آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services (صفحه ی 3)

Active Directory certificate Services

تفاوت بین Stand-alone CA و Enterprise CA

یکی از مهمترین قسمت های پیاده سازی AD CS، تصمیم گیری درباره ساختار آن است که به چه صورت سرویس نصب و پیکربندی شود. اولین و یکی از مهترین موارد، انتخاب نوع CA است. AD CS دو نوع CA را پشتیبانی می کند:

Stand-alone CA یک سرور CA که ضرورتا نیازی به اتصال و integrate شدن با AD DS را ندارد. یک stand-alone CA در واقع سروریست که یا روی کامپیوتری که عضو دامین است، نصب می شود و یا سروری که در محیط workgroup حضور دارد. Stand-alone CA ها گاها به عنوان root CA داخلی استفاده شده و معمولا بعد از اینکه certificate ها را برای سرورهای پایین دستی خود (subordinate) صادر کرد، به دلایل امنیتی آفلاین می شود. در این نوع CA، در واقع certificate ها بصورت دستی (manual) صادر و اعمال شده و بر پایه یکسری نمونه های استاندارد هستند که نمی توانید آنها را تغییر دهید. به یاد داشته باشید که سرور stand-alone CA می تواند عضوی از AD DS باشد (join به دامین باشد) اما اینکار ضرورتی ندارد. Stand-alone CA می تواند روی نسخه های standard، Enterprise و Datacenter ویندوز سرور 2008 R2 پیاده سازی شود.

ادامه ی مطلب

آشنایی با مفاهیم سرویس AD CS

Active Directory Certificate Services در واقع هسته ی اصلی سرویسی است که ویندوز سرور 2008 R2 از آن برای مدیریت public key certificate استفاده می کند. با استفاده از AD DS، شما می توانید سلسله مراتب قابل درکی برای PKI ایجاد کنید که برای صدور و مدیریت certificate های سازمان شما قابل استفاده است. AD DS شامل:

  • Certificate authorities در واقع CA ها، سرورهایی هستند که شما با استفاده از آنها certificate ها را مدیریت و صادر می کنید. بدلیل سلسه مراتبی بودن PKI (بدین صورت که یک سرور root در سطح بالاتری قرار داشته و به ترتیب سرورها در سطوح پایین تری قرار می گیرند)، AD CS نیز از تمامی CA های root و subordinate و یا child پشتیبانی می کند. معمولا CA های root در واقع certificate ها را برای CA های subordinate صادر می کنند که آنها را قادر می سازد تا این certificate ها را برای کاربران، کامپیوترها و سرویس ها صادر کنند. CA های subordinate فقط در صورتی می توانند certificate صادر کنند که certificate خودش معتبر (valid) باشد. هنگامی که این certificate منقضی (expire) شود، subordinate CA می بایست certificate جدیدی را از root CA خود تقاضا کند. بدین منظور، مدت اعتبار certificate های root CA بیشتر از subordinate ها بوده و مدت اعتبار subordinate نیز نسبت به certificate کاربر بیشتر است.منظور از سلسله مراتبی بودن این سرویس ها (مانند سرویس WSUS)، بدین شکل است که یک سرور مسئول مدیریت سرورهای پایین دستی خود بوده و به کلاینت ها کاری ندارد (root CA). سرورهای subordinate نیز از سرورهای root دستور گرفته و به کلاینت ها سرویس می دهند.

ادامه ی مطلب

مفهوم Public Key Infrastructure

Public key infrastructure یا PKI عنصر اصلی زیرساختار تمامی سازمان های جدید و مدرن است. تقریبا تمامی سازمان های امروزی از certificate های public key استفاده می کنند. این کلیدها برای ارتباطات امن وایرلس، سرویس های بازرگانی ایمن روی وبسایت ها، ارتباط امن با SSL برای شبکه های خصوصی مجازی (V.P.*)، ورود امن به ایمیل ها و یا هر جای دیگر، از certificate های PKI استفاده می شود. با PKI certificates زیرساخت ایجاد می شود. مایکروسافت، بصورت مستقیم، در ویندوز سرور 2008 قابلیت ایجاد و نگهداری PKI را داراست. Certificate ها، در واقع کار امنیت شبکه شما را آسان می کند. هنگامی که کاربران با استفاده از سیستم خود به سرور متصل می شوند، در واقع با این certificate ها، اطلاعات خود را رمزنگاری کرده و سپس به سرور ارسال یا از آن دریافت می کنند. سرور PKI certificates به تمامی کلاینت های شبکه شما certificate ارائه می کند. در واقع این زیر ساخت، محیط ناامن شبکه شما را به محیطی امن تبدیل می کند. در حقیقت، PKI ها می توانند به وفور برای اعتبارسنجی استفاده شود. Active Directory Domain Services به عنوان یک سیستم عامل شبکه (network OS) ، اصلی ترین عاملیست که احراز هویت و اختیارات کاربران را در شبکه داخلی به عهده دارد، ولی AD CS، همین سرویس ها را هم در شبکه داخلی و هم در شبکه خارجی فراهم می کند. برای مثال، وقتی شما به وبسایتی با HTTPS ای که شامل یک SSL certificate است، وارد می شوید، این certificate به شما اطمینان می دهد که شما دقیقا همان سایتی هستید که می خواهید؛ مثلا وبسایت بانک ها و شرکت هایی که برایشان امنیت و اعتماد مراجعه کنندگان اهمیت دارد از certificate های valid استفاده می کنند تا به شما اطمینان بدهند که به درستی وارد شده اید. اگر سایت های بزرگی مثل گوگل را مشاهد کنید، هنگامی که شما نام آنها را به هر صورتی در مرورگر وارد میکنید، ابتدای آدرس آنها HTTPS (معمولا سبز رنگ است) اضافه می شود که با کلیک بر روی آن با پیغام Identify verified مواجه می شوید؛ این بدان معناست وبسایتی که شما درون آن هستید، همان google.com اصلی و واقعیست.

ادامه ی مطلب