Acitve Directory Certificate Services, açık anahtar alt yapısı ile, ortak anahtar teknolojilerinden yararlanan ve yazılım güvenliği sistemlerinde kullanılan bir servis olarak karşımıza çıkmakta. Windows Server 2012 Active Directory Certificate Services (CA), özelleştirilebilir (PKI) sertifikalar oluşturmamazı ve yönetmemizi sağlamaktadır. Windows Server 2012 R2 ile beraber gelen Actve Directory Certificate Services ‘in rol ve hizmetlerinden kısaca bahsedecek olursak bunlar;
· Certification Authority (CA)
· Web Enrollment
· Online Responder
· Network Device Enrollement Service
· Certificate Enrollment Policy Web Service
· Certificate Enrollment Web Service
Gibi rol ve servisler beraberinde gelmekte. Şimdide bu rol ve servislerin hangi amaçlar doğrultusunda kullanılacağından kısaca bahsediyor olalım.
Certification Authority (CA)
Bu servis, kullanıcı ve bilgisayarlara sertifika verme ve sertifika yönetme işlemleri için kullanılmaktadır.
Web Enrollment
Kullanıcıların, web arayüz kullanarak sertifika oluşturma ve sertifika iptal etme isteklerini gerçekleştirmelerini sağlar.
Online Responder
Bu servis ise, kullanıcıların talep etmiş oldukları sertifikalar ile ilgili isteklerini kabul etme, iptal etme gibi işlemlerin gerçekleştirilmesinde kullanılır. Sertifikaları değerlendirme süreci sonunda, Online Responder servisi durumu değerlendirir ve istenilen sertifika ile ilgili işlemlerin durum bilgilerini içeren bilgileri imzalayarak geri gönderir.
Network Device Enrollment Service
Network üzerinde bulunan Routers (Yönlendiriciler) ve cihazlar hakkında ki sertifika bilgilerini almak için kullanılmaktadır.
Certificate Enrollment Policy Web Service
Bu özellik, Web Service üzerinde aktif durumda olan kullanıcı ve bilgisayarların oluşturmuş olduğu sertifika kaydı politikaları hakkında bilgi edinmek için kullanılmaktadır.
Certificate Enrollment Web Service
Sertifika Kaydı Web Hizmeti Kullanıcı ve Bilgisayarlarının HTTPS kimlik doğrulama protokolünü kullanarak sertifika kaydı gerçekleştirmesini sağlayan bir Active Directory Sertifika Hizmetleri servisidir.
Windows Server 2012 R2 Active Directory Certificate Services ile beraber gelen rol ve özellikler hakkında kısaca bilgi verdikten sonra, kurulum aşamalarına geçiş yapabiliriz.
Windows Server 2012 R2 Active Directory Certificate Services (AD CS Kurulumu
Windows Server 2012 R2 işletim sistemi üzerinde Active Directory Certificate Services kurulumu için Server Manager yönetim konsolunu açıyoruz.
Server Manager yönetim konsolu üzerinde Add roles and features seçeneğine tıklıyoruz.
Before You Begin ekranında, bize rol ve features kurulumuna başlamadan önce, kurulumu yapacağımız kullanıcı hesabının administrator yetkisine ve güçlü bir parolaya sahip olması gerektiğine dair bize bilgi verilmekte. Next diyerek bir sonraki adıma geçiş yapıyoruz.
Select Installation Type ekranında, nasıl bir kurulum gerçekleştireceğimiz bize sorulmakta. Bunu içinde iki seçenek mevcut. Rol ve Servis tabanlı bir kurulum gerçekleştirmek istiyorsak Role-based or feature-based installation seçeneğini, Uzaktaki bir sunucu üzerine kurulum yapmak istiyorsak da, Remote Desktop Services Seçeneğini seçiyoruz. Ben, kurulumu Rol ve Servis tabanlı olarak gerçekleştireceğim için Role-based or feature –based installation seçeneğini seçerek kuruluma devam ediyorum.
Server Selection adımına geçtiğimizde, kurulumu gerçekleştirmede kullanabileceğimiz iki tip seçenek mevcut.Select a server from the server pool seçeneği ile kuruluma devam ettiğimiz zaman rol ve featureslerin kurulumunu mevcut sunucumuz üzerinde yapmış oluyoruz. Bir diğer seçenek olan Select a virtual harddiskseçeneği ile ise, kurulumu sanal bir disk üzerine gerçekleştirebiliyoruz. Ben kurulumu mevcut sunucum üzerinde gerçekleştirdiğim için seçenekler arasından Select a server from the server pool seçeneğini seçiyor ve next diyorum.
Select Server Roles ekranına baktığımızda kurulumunu gerçekleştirebileceğimiz birden fazla rollerin yer aldığı liste görmekteyiz. Ben, Active Directory Certificate Services kurulumunu gerçekleştireceğim için ilgili seöeçeneği seçip next diyorum.
Select features ekranında, .Net Fremawork, Group Policy Management vs gibi featureslerin kurulumlarını yapabileceğimiz seçenekler mevcut. Next diyerek diğer bir adıma geçiş yapıyoruz.
Active Directory Certificate Services ekranında, AD CS servisi ile ilgili özet bilgiler sunulmakta. Next diyerek diğer bir adıma geçiş yapıyoruz.
