آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / نصب AD CS – نصب Enterprise Issuing CA – بخش اول

نصب AD CS – نصب Enterprise Issuing CA – بخش اول

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

  • در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

همچنین شما نمیتواند گزینه Network Device Enrollment Service (NDES) را انتخاب کنید که آن هم نصب گردد، زیرا AD CS نصب یک CA را همزمان با نصب NDES پشتیبانی نمیکند. اگر به NDES نیاز دارید، می بایست ابتدا CA را نصب کرده و دوباره به این صفحه برگردید و آن را نصب نمایید.

certificate services 17

  • در صفحه Specify Setup Type، گزینه Enterprise را انتخاب و next کنید. ممکن است در برخی اوقات، این گزینه غیرفعال باشد. دقت کنید که حتما با ادمین دامین لاگین کرده باشید، در غیر اینصورت فعال نخواهد شد.

certificate services 18

  • در صفحه Specify CA Type، گزینه Subordinate CA را انتخاب و next کنید.

certificate services 19

  • در صفحه Set Up Private Key، گزینه Create A New Private Key را انتخاب و next کنید.

certificate services 10

  • در صفحه Configure Cryptography For CA، با همان تنظیمات پیشفرض next کنید.

توجه: دقت کنید که گزینه Allow Administrator Interaction When The Private Key Is Accessed By The CA را انتخاب نکنید! زیرا برخلاف root CA (در root CA بهتر بود که این گزینه انتخاب شود تا فقط کاربرانی که دسترسی ادمین داشتند به root CA دسترسی پیدا کنند)، این CA یک CA صادر کننده certificate برای همه کاربران با هر نوع دسترسی بوده و می بایست کاربران بتوانند با آن در تعامل باشند.

certificate services 20

  • در صفحه Configure CA Name، نام CA را به گونه ای انتخاب نمایید که قابل تشخیص باشد. برای مثال می توان بصورت SeverSetup-Issuing-CA01 باشد.

تذکر: در انتخاب نام سرورها دقت کنید تا اشخاصی که غیر از شما قرار است با سرورها کار کنند، بتوانند به راحتی سرور را شناسایی کنند. در اینجا چون قرار است بیش از یک CA صادرکننده داشته باشید، از 01 استفاده شد تا قابل تشخیص باشد.

certificate services 21

  • در صفحه Request Certificate From A Parent CA، قرار است این CA صادرکننده از root CA درخواست certificate کند. برای اینکار، دو گزینه برای انتخاب وجود دارد:
  1. اگر root CA آنلاین بوده و همچنان در شبکه است، گزینه Send a certificate request to a parent CA را انتخاب کرده و از قسمت Browse، همان root CA را انتخاب نمایید.

certificate services 22

در این حالت (که کمتر در شبکه های مهم و بزرگ اتفاق می افتد) شما root CA را انتخاب کرده و بطور خودکار برای این issuing CA یک certificate صادر کرده و آن را قابل استفاده می سازد. در اینصورت مراحل را next کرده تا CA نصب شده و certificate خود را از root CA دریافت کند.

 2. اگر به محض نصب و راه اندازی root CA، آن را از شبکه جدا کرده و آفلاین است (در محیط هایی که امنیت بسیار مهم است) گزینه Save A Certificate Request To File And Manually Send It Later To A Parent CA را انتخاب کنید. در واقع شما با انتخاب این گزینه فایلی را ایجاد کرده و بصورت دستی برای root CA ارسال می کنید تا از او درخواست certificate کنید. پس از انتخاب این گزینه، نام فایلی که قرار است به root CA ارسال کرده و تقاضای certificate کنید در قسمت file name نوشته شده است. نام را بدون مسیر (فقط نام با پسوند و بدون مسیر را کپی کرده و نگه دارید).

certificate services 23

حال Browse را زده و در مسیری مانند My Document رفته و نامی که کپی کرده اید را در قسمت file name قرار داده (paste کنید) و ذخیره کنید.

certificate services 24

پس از اینکار next کنید.

  • در صفحه Configure Certificate Database، محل ذخیره دیتابیس و log مربوط به certificate ها را تعیین می کنید. همانطور که می دانید، در محیط های واقعی بایستی این ها را در محلی غیر از محل نصب ویندوز ذخیره نمود. شما می توانید برای محل ذخیره دیتابیس روی Browse کلیک کرده و در درایو D یک پوشه به نام CertData ایجاد کنید تا در این پوشه ذخیره شوند. برای log ها نیز همانند دیتابیس پوشه ای به نام CertLogs بسازید.

certificate services 14

  • پس از این مراحل به نصب IIS خواهید رسید که تمامی مراحل را next کرده و Install کنید.

برای جلوگیری از طولانی شدن پست، نحوه فراهم کردن certificate تقاضا شده به root CA و نصب آن را در پست بعدی مشاهده کنید. برای مشاهده بخش دوم، روی لینک زیر کلیک کنید:

دریافت و نصب certificate از root CA برای issuing CA