آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

همیشه پس از نصب هر سرویس، تنظیمات دیگری نیز برای پیکربندی و یا نگهداری بهتر از آن نیاز است. Revocation یکی از روش هایی کنترلیست که می توانید با استفاده از آن، certificate هایی که غیرقابل استفاده شدند و یا نیاز به کنسل کردن آن ها دارید را کنترل کنید. این مورد، یکی از دلایلی ست که شما قبل از صدور certificate، می بایست revocation را پیکربندی کنید (revocation در لغت به معنای لغو کردن است). برای ایجاد revocation، موارد زیر بایستی اجرا شوند:

• تعیین نقاط توزیع Certificate Revocation List (CRL)
• تنظیمات مربوط به CRL و Delta CRL
• زمانبندی انتشار CRL ها

برای آشنایی با مفاهیم بالا، به مطلب مربوط به معرفی و مفهوم Certificate Revocation List مراجعه کنید.

• برای تعیین CRL distribution point به CA وارد شده و کنسول Certification Authority را از Administrative Tools اجرا کنید.

ادامه ی مطلب

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

ادامه ی مطلب

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

• ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
•  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

ادامه ی مطلب

در مرحله قبل، شما CA صادرکننده (issuing CA) را نصب کردید. اما به دلیل اینکه root CA آفلاین بوده و نتوانستیم برای issuing CA یک certificate دریافت کنیم تا سرور معتبر شود. اکنون بایستی certificate را روی issuing CA نصب کرده تا نصب این CA کامل شود. در محیط های واقعی، شما می بایست فایل درخواست certificate ای که قبلا ایجاد کرده اید را با فلش به root CA منتقل کنید اما چون در محیط آموزشی هستیم، از طریق یک پوشه share شده روی سرور root CA اینکار را انجام می دهیم. به هر حال، فایل درخواست را به سرور root CA منتقل کنید.

• برای شروع، پس از اینکه فایل درخواست certificate را به root CA انتقال کردید، کنسول Certificate Authority را از Administrative Tools اجرا کنید.
• در کنسول Certificate Authority روی نام root CA راست کلیک کرده و از بخش All Tasks گزینه Submit New Request را انتخاب کنید.

ادامه ی مطلب

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

• در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

ادامه ی مطلب