آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 (صفحه ی 3)

کد 640-70

نصب AD CS – نصب Enterprise Issuing CA – بخش اول

  • پنج‌شنبه ، 15 ژانویه
  • رضا افخمی
  • 0 دیدگاه

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

  • در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

ادامه ی مطلب

نصب AD CS – نصب Root CA

  • چهارشنبه ، 14 ژانویه
  • رضا افخمی
  • 0 دیدگاه

نصب AD CS کمی شما را نسبت به سایر سرویس ها بیشتر درگیر می کند، زیرا انتخاب بین stand-alone و enterprise انتخاب اصلی و مهمی ست که شما می بایست درس تصمیم بگیرید. در بسیاری از موارد، شما ساختار سلسله مراتبی دوگانه (two-tiered) را نصب می کنید که خب ابتدا stand-alone CA را نصب کرده و سپس enterprise CA!

سروری که قرار است AD CS را روی آن نصب کنید می بایست از لحاظ سخت افزاری، حداقل هایی را داشته باشد، که می تواند سرور فیزیکی یا مجازی باشد:

  • دارای چند پردازشگر بوده یا پردازشگری با بیش از یک هسته؛ زیرا فرایند صدور certificate را بیشتر می کند.
  • حداقل میزان RAM، زیرا RAM کمترین اثر را روی فرایند صدور certificate دارد. ماشین های مجازی به RAM بیشتر از 512 MB نیاز ندارند.
  • اختصاص هارد دیسک مجزا برای ذخیره certificate ها. روش ایده آل بدین شکل است که شما می بایست حداقل یک هارد دیسک جدا روی سرور نصب کنید تا دیتابیس روی آن ذخیره شود. سرورهایی که در سازمان های بسیار بزرگ certificate صادر میکنند، حتی می بایست هارد دیسکی برای log file های خود داشته باشند.
  • طول و اندازه کلید ها را در اندازه متوسط تنظیم کنید تا بهترین کارایی را از سرور مشاهده کنید. طول کلیدها تاثیر مستقیمی روی کارایی CPU و هارد دیسک دارد. کلید های کوتاه هارد دیسک بیشتر، و کلید های بلند CPU بیشتری را درگیر می کنند.
  • اگر از سیستم سخت افزاری و فیزیکی استفاده می کنید، استفاده از هاردهای RAID کارایی بهتر و مطمئن تری را مشاهده خواهید کرد.

شاید برایتان سوال شود که با نصب AD CS روی هر یک از نسخه های ویندوز سرور 2008 R2، کدامیک از ویژگی ها را خواهید داشت. لیست این ویژگی ها در جدول زیر آمده است:

ادامه ی مطلب

ویژگی های جدید AD CS در Windows Server 2008 R2

  • جمعه ، 9 ژانویه
  • رضا افخمی
  • 0 دیدگاه

همانند دیگر سرویس های ویندوز سرور 2008 R2، سرویس AD CS نیز به روز شده و ویژگی های جدیدی نسبت به ویندوز های قبلی به آن اضافه می شود. سه ویژگی جدید:

  • سرویس های Certificate Enrollment و Certificate Enrollment Policy Web services
  • Certificate enrollment across forests
  • پشتیبانی بهتر از high-volume CA

سرویس های AD CS Web جدید

ویژگی Web Services جدید برای AD CS، پشتیبانی از certificate enrollment روی پروتکل HTTP است. Web Services به عنوان یک پ-ر-وک-س*ی بین کلاینت و Certificate Authority عمل می کند. این کار ارتباط مستقیمی بین کلاینت و CA روی اینترنت ایجاد کرده و certificate enrollment به همان راحتی و امنیت موجود در forest انجام می شود. کارمندانی که درحال سفرند، شرکت های پارتنر و کارمندانی که بصورت remote کارها را انجام می دهند، می توانند از طریق اینترنت درخواست certificate بدهند و آن را برای پشتیبانی ساده تر کنند. سازمان های بزرگ و یا سازمانهایی که می بایست از چندین مزر امنیتی عبور کنند تا به forest برسند، از این فرایند آسان شده توسط Web Services لذت ببرند.

