نصب AD CS – نصب Root CA

نصب AD CS کمی شما را نسبت به سایر سرویس ها بیشتر درگیر می کند، زیرا انتخاب بین stand-alone و enterprise انتخاب اصلی و مهمی ست که شما می بایست درس تصمیم بگیرید. در بسیاری از موارد، شما ساختار سلسله مراتبی دوگانه (two-tiered) را نصب می کنید که خب ابتدا stand-alone CA را نصب کرده و سپس enterprise CA!

سروری که قرار است AD CS را روی آن نصب کنید می بایست از لحاظ سخت افزاری، حداقل هایی را داشته باشد، که می تواند سرور فیزیکی یا مجازی باشد:

• دارای چند پردازشگر بوده یا پردازشگری با بیش از یک هسته؛ زیرا فرایند صدور certificate را بیشتر می کند.
• حداقل میزان RAM، زیرا RAM کمترین اثر را روی فرایند صدور certificate دارد. ماشین های مجازی به RAM بیشتر از 512 MB نیاز ندارند.
• اختصاص هارد دیسک مجزا برای ذخیره certificate ها. روش ایده آل بدین شکل است که شما می بایست حداقل یک هارد دیسک جدا روی سرور نصب کنید تا دیتابیس روی آن ذخیره شود. سرورهایی که در سازمان های بسیار بزرگ certificate صادر میکنند، حتی می بایست هارد دیسکی برای log file های خود داشته باشند.
• طول و اندازه کلید ها را در اندازه متوسط تنظیم کنید تا بهترین کارایی را از سرور مشاهده کنید. طول کلیدها تاثیر مستقیمی روی کارایی CPU و هارد دیسک دارد. کلید های کوتاه هارد دیسک بیشتر، و کلید های بلند CPU بیشتری را درگیر می کنند.
• اگر از سیستم سخت افزاری و فیزیکی استفاده می کنید، استفاده از هاردهای RAID کارایی بهتر و مطمئن تری را مشاهده خواهید کرد.

شاید برایتان سوال شود که با نصب AD CS روی هر یک از نسخه های ویندوز سرور 2008 R2، کدامیک از ویژگی ها را خواهید داشت. لیست این ویژگی ها در جدول زیر آمده است:

نکاتی جهت آمادگی برای نصب Ad CS

توجه داشته باشید که شما می بایست قبل از نصب AD CS محیط را آماده کنید. پیش نیازهای لازم برای نصب AD CS شامل موارد زیر خواهد بود:

• یک AD DS forest با حداقل یک دامین.
• کامپیوترهایی که قرار است به عنوان سرور استفاده شوند می بایست:

• Root CA می تواند نسخه standard ویندوز سرور 2008 R2 باشد. به خاطر داشته باشید که به دلایل امنیتی، پس از اتمام پیاده سازی، root CA از شبکه جدا شود.
• Enterprise CA ها که قرار است certificate صادر کنند، می بایست حتما نسخه enterprise یا datacenter ویندوز سرور 2008 R2 باشد.
• Root CA حداقل دو درایو و enterprise CA نیز می بایست سه درایو برای ذخیره سازی certificate ها و log آنها داشته باشد (در هر CA یک درایو مخصوص نصب خود ویندوز خواهد بود).

• اگر شما قصد دارید سرویس NDES را نصب کنید، یک حساب کاربری مخصوص ایجاد کنید. حساب کاربری می بایست از نوع domain account بوده و آن را عضو گروه local IIS_IUSRS سروری کنید که قرار است این سرویس روی آن نصب گردد. به عنوان مثال نام این حساب کاربری را NDESService انتخاب کنید؛ زیرا این نام کاربری میان چندین کامپیوتر منتشر می شود.
• کلاینت ها نیز کافیست ویندوز 7 باشند تا certificate را درخواست و دریافت کنند.

نصب CA root

برای نصب root CA، می بایست سرور را ابتدا به دامین join کنید. شما برای نصب AD CS نیاز به دسترسی ادمین local دارید، اما به دلیل اینکه به دامین join شده اید، با همان ادمین دامین وارد شوید. توجه داشته باشید، سروری که قرار است به عنوان root CA استفاده شود، نسخه standard، enterprise و datacenter ویندوز سرور 2008 R2 روی آن نصب شده باشد.

• از server manager روی Roles راست کلیک کرده و Add Role کنید.
• گزینه Active Directory Certificate Services را انتخاب و next کنید.

• در مرحله بعد توضیحی مختصر از AD CS را مشاهده می کنید. Next کنید.
• در صفحه Select Role Services گزینه Certification Authority را انتخاب و next کنید. در این بخش گزینه های دیگری نیز مشاهده می کنید که چون این سرور قرار است root CA شده و آفلاین می شود، نیازی به انتخاب گزینه دیگری نیست.

• در صفحه Specify Setup Type، گزینه Standalone را انتخاب کنید.

• در صفحه CA Type روی root CA کلیک کنید.