Select role services ekranında, CA rolü ile beraber kurulumunu yapabileceğimiz CA servislerini görmekteyiz. Makalemizin yukarıki kısımlarında bu servislerin ne amaçla kullanıldığını açıkladığım için, tekrar detaya girmeden Nextdiyorum.
al
İşlem adımlarını tamamladıktan sonra Install diyerek kurulumu başlatıyoruz. Kurulum akabinde sunucucumuzun otomatik olarak yeniden başlatılmasını istersek Restart the destination server automatically if requiredseçeneğini işaretlememiz yeterli.
Ve kurulumumuz başladı.
Kısa bir kurulum sürecinin ardından kurulumumuzun başarılı bir şekilde tamamlandı, fakat Configuration işlemini henüz gerçekleştirmiş değiliz. Configuration işlemine başlamak için Configure Active Directory Certificate Services on the destination server ‘a tıklıyoruz.
Configuration işlemimizin ilk adımı olan Credentials adımında, kurulumunu yapmak istediğimiz rol ve servislerinLocal Administrator group ve Enterprise Admins gruplarına üye yapılması gerektiğine dair bize bilgi verilmekte. Üyelik işlemlerini gerçekleştirdikten sonra Next diyerek bir sonraki adıma geçiyoruz.
Select Role Services to configure ekranında, konfigurasyon işlemi yapmak istediğimiz CA servislerini seçiyoruz. Ben, kurulum aşamalarında, Certification Authority ve Certiicate Enrollment Web Service rollerinin kurulmasını istediğim için sadece iki seçenek aktif durumda. İlgili seçenekeri seçtikten sonra Next diyorum.
Specify the setup type of the CA adımında, iki tip CA seçeneği mevcut. Enterprise CA seçeneği ile, Active Directory domain’i içerisinde sertifika kullanımı ve yönetimini basitleştirebilmekteyiz. Standalone CA seçeneği ile de, hem workgroup ortamında hem de domain ortamındaki üye kullanıcılar bu sertifikayı kullanabilmektedir. Bunun dışında bu sertifika tipi, Active Directory domain zorunluluğu içermemektedir.
Specify the type of the CA ekranına baktığımızda yine karşımıza iki tip sertifika seçeneği çıkmakta. Eğer mevcut yapıda daha önceden yapılandırılmış olan herhangi bir CAS sunucusu yok ise Root CA seçeneğini, ikinci bir CAS sunucusu kurmak istiyorsaksak ta Subordinate CA seçeneği ile kuruluma devam etmemiz gerekmektedir. Mevcut yapıda daha önceden yapılandırılmış bir CAS sunucusu olmadığı için Root CA seçeneğini seçiyorum.
Specify the type of the private key sayfasında, CA sunucusundan sertifika isteğinde bulunan client bilgisayarlar için Private Key oluşturma seçenekleri mevcut. Bu seçenekleri kısaca açıklayacak olursak;
Create a new private key
Daha önceden oluşturulmuş herhangi bir private key yoksa, yani yeni bir private key anahtar oluşturulmak isteniyorsa bu seçenek seçilir.
Use existing private key
Eğer sertifika sunucusu tarafından oluşturulmuş bir private key varsa, yeni bir private key oluşturulmak istenmiyorsa bu seçenek seçilmelidir. Bu seçeneğe bağlı olarak yine iki adet seçeneğimiz mevcut. Bunlar;
Select a certificate and use associated private key
Kullanmakta olduğunuz bilgisayar üzerinde oluşturulmuş olan private key’i kullanmak veya bu private key’e bağlı bir private key import etmek istiyorsak bu seçeneği kullanmamız gerekmektedir.
Select an existing private key on this computer
Mevcut anahtar dışında başka bir kaynak üzerinden private key kullanılmak isteniyorsa bu seçenek seçilmelidir. Ben yeni bir private key kullanacağım için seçenekler arasından Create a new private key seçeneğini seçerek nextdiyorum.
Specify the cryptographic options ekranında, oluşturulacak olan private key için şifreleme protokolünü belirliyoruz. Oluşturulacak olan private key’ler, default olarak SHA1 protolü ile şifrelenmekte. Next diyerek diğer bir adıma geçiyoruz.
Specify the name of the CA ekranında, CA sunucusuna erişim gerçekleştirecek olan client bilgisayarların kullanacakları sertifika için bir isim tanımlaması işlemi gerçekleştiriyoruz.
Specify the validty period ekranında, oluşturulacak olan sertifikanın geçerlilik süresini belirliyoruz. Default olarak bir sertifikanın geçerlilik süresi 5 yıl olarak gelmekte. İstersek bu süreyi de değiştirebiliyoruz.
Specify the database locations ekranında, database dosyalarının depolandığı lokasyon bilgileri yer almakta.
Confirmation ekranında, oluşturulacak olan sertifikaya ilişkin özet bilgiler karşımıza çıkmakta. Configure diyerek işlemi başlatıyoruz.
Kısa bir konfigurasyon işleminin ardından, işlemimiz yukarıdaki şekil üzerinde de görüldüğü gibi başarılı bir şekilde tamamlanmış durumda. Close diyerek işlemi sonlandırıyoruz. Yönetim Konsoluna ulaşmak için Administrative Tools klasörü içerisinden Certification Authority seçeneğine tıklamamız yeterli.
Ve karşımızda Sertifika sunucumuza ait yönetim konsolumuz.
referans :yavuz tasci, çözümpark
referans :yavuz tasci, çözümpark
Hiç yorum yok:
Yorum Gönder