Active Directory certificate Services

یک online responder سرور معتبر و trust شده ایست که وقتی کلاینت خاصی اطلاعاتی را درباره وضعیت certificate ها درخواست کند، درخواست را دریافت کرده و به آن پاسخ می دهد. استفاده از online responder یکی از دو روش معمول برای اعتبار سنجی certificate هاست. برخلاف certificate revocation lists (CRLs) که بطور دوره ای اطلاعات تمامی certificate ها را در اختیار شما قرار می دهد (که کدام certificate ها منقضی شده و کدام قابل استفاده نیستند)، online responder فقط به درخواست های خاصی از طرف کلاینت ها (در مورد وضعیت certificate) پاسخ می دهد. میزان اطلاعات دریافتی در هر درخواست ثابت بوده و به اینکه چه تعداد certificate ابطال شده است مربوط نمی شود. همانطور که می دانید، راه دیگر برای دسترسی به لیست certificate های ابطال شده، CRL ها هستند.

در بیشتر موارد، online responder می تواند موثرتر از CRL ها درخواست وضعیت certificate ها را پردازش کند. برای مثال:

• کلاینت هایی که بصورت remote به شبکه متصل می شوند، برای اینکه بخواهند به لیست CRL ها دسترسی پیدا کنند، یا می بایست ارتباط پر سرعتی با شبکه داشته باشند و یا اینکه نیازی به لیست تمامی certificate ها ندارند.
• شبکه نیاز دارد که میزان بسیار بالایی از فعالیت های مربوط به بررسی ابطال certificate ها مدیریت کند، مانند زمانی که تعداد زیادی از کاربران بطور همزمان لاگین شده و یا ایمیل ارسال می کنند.
• یک سازمان به ابزار موثری نیاز دارد تا اطلاعات ابطال certificate هایی که از CA های غیر مایکروسافتی صادر می شوند را منتشر کنند.
• یک سازمان قصد دارد فقط اطلاعات بررسی ابطال certificate هایی را بدست آورد که مربوط به درخواست های خاصی هستند و نیاز به دریافت همگی آنها ندارد.

ادامه ی مطلب

Certificate templates برای ایجاد certificate هایی که شما در تنظیمات AD CS بکار می برید، استفاده می شود. Enterprise CA ها از نمونه های ورژن 2 و 3 استفاده می کنند. شما می توانید این نمونه ها را پیکربندی کرده و با توجه به نیاز شبکه خود، آنها را تغییر دهید. برای آماده سازی نمونه ها جهت کاربردهای مختلف، ابتدا می بایست هر نمونه را برای کاری که قصد انجام آن را دارید پیکربندی کرده و پس از تنظیم، هر کدام را در CA های موجود در شبکه منتشر کنید. پس از انتشار و اضافه شدن نمونه به CA، شما می توانید آنها را صادر کنید. در واقعا، شما certificate های مورد نیاز خود را شخصی سازی کرده و Certificate templates به آنها اجازه می دهد تا توسط CA صادر شوند. برای پیکربندی به issuing CA لاگین کرده و مراحل زیر را انجام دهید:

• از Server Manager و از قسمت Roles به Active Directory Certificate Services رفته و Certificate Templates را انتخاب کنید. توجه داشته باشید که تمامی نمونه های موجود در بخش جزییات لیست شده اند.

ادامه ی مطلب

همیشه پس از نصب هر سرویس، تنظیمات دیگری نیز برای پیکربندی و یا نگهداری بهتر از آن نیاز است. Revocation یکی از روش هایی کنترلیست که می توانید با استفاده از آن، certificate هایی که غیرقابل استفاده شدند و یا نیاز به کنسل کردن آن ها دارید را کنترل کنید. این مورد، یکی از دلایلی ست که شما قبل از صدور certificate، می بایست revocation را پیکربندی کنید (revocation در لغت به معنای لغو کردن است). برای ایجاد revocation، موارد زیر بایستی اجرا شوند:

• تعیین نقاط توزیع Certificate Revocation List (CRL)
• تنظیمات مربوط به CRL و Delta CRL
• زمانبندی انتشار CRL ها

برای آشنایی با مفاهیم بالا، به مطلب مربوط به معرفی و مفهوم Certificate Revocation List مراجعه کنید.

• برای تعیین CRL distribution point به CA وارد شده و کنسول Certification Authority را از Administrative Tools اجرا کنید.

ادامه ی مطلب

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

ادامه ی مطلب

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

• ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
•  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

ادامه ی مطلب