• در صفحه Set Up Private Key، گزینه Create A New Private Key را انتخاب کرده و روی Next کلیک کنید. شما می بایست یک کلید خصوصی (private key) جدید بسازید، زیرا شما در حال ساخت root CA جدید هستید. حال فرض کنید، شما CA ای از قبل دارید که به دلایلی سرور fail می شود. در این صورت شما دیتابیس و private key را دارید. بنابراین شما در این مرحله نیازی به ساخت private key جدید نداشته و گزینه Use existing private key را انتخاب میکنید. دقت کنید که اگر شما از یک CA غیرمایکروسافتی خارج از شبکه (external third-party CA) استفاده می کنید، گزینه آخر را انتخاب کرده تا از private key آن CA استفاده کنید. منظور از گزینه آخر اینست که تیک گزینه Use existing private key را زده و گزینه select an existing private key on this computer را انتخاب کنید تا از key ای که توسط CA خارجی ایجاد شده است، استفاده کنید. شما می بایست key را قبل از نصب AD CS نصب کنید. برای اینکار از کاتالوگ CA غیر مایکروسافتی استفاده کنید.

• در صفحه Configure Cryptography For CA، همان حالت پیش فرض cryptographic service provider (CSP) را انتخاب کنید (RSA#Microsft Software key strong provider). اندازه طول key همان 2048 باشد. گزینه sha1 را برای الگوریتم hash انتخاب کنید تا certificate های صادر شده توسط CA، بر این اساس امضا و معتبر شوند. همچنین تیک گزینه Allow Administrator Interaction When The Private Key Is Accessed By The CA را بزنید. در این بخش چند گیزنه برای انتخاب دارید:

• CSP ها در واقع موتور اصلی CA هستند که Microsoft Crypto application programming interface یا همان API، از آن جهت تولید جفت کلیدها برای این root CA استفاده می کند. CSP ها می توانند نرم افزاری یا سخت افزاری باشند. برای مثال، RSA#Microsoft Software Key Storage Provider نرم افزاری بوده و RSA#Microsoft Smart Card Key Storage Provider بر پایه سخت افزار است.
• اندازه طول key، طول و تعداد کاراکتر جفت کلیدها را مشخص می کند. چهار حالت برای انتخاب وجود دارد (512 تا 4096). به خاطر داشته باشید که کلید طولانی و بلندتر، پردازش سرور را برای decode کردن آن بالا می برد.
• الگوریتم hash (مانند sha1) در واقع hash را برای جفت کلیدها تولید و به آنها اعمال می کند. به دلیل اینکه این hash به جفت کلیدها اعمال می شود، هرگونه دستکاری در کلید، مقدار hash را تغییر داده و کلید را غیر معتبر می سازد. مقادیر hash یکپارچگی کلیدها را حفظ کرده و بیشتر از کلید در برابر تغییرات محافظت میکند. حال روشی که شما برای hash انتخاب می کنید، در واقع نوع hashing را تغییر می دهد.
• آخرین گزینه که می توانید آن را انتخاب کنید (Allow Administrator Interaction…)، محافظت از root CA را بیشتر کرده که با انتخاب آن، استفاده از CA نیاز به دسترسی ادمین دارد و فقط با این دسترسی فعالیت می کند.

سعی کنید فقط در صورت نیاز تنظیمات پیشفرض را تغییر دهید، در غیر اینصورت به همین شکل next کنید.

• د ر صفحه Configure CA Name، می توانید در قسمت Common name for this CA، هر نامی را می توانید بنویسید، بخش distinguished name suffix بدون تغییر باقی گذاشته و next کنید. Common name در همه certificate های صادر شده توسط subordinate CA، جاسازی می شود. بنابراین یا نامی مناسب انتخاب کنید و یا بدون تغییر بگذارید؛ مانند ServerSetup-Root-CA

• در صفحه Set Validity Period، میزان اعتبار certificate هایی که این CA صادر می کند، مشخص می شود. بنابراین، چون این CA در واقع root CA محسوب می شود، میزان سال اعتبار certificate ها را به 20 تغییر داده و next کنید.

• در صفحه Configure Certificate Database، محل ذخیره دیتابیس certificate ها و log مربوط به آنها را مشخص می کنید. به دلیل اینکه این CA یک root CA بوده و می بایست آفلاین شود؛ و از آنجایی که certificate را فقط برای CA های صادر کننده certificate صادر می کند، می توانید هر دوی آنها را در یک درایو (به جز درایو ویندوز) ذخیره کنید. برای مثال، می توانید برای محل ذخیره دیتابیس روی Browse کلیک کرده و در درایو D یک پوشه به نام CertData ایجاد کنید تا در این
  
  
  پوشه ذخیره شوند. برای log ها نیز همانند دیتابیس پوشه ای به نام CertLogs بسازید.

• در صفحه Confirm Installation Selection، خلاصه ای از تنظیمات را دریافت خواهید که می توانید روی Install کلیک کرده تا root CA ایجاد شود. دقت کنید که با زدن Install دیگر قادر به تغییر نام سرور نخواهید بود؛ مگر با uninstall کردن سرویس AD CS!

پس از نصب root CA، به Server Manager برگشته و روی Active directory Certificate Services کلیک کنید تا نتیجه نصب خود را مشاهده نمایید. برای مثال، شما می بایست به event ID 103 برخورد کنید. این event به شما نشان می دهد که نام CA به Certificate Authorities container موجود در دامین AD DS اضافه خواهد شد.

در محیط های عملی و واقعی، می بایست این CA را پس از بروز شدن چرخه Group Policy (با دستور gpupdate می توانید آن را سریعتر کنید) از شبکه خارج کنید تا حفاظت از این سرور به بالاترین سطح خود برسد.

حال شما می توانید سراغ نصب CA های صادر کننده certificate یا issuing CA ها بروید. در محیط های واقعی، می بایست بیش از یک CA صادر کننده ایجاد کنید تا دسترسی به certificate با بالاترین سطح خود برسد.

نمایی از event ID 103 در شکل زیر آمده است: