آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / آرشیو برچسب: آموزش راه اندازی شبکه (صفحه ی 5)

آرشیوهای برچسب : آموزش راه اندازی شبکه

معرفی و مفهوم Certificate Revocation List

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

ادامه ی مطلب

نصب NDES

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

  • ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
  •  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

ادامه ی مطلب

نصب AD CS – نصب Enterprise Issuing CA – بخش دوم

در مرحله قبل، شما CA صادرکننده (issuing CA) را نصب کردید. اما به دلیل اینکه root CA آفلاین بوده و نتوانستیم برای issuing CA یک certificate دریافت کنیم تا سرور معتبر شود. اکنون بایستی certificate را روی issuing CA نصب کرده تا نصب این CA کامل شود. در محیط های واقعی، شما می بایست فایل درخواست certificate ای که قبلا ایجاد کرده اید را با فلش به root CA منتقل کنید اما چون در محیط آموزشی هستیم، از طریق یک پوشه share شده روی سرور root CA اینکار را انجام می دهیم. به هر حال، فایل درخواست را به سرور root CA منتقل کنید.

  • برای شروع، پس از اینکه فایل درخواست certificate را به root CA انتقال کردید، کنسول Certificate Authority را از Administrative Tools اجرا کنید.
  • در کنسول Certificate Authority روی نام root CA راست کلیک کرده و از بخش All Tasks گزینه Submit New Request را انتخاب کنید.

certificate services 25

ادامه ی مطلب

نصب AD CS – نصب Enterprise Issuing CA – بخش اول

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

  • در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

ادامه ی مطلب

نصب AD CS – نصب Root CA

نصب AD CS کمی شما را نسبت به سایر سرویس ها بیشتر درگیر می کند، زیرا انتخاب بین stand-alone و enterprise انتخاب اصلی و مهمی ست که شما می بایست درس تصمیم بگیرید. در بسیاری از موارد، شما ساختار سلسله مراتبی دوگانه (two-tiered) را نصب می کنید که خب ابتدا stand-alone CA را نصب کرده و سپس enterprise CA!

سروری که قرار است AD CS را روی آن نصب کنید می بایست از لحاظ سخت افزاری، حداقل هایی را داشته باشد، که می تواند سرور فیزیکی یا مجازی باشد:

  • دارای چند پردازشگر بوده یا پردازشگری با بیش از یک هسته؛ زیرا فرایند صدور certificate را بیشتر می کند.
  • حداقل میزان RAM، زیرا RAM کمترین اثر را روی فرایند صدور certificate دارد. ماشین های مجازی به RAM بیشتر از 512 MB نیاز ندارند.
  • اختصاص هارد دیسک مجزا برای ذخیره certificate ها. روش ایده آل بدین شکل است که شما می بایست حداقل یک هارد دیسک جدا روی سرور نصب کنید تا دیتابیس روی آن ذخیره شود. سرورهایی که در سازمان های بسیار بزرگ certificate صادر میکنند، حتی می بایست هارد دیسکی برای log file های خود داشته باشند.
  • طول و اندازه کلید ها را در اندازه متوسط تنظیم کنید تا بهترین کارایی را از سرور مشاهده کنید. طول کلیدها تاثیر مستقیمی روی کارایی CPU و هارد دیسک دارد. کلید های کوتاه هارد دیسک بیشتر، و کلید های بلند CPU بیشتری را درگیر می کنند.
  • اگر از سیستم سخت افزاری و فیزیکی استفاده می کنید، استفاده از هاردهای RAID کارایی بهتر و مطمئن تری را مشاهده خواهید کرد.

شاید برایتان سوال شود که با نصب AD CS روی هر یک از نسخه های ویندوز سرور 2008 R2، کدامیک از ویژگی ها را خواهید داشت. لیست این ویژگی ها در جدول زیر آمده است:

ادامه ی مطلب