Active Directory Certificate Services

Active directory Certificate Services یک role است که هم روی دامین و هم روی یک pc با ویندوز سرور ۲۰۰۸ استفاده می شود.
Certificate Services مهم ترین قسمت برای استفاده public key infrastructure (PKI) روی ویندوز سرور هستند.
مایکروسافت PKI را به صورت یک مدل CA سلسله مراتبی پیاده سازی کرده.در راس این سلسله Root CA قرار دارد، هر CA که به عنوان یک Child در زیر Root قرار دارد Subordinate CA نامیده می شود.
در این پیاده سازی Root CA کلیدی است.اگر شما به Root CA اعتماد یا Trust داشته باشید، به تمام subordinate CA هم در این سلسله اعتماد خواهید داشت.به خاطر همین باید Root CA به عنوان راس اعتماد در سازمان دارای امنیت بالایی باشد

Root Certification Authority
همانطور که قبلا بحث شد، Root CA به عنوان راس اعتماد PKI است.اگر Root CA به خطر بیافتد همه ی Subordinate CA ها هم آسیب پذیر می شوند.به خاطر همین نه تنها Root CA باید امن نگه داشته شود بلکه باید به صورت فیزیکی هم امنیت رعایت شود.
پس بهترین کار این است که certificate رو فقط از Root CA ها به Subordinate CA ها بدهیم.

Subordinate Certification Authority
واقعا subordinate CA بیشترین کار را در سازمانهای PKI انجام می دهند.subordinate CA ها تبدیل به سروری میشوند که باید certificate را بین کابرانی که احتیاج دارند پخش کنند.
برخی از دلایل برای راه اندازی Subordinate CA های چند گانه یه شرح زیر است:

Load Balancing : اگر شما تعداد زیادی از certificate ها را منتشر کرده اید و آنها به صورت مداوم در حال استفاده هستند شما برای انتشار انواع certificate ها و برای متوازن کردن بار بین سرورها نیاز به چندین subordinate خواهید داشت.

Redundancy : اگر شما تنها یک CA داشتید و آن از کار بیافتد یا به اصطلاح fail کند ، به درخواست کابرها هیچ پاسخی داده نمی شود و این خود تبدیل به یک مشکل می شود.با داشتن چند CA شما می توانید پاسخ دادن به درخواست ها را تضمین کنید.

Logical And Geographical Division : چه از نظر منطقی یا فیزیکی شبکه شما تقسیم شده باشد، ممکن است که به CA های متفاوتی برای پاسخگویی یا سرویس دادن در قسمتهای مختلف نیاز باشد

Usage : ممکن است که شما تشخیص دهید تقسیم کردن CA ها نسبت به کارکردشان بهتر و سودمند تر است. مثلا یکی فقط برای secure e-mail باشد و دیگری برای network authorization باشد. این امر سبب تقسیم کارها میشود که باعث مدیریت بهتر و آسانتر کارها می شود.

همچنین شرکتهای مختلفی برای تامین CAها هستند مانند Verisign یا Geo Trust که از روشهای متفاوتی برای شناسایی کاربران قبل از اینکه certification را به آنها بدهد استفاده می کند.
یک نکته قاب توجه این است که هر کس می تواند یک CA بسازد بنابراین تصمیم با شماست که از کدام شرکت دارنده CA استفاده کنید و نسبت به policy ها و حالات امنیتی آنها اعتماد کنید.
این شرکت ها برای یک سری برنامه های خاص مانند e-commerce websites مفید هستند، اکثر شرکت های کوچک نیازی به ساختار CA داخلی نخواهند داشت.

Enterprise Certification Authorities

این CA ها با اکتیو دایرکتوری (AD DS) گره خورده اند که یک قابلیت اضافی به آن می دهد.شما میتوانید از Enterprise CA برای انتشار certificate برای کار های زیر استفاده کنید:
Digital Signatures
Secure E-mail Using S/MIME(Secure MultiPurpose Internet Mail Extension)
Authenticate to a Secure Web Server Using Secure Socket Layer (SSL) or Transport Layer Security (TLS)
Logon to the Domain Using a Smart Card

شما برای نصب Enterprise CA احتیاج به دسترسی به اکتیودایرکتوری خواهید داشت که نیاز به یک کاربر عضو Domain Admin یا Administrator با حق دسترسی نوشتن در ADDS خواهید بود.
یکی از مزایا گره خوردن کار با ADDS این است که می توان ازGroup policy برای پخش کردن certificate برای همه کاربر ها و کامپیوتر های Root CA استفاده کرد.همچنین قادر به انتشار user certificate و certificate revocation در ADDS خواهید بود.
Enterprise CA میتواند certificate ها را بر اساس قالب های زیر منتشر کند:
اعتبار سنجی کاربران در زمان ثبت نام: هر certificate مجاز به تنظیم شدن در ADDS است که مشخص خواهد کرد، آیا درخواست کننده اجازه دریافت نوع certificate را دارد یا خیر در صورت داشتن درخواست را بفرستد.
نام موضوع میتواند در قالبی که از اطلاعاتADDS است تولید شود یا اینکه توسط درخواست certificate کاربر تهیه شود.
لیست از پیش تعریف شده الحاقات به وسیله certificate استفاده می شود که اطلاعات کاربری را که میخواهد درخواست certificate را دریافت کند کاهش می دهد.
Certificate ها را میتوان به صورت autoenrollment یا ثبت نام خودکار برای کاربران منتشر کرد.

Stand-Alone Certification Authorities

این CA ها بسیار شبیه به هم خانواده Enterprise شان هستند، اما نه همه عملکردشان.آنها همچنین احتیاج به مدیریت بیشتری دارند به خاطر اینکه در این جا ADDS برای اعتبارسنجی و تایید کاربران نیست.
شما میتوانید از Stand-Alone CA به منظور های زیر استفاده کنید:
Digital Signatures
Secure E-mail Using S/MIME(Secure MultiPurpose Internet Mail Extension)
Authenticate to a Secure Web Server Using Secure Socket Layer (SSL) or Transport Layer Security (TLS)

برخی از مشخصه های Stand-Alone CA به شرح زیر می باشد:
تمام درخواست های certificate به گونه ای تنظیم می شوند که برای مدیر یا همان Administrator فرستاده شود تا به صورت دستی بازدید شود.این یک عمل پیش فرض است و این کار مخصوصا برای کسانی که در یک دامین Stand-Alone CA راه اندازی کرده اند توصیه میشود.
از قالبها استفاده نمی شود.
مدیر certificate های Stand-alone CA را به طور خاص برای کابران تایید شده توزیع میکند یا اینکه کاربران خوشان این کار را انجام میدهند.
همانطور که در بالا ذکر شد،stand-alone CA را میتوان در domain هم نصب کرد و از این موارد زیر بهره برد:
اگر یک domain admin یا administrator با حق دسترسی نوشتن یک stand-alone root CA را نصب کند، قادر به انتشار certificate در Root CA برای همه کابران و کامپیوتر های domain خواهد بود.به همین دلیل به شما توصیه میشود تا زمانی همه درخواست ها شناسایی نشده اندآنها را رها کنید در غیر این صورت هر درخواست certificate با ورود به domain مورد اطمینان قرار میگیرد.
اگر یک stand-alone CA توسط domain admin یا یک حساب کاربری با حق دسترسی نوشتن در ADDS نصب شود قادر به انتشار certificate و certification revocation list(CRL) برای ADDS است.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *