Bunlardan bazıları şu şekildedir:

• Kullanım: Sertifikalar posta gönderme, doküman imzalama, disk şifreleme,… gibi farklı amaçlarla kullanılabilmektedir. Bu amaçlara yönelik olarak farklı otoritelerin kullanılması organizasyon için faydalı olabilmektedir.
• Kuruluş bölümleri: Sertifikalar, varlığın organizasyonundaki rolüne göre dağıtılabilmektedir. Rollere göre dağıtım farklı katmanlardaki otoritelerce gerçekleştirilebilir.
• Coğrafi bölümler: Farklı lokasyonlardaki sistemler için farklı SO ihtiyacı olabilmektedir.
• Yük dengeleme: Aynı türden sertifikalar vermek için birden fazla Orta (Intermediate) SO kullanılması ağ yükünü bu otoriteler arasında dağıtır.
• Yedekleme ve hataya dayanıklılık: Birden fazla SO bulunması, herhangi bir otoritede meydana gelebilecek bir problem sırasında, organizasyondaki operasyonların aksamasının önüne geçecektir.

Hiyerarşik yapının yararları
SO hiyerarşisinin yönetime sağladığı bazı yararlar şu şekildedir:

• Esnek ve genişletilebilir bir yapı sağlanabilmektedir.
• Farklı departmanlarda, lokasyonlarda farklı PKI güvenlik ilkeleri uygulanabilmektedir.
• Orta veya daha alttaki bir SO’nin saldırıya maruz kalması diğer SO’lerine bağlı sistemlerin işleyişini etkilemez.
• Alt sistemlerin kontrolü yetki devri sayesinde departman sorumlularına veya yöneticilerine verilebilir.