آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / آرشیو برچسب: Certificate

آرشیوهای برچسب : Certificate

Online Responder چیست و چگونه کار می کند؟

یک online responder سرور معتبر و trust شده ایست که وقتی کلاینت خاصی اطلاعاتی را درباره وضعیت certificate ها درخواست کند، درخواست را دریافت کرده و به آن پاسخ می دهد. استفاده از online responder یکی از دو روش معمول برای اعتبار سنجی certificate هاست. برخلاف certificate revocation lists (CRLs) که بطور دوره ای اطلاعات تمامی certificate ها را در اختیار شما قرار می دهد (که کدام certificate ها منقضی شده و کدام قابل استفاده نیستند)، online responder فقط به درخواست های خاصی از طرف کلاینت ها (در مورد وضعیت certificate) پاسخ می دهد. میزان اطلاعات دریافتی در هر درخواست ثابت بوده و به اینکه چه تعداد certificate ابطال شده است مربوط نمی شود. همانطور که می دانید، راه دیگر برای دسترسی به لیست certificate های ابطال شده، CRL ها هستند.

در بیشتر موارد، online responder می تواند موثرتر از CRL ها درخواست وضعیت certificate ها را پردازش کند. برای مثال:

  • کلاینت هایی که بصورت remote به شبکه متصل می شوند، برای اینکه بخواهند به لیست CRL ها دسترسی پیدا کنند، یا می بایست ارتباط پر سرعتی با شبکه داشته باشند و یا اینکه نیازی به لیست تمامی certificate ها ندارند.
  • شبکه نیاز دارد که میزان بسیار بالایی از فعالیت های مربوط به بررسی ابطال certificate ها مدیریت کند، مانند زمانی که تعداد زیادی از کاربران بطور همزمان لاگین شده و یا ایمیل ارسال می کنند.
  • یک سازمان به ابزار موثری نیاز دارد تا اطلاعات ابطال certificate هایی که از CA های غیر مایکروسافتی صادر می شوند را منتشر کنند.
  • یک سازمان قصد دارد فقط اطلاعات بررسی ابطال certificate هایی را بدست آورد که مربوط به درخواست های خاصی هستند و نیاز به دریافت همگی آنها ندارد.

ادامه ی مطلب

ایجاد سلسله مراتب در CA ها – CA Hierarchy

یکی دیگر از مهمترین مواردی که می بایست در پیاده سازی CA دقت کنید، امنیت آنهاست. به دلیل زنجیره وار بودن و سلسله مراتبی بودن CA ها، هر گونه تغییری در root CA بیافتد، بطور خودکار به CA های سطوح پایین تر و certificate ها تاثیر خواهد گذاشت. به همین دلیل می بایست تا حد ممکن امنیت root CA را بالا ببرید. در حقیقت، مرسوم ترین حالت برای پیاده سازی سلسله مراتب در CA ها، بهتر است پس از پیاده سازی، root CA را آفلاین کنید. از لحاظ منطقی نیز اگر سروری آفلاین باشد، ایمن ترین حالت ممکن را خواهد داشت.

همانطور که می دانید، هر سناریوی طبقاتی و سلسله مراتبی، از چندین طبقه یا مرحله تشکیل شده است. این تعداد طبقه به چند فاکتور بستگی دارد. شما می بایست اندازه و توزیع منطقه ای شبکه و Trust relationship هایی که بین CA ها و سرورهای مسئول نگهداری certificate ها را بررسی کنید. به خاطر داشته باشید که هر زمانی یک certificate آماده و صادر شد، می بایست از طریق CRL یا online responder معتبر شود تا قابل استفاده گردد؛ بنابراین شما می بایست با برخی از سطوح یا طبقات ارتباط داشته باشید.

حال می بایست به مواردی بپردازید که نصب AD CS شما را تحت شعاع قرار می دهد. آیا شما با افراد یا شبکه هایی در خارج از شبکه شما در ارتباط خواهید بود؟ از smart card استفاده خواهید کرد یا خیر؟ از شبکه های وایرلس استفاده می کنید؟ از IPsec یا SSTP جدید استفاده می کنید؟ بطور کلی، شما نیاز دارید که همیشه هویت یک تجهیز، برنامه یا یک کاربر را مشخص کنید که توسط AD CS یا CA های غیر مایکروسافتی انجام می پذیرد.

