آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / آشنایی با مفاهیم سرویس AD CS

آشنایی با مفاهیم سرویس AD CS

Active Directory Certificate Services در واقع هسته ی اصلی سرویسی است که ویندوز سرور 2008 R2 از آن برای مدیریت public key certificate استفاده می کند. با استفاده از AD DS، شما می توانید سلسله مراتب قابل درکی برای PKI ایجاد کنید که برای صدور و مدیریت certificate های سازمان شما قابل استفاده است. AD DS شامل:

  • Certificate authorities در واقع CA ها، سرورهایی هستند که شما با استفاده از آنها certificate ها را مدیریت و صادر می کنید. بدلیل سلسه مراتبی بودن PKI (بدین صورت که یک سرور root در سطح بالاتری قرار داشته و به ترتیب سرورها در سطوح پایین تری قرار می گیرند)، AD CS نیز از تمامی CA های root و subordinate و یا child پشتیبانی می کند. معمولا CA های root در واقع certificate ها را برای CA های subordinate صادر می کنند که آنها را قادر می سازد تا این certificate ها را برای کاربران، کامپیوترها و سرویس ها صادر کنند. CA های subordinate فقط در صورتی می توانند certificate صادر کنند که certificate خودش معتبر (valid) باشد. هنگامی که این certificate منقضی (expire) شود، subordinate CA می بایست certificate جدیدی را از root CA خود تقاضا کند. بدین منظور، مدت اعتبار certificate های root CA بیشتر از subordinate ها بوده و مدت اعتبار subordinate نیز نسبت به certificate کاربر بیشتر است.منظور از سلسله مراتبی بودن این سرویس ها (مانند سرویس WSUS)، بدین شکل است که یک سرور مسئول مدیریت سرورهای پایین دستی خود بوده و به کلاینت ها کاری ندارد (root CA). سرورهای subordinate نیز از سرورهای root دستور گرفته و به کلاینت ها سرویس می دهند.

  • CA Web Enrollment با استفاده از Web Enrollment، کاربران می توانند با مرورگر به CA متصل شده و certificate مورد نیاز خود را تقاضا کنند، ثبت کارت های هوشمند (smart card) و یا فراهم کردن لیست certificate های باطل شده (Certificate Revocation List یا CRL) را انجام دهند. CRL ها لیستی از کاربران PKI شما، به همراه لیستی از certificate های نامعتبر و یا ابطال شده را فراهم میکند.
  • Online responder این سرویس برای پاسخ به درخواست های معتبرسازی certificate خاص، از طریق پروتکل Online Certificate Status Protocol (یا OCSP) طراحی شده است. با استفاده از online responder (یا OR)، سیستم مبتنی به PKI نیازی به فراهم کردن CRL کامل نداشته و می تواند درخواست اعتبار سنجی خود را برای یک certificate خاص ارسال کند. OR درخواست اعتبار سنجی را رمزگشایی کرده و اینکه certificate معتبر است یا خیر را تعیین می کند. با تعیین این موضوع، وضعیت certificate درخواست شده بررسی شده و یک پاسخ رمزنگاری شده شامل اطلاعات متقاضی (کسی که certificate درخواست کرده است) را برمی گرداند. استفاده از online responder سریعتر و موثرتر از CRL است. Online responder ویژگی جدیدی ست که در ویندوز سرور 2008 R2 اضافه شده است.
  • Network Device Enrollment Service دستگاه هایی که از سیستم عامل های سطح پایین استفاده می کنند، مانند سوییچ ها و روترها می توانند از طریق Network Device Enrollment Service (NDES) ، با استفاده از پروتکل Simple Certificate Enrollment Protocol (SCEP) ، پروتکلیست که شرکت سیسکو آن را گسترش داده است، در ساختار PKI شرکت کنند. این تجهیزات معمولا در AD DS شرکت نکرده و حساب کاربری ندارند. حال با استفاده از NDES و SCEP، آنها می توانند جزوی از سلسله مراتب PKI شده و با استفاده از AD DS مدیریت و نگهداری می شوند.