آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / آرشیو برچسب: معرفی و مفهوم certificate revocation list

آرشیوهای برچسب : معرفی و مفهوم certificate revocation list

ایجاد Revocation Configuration برای CA

همیشه پس از نصب هر سرویس، تنظیمات دیگری نیز برای پیکربندی و یا نگهداری بهتر از آن نیاز است. Revocation یکی از روش هایی کنترلیست که می توانید با استفاده از آن، certificate هایی که غیرقابل استفاده شدند و یا نیاز به کنسل کردن آن ها دارید را کنترل کنید. این مورد، یکی از دلایلی ست که شما قبل از صدور certificate، می بایست revocation را پیکربندی کنید (revocation در لغت به معنای لغو کردن است). برای ایجاد revocation، موارد زیر بایستی اجرا شوند:

  • تعیین نقاط توزیع Certificate Revocation List (CRL)
  • تنظیمات مربوط به CRL و Delta CRL
  • زمانبندی انتشار CRL ها

برای آشنایی با مفاهیم بالا، به مطلب مربوط به معرفی و مفهوم Certificate Revocation List مراجعه کنید.

  • برای تعیین CRL distribution point به CA وارد شده و کنسول Certification Authority را از Administrative Tools اجرا کنید.

certificate services 44

ادامه ی مطلب

معرفی و مفهوم Certificate Revocation List

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

ادامه ی مطلب