آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / آرشیو برچسب: online responder

آرشیوهای برچسب : online responder

Online Responder چیست و چگونه کار می کند؟

یک online responder سرور معتبر و trust شده ایست که وقتی کلاینت خاصی اطلاعاتی را درباره وضعیت certificate ها درخواست کند، درخواست را دریافت کرده و به آن پاسخ می دهد. استفاده از online responder یکی از دو روش معمول برای اعتبار سنجی certificate هاست. برخلاف certificate revocation lists (CRLs) که بطور دوره ای اطلاعات تمامی certificate ها را در اختیار شما قرار می دهد (که کدام certificate ها منقضی شده و کدام قابل استفاده نیستند)، online responder فقط به درخواست های خاصی از طرف کلاینت ها (در مورد وضعیت certificate) پاسخ می دهد. میزان اطلاعات دریافتی در هر درخواست ثابت بوده و به اینکه چه تعداد certificate ابطال شده است مربوط نمی شود. همانطور که می دانید، راه دیگر برای دسترسی به لیست certificate های ابطال شده، CRL ها هستند.

در بیشتر موارد، online responder می تواند موثرتر از CRL ها درخواست وضعیت certificate ها را پردازش کند. برای مثال:

  • کلاینت هایی که بصورت remote به شبکه متصل می شوند، برای اینکه بخواهند به لیست CRL ها دسترسی پیدا کنند، یا می بایست ارتباط پر سرعتی با شبکه داشته باشند و یا اینکه نیازی به لیست تمامی certificate ها ندارند.
  • شبکه نیاز دارد که میزان بسیار بالایی از فعالیت های مربوط به بررسی ابطال certificate ها مدیریت کند، مانند زمانی که تعداد زیادی از کاربران بطور همزمان لاگین شده و یا ایمیل ارسال می کنند.
  • یک سازمان به ابزار موثری نیاز دارد تا اطلاعات ابطال certificate هایی که از CA های غیر مایکروسافتی صادر می شوند را منتشر کنند.
  • یک سازمان قصد دارد فقط اطلاعات بررسی ابطال certificate هایی را بدست آورد که مربوط به درخواست های خاصی هستند و نیاز به دریافت همگی آنها ندارد.

ادامه ی مطلب

نصب AD CS – نصب Enterprise Issuing CA – بخش اول

نصب Enterprise Issuing CA نیز همانند root CA خواهد، اما با تفاوت هایی! در یک نگاه کلی، تا اینجا، شبکه شما سروری را به عنوان DC داشته و سروری را بعنوان root CA؛ بنابراین شما بایستی سرور دیگری را به عنوان Enterprise Issuing CA انتخاب کنید (همانطور که گفته شد، بهتر است در محیط های عملی بیش از دو سرور Enterprise Issuing CA داشته باشید. البته تمامی این موارد را می توان با مجازی سازها پیاده کرد).

برای نصب Enterprise Issuing CA، ابتدا به سرور مورد نظر (سروری که قرار است Enterprise Issuing CA روی آن نصب گردد) وارد شده و همانند root CA، از Server Manager روی Add Role کلیک کنید تا سرویس Active Directory Certificate Services را نصب کنیم. مراحل را مانند نصب root CA جلو برده تا به صفحه Select Role Services برسید. از این قسمت به بعد، برخی تنظیمات متفاوت خواهد بود. توجه داشته باشید، ویندوز سروری که قرار است نقش Enterprise Issuing CA را در شبکه شما داشته باشد می بایست نسخه Enterprise و یا Datacenter ویندوز سرور 2008 R2 باشد.

  • در صفحه Select Role Services برای نصب Enterprise Issuing CA، می بایست گزینه علاوه بر انتخاب گزینه Certificate Authority، گزینه Online Responder را نیز انتخاب نمایید. به دلیل اینکه Online Responder برای پاسخگویی به درخواست ها از طریق وب است، wizard ای مبنی بر دریافت نصب Web Server (همان IIS) دریافت می کنید که آن را نیز Add کرده و Next کنید. توجه داشته باشید که شما نبایستی گزینه Certificate Authority Web Enrollment را انتخاب کنید، زیرا این CA یک enterprise CA داخلی بوده و قرار است به کاربران و تجهیزات حاضر در دامین certificate بدهد. اگر این CA را برای شبکه خارجی (در شبکه های بزرگ، برای افزایش امنیت، شبکه داخلی را از شبکه های دیگر دور کرده و کاربرانی که قصد دارند به شبکه های دیگر مانند اینترنت یا ارتباط از خانه به شبکه داخلی شرکت مرتبط شوند، می بایست CA ای مخصوص آنها پیاده شود) انتخاب کنید، شما می بایست Web Enrollment را نصب کرده تا کاربران از خارج از شبکه نیز درخواست certificate بدهند.

ادامه ی مطلب

آشنایی با مفاهیم سرویس AD CS

Active Directory Certificate Services در واقع هسته ی اصلی سرویسی است که ویندوز سرور 2008 R2 از آن برای مدیریت public key certificate استفاده می کند. با استفاده از AD DS، شما می توانید سلسله مراتب قابل درکی برای PKI ایجاد کنید که برای صدور و مدیریت certificate های سازمان شما قابل استفاده است. AD DS شامل:

  • Certificate authorities در واقع CA ها، سرورهایی هستند که شما با استفاده از آنها certificate ها را مدیریت و صادر می کنید. بدلیل سلسه مراتبی بودن PKI (بدین صورت که یک سرور root در سطح بالاتری قرار داشته و به ترتیب سرورها در سطوح پایین تری قرار می گیرند)، AD CS نیز از تمامی CA های root و subordinate و یا child پشتیبانی می کند. معمولا CA های root در واقع certificate ها را برای CA های subordinate صادر می کنند که آنها را قادر می سازد تا این certificate ها را برای کاربران، کامپیوترها و سرویس ها صادر کنند. CA های subordinate فقط در صورتی می توانند certificate صادر کنند که certificate خودش معتبر (valid) باشد. هنگامی که این certificate منقضی (expire) شود، subordinate CA می بایست certificate جدیدی را از root CA خود تقاضا کند. بدین منظور، مدت اعتبار certificate های root CA بیشتر از subordinate ها بوده و مدت اعتبار subordinate نیز نسبت به certificate کاربر بیشتر است.منظور از سلسله مراتبی بودن این سرویس ها (مانند سرویس WSUS)، بدین شکل است که یک سرور مسئول مدیریت سرورهای پایین دستی خود بوده و به کلاینت ها کاری ندارد (root CA). سرورهای subordinate نیز از سرورهای root دستور گرفته و به کلاینت ها سرویس می دهند.

ادامه ی مطلب