ادامه ی مطلب

تفاوت بین Stand-alone CA و Enterprise CA

یکی از مهمترین قسمت های پیاده سازی AD CS، تصمیم گیری درباره ساختار آن است که به چه صورت سرویس نصب و پیکربندی شود. اولین و یکی از مهترین موارد، انتخاب نوع CA است. AD CS دو نوع CA را پشتیبانی می کند:

Stand-alone CA یک سرور CA که ضرورتا نیازی به اتصال و integrate شدن با AD DS را ندارد. یک stand-alone CA در واقع سروریست که یا روی کامپیوتری که عضو دامین است، نصب می شود و یا سروری که در محیط workgroup حضور دارد. Stand-alone CA ها گاها به عنوان root CA داخلی استفاده شده و معمولا بعد از اینکه certificate ها را برای سرورهای پایین دستی خود (subordinate) صادر کرد، به دلایل امنیتی آفلاین می شود. در این نوع CA، در واقع certificate ها بصورت دستی (manual) صادر و اعمال شده و بر پایه یکسری نمونه های استاندارد هستند که نمی توانید آنها را تغییر دهید. به یاد داشته باشید که سرور stand-alone CA می تواند عضوی از AD DS باشد (join به دامین باشد) اما اینکار ضرورتی ندارد. Stand-alone CA می تواند روی نسخه های standard، Enterprise و Datacenter ویندوز سرور 2008 R2 پیاده سازی شود.

ادامه ی مطلب

آشنایی با مفاهیم سرویس AD CS

Active Directory Certificate Services در واقع هسته ی اصلی سرویسی است که ویندوز سرور 2008 R2 از آن برای مدیریت public key certificate استفاده می کند. با استفاده از AD DS، شما می توانید سلسله مراتب قابل درکی برای PKI ایجاد کنید که برای صدور و مدیریت certificate های سازمان شما قابل استفاده است. AD DS شامل:

  • Certificate authorities در واقع CA ها، سرورهایی هستند که شما با استفاده از آنها certificate ها را مدیریت و صادر می کنید. بدلیل سلسه مراتبی بودن PKI (بدین صورت که یک سرور root در سطح بالاتری قرار داشته و به ترتیب سرورها در سطوح پایین تری قرار می گیرند)، AD CS نیز از تمامی CA های root و subordinate و یا child پشتیبانی می کند. معمولا CA های root در واقع certificate ها را برای CA های subordinate صادر می کنند که آنها را قادر می سازد تا این certificate ها را برای کاربران، کامپیوترها و سرویس ها صادر کنند. CA های subordinate فقط در صورتی می توانند certificate صادر کنند که certificate خودش معتبر (valid) باشد. هنگامی که این certificate منقضی (expire) شود، subordinate CA می بایست certificate جدیدی را از root CA خود تقاضا کند. بدین منظور، مدت اعتبار certificate های root CA بیشتر از subordinate ها بوده و مدت اعتبار subordinate نیز نسبت به certificate کاربر بیشتر است.منظور از سلسله مراتبی بودن این سرویس ها (مانند سرویس WSUS)، بدین شکل است که یک سرور مسئول مدیریت سرورهای پایین دستی خود بوده و به کلاینت ها کاری ندارد (root CA). سرورهای subordinate نیز از سرورهای root دستور گرفته و به کلاینت ها سرویس می دهند.

ادامه ی مطلب

Active Directory Certificate Services چیست؟

Certificate ها می توانند برای authenticate کاربران و کامپیوترها، web-based authentication (برای سایت ها)،Authentication  مربوط به smart card ها، و همچنین برخی از برنامه ها مانند امنیت شبکه های بیسیم، VPN ها، IPsec، امضای دیجیتالی، Encrypting File System (EFS) و موارد دیگر استفاده شود. سازمان ها می توانند از Active directory Certificate Services (AD CS) برای نصب certificate authority (CA) استفاده کنند تا برای تشخیص هویت به کار گرفته شود. AD CS به شما اجازه می دهد تا بتوانید certificate ها را مدیریت کنید. استفاده از certificate ها زمانی اهمیت خود را نشان می دهند که بخواهید با شبکه های خارج از domain شما ارتباط برقرار کنید مانند اینترنت. توضیحات کامل در بخش مربوط به خود موجود می باشد.