برای استفاده از Web Services جدید، شبکه شما می بایست نیازمندی های زیر را داشته باشد:

  • Forest functional level می بایست ویندوز سرور 2008 R2 باشد.
  • Enterprise CA می بایست ویندوز سرور 2008 R2، ویندوز سرور 2008 و یا ویندوز سرور 2003 باشد.
  • کامپیوترهای کلاینت ها می بایست ویندوز 7 به بالا باشند.
  • برای پشتیبانی از cross-forest enrollment می بایست، enterprise CA ها در هر forest، باید یا نسخه Enterprise ویندوز سرور باشند یا نسخه Datacenter

ادامه ی مطلب

ایجاد سلسله مراتب در CA ها – CA Hierarchy

  • پنج‌شنبه ، 8 ژانویه
  • رضا افخمی
  • 0 دیدگاه

یکی دیگر از مهمترین مواردی که می بایست در پیاده سازی CA دقت کنید، امنیت آنهاست. به دلیل زنجیره وار بودن و سلسله مراتبی بودن CA ها، هر گونه تغییری در root CA بیافتد، بطور خودکار به CA های سطوح پایین تر و certificate ها تاثیر خواهد گذاشت. به همین دلیل می بایست تا حد ممکن امنیت root CA را بالا ببرید. در حقیقت، مرسوم ترین حالت برای پیاده سازی سلسله مراتب در CA ها، بهتر است پس از پیاده سازی، root CA را آفلاین کنید. از لحاظ منطقی نیز اگر سروری آفلاین باشد، ایمن ترین حالت ممکن را خواهد داشت.

همانطور که می دانید، هر سناریوی طبقاتی و سلسله مراتبی، از چندین طبقه یا مرحله تشکیل شده است. این تعداد طبقه به چند فاکتور بستگی دارد. شما می بایست اندازه و توزیع منطقه ای شبکه و Trust relationship هایی که بین CA ها و سرورهای مسئول نگهداری certificate ها را بررسی کنید. به خاطر داشته باشید که هر زمانی یک certificate آماده و صادر شد، می بایست از طریق CRL یا online responder معتبر شود تا قابل استفاده گردد؛ بنابراین شما می بایست با برخی از سطوح یا طبقات ارتباط داشته باشید.

حال می بایست به مواردی بپردازید که نصب AD CS شما را تحت شعاع قرار می دهد. آیا شما با افراد یا شبکه هایی در خارج از شبکه شما در ارتباط خواهید بود؟ از smart card استفاده خواهید کرد یا خیر؟ از شبکه های وایرلس استفاده می کنید؟ از IPsec یا SSTP جدید استفاده می کنید؟ بطور کلی، شما نیاز دارید که همیشه هویت یک تجهیز، برنامه یا یک کاربر را مشخص کنید که توسط AD CS یا CA های غیر مایکروسافتی انجام می پذیرد.

ادامه ی مطلب

تفاوت بین Stand-alone CA و Enterprise CA

  • سه‌شنبه ، 6 ژانویه
  • رضا افخمی
  • 0 دیدگاه

یکی از مهمترین قسمت های پیاده سازی AD CS، تصمیم گیری درباره ساختار آن است که به چه صورت سرویس نصب و پیکربندی شود. اولین و یکی از مهترین موارد، انتخاب نوع CA است. AD CS دو نوع CA را پشتیبانی می کند:

Stand-alone CA یک سرور CA که ضرورتا نیازی به اتصال و integrate شدن با AD DS را ندارد. یک stand-alone CA در واقع سروریست که یا روی کامپیوتری که عضو دامین است، نصب می شود و یا سروری که در محیط workgroup حضور دارد. Stand-alone CA ها گاها به عنوان root CA داخلی استفاده شده و معمولا بعد از اینکه certificate ها را برای سرورهای پایین دستی خود (subordinate) صادر کرد، به دلایل امنیتی آفلاین می شود. در این نوع CA، در واقع certificate ها بصورت دستی (manual) صادر و اعمال شده و بر پایه یکسری نمونه های استاندارد هستند که نمی توانید آنها را تغییر دهید. به یاد داشته باشید که سرور stand-alone CA می تواند عضوی از AD DS باشد (join به دامین باشد) اما اینکار ضرورتی ندارد. Stand-alone CA می تواند روی نسخه های standard، Enterprise و Datacenter ویندوز سرور 2008 R2 پیاده سازی شود.

ادامه ی مطلب