سعید کریمی
عضو جدید
[h=6]از اونجایی که کار کردن حتی دونستن کار certificateها مطمئنا کلاس کار یک ادمین رو بالا میبره و در کتابهای mcitp ، مایکروسافت این بحث رو در سطح enterprise و آخرین کورسش مطرح کرده / یکسری اطلاعات رو از کتاب جمع آوری کردم.
خلاصه ای از بحث Certificate . کورس MCITP ، Enterprise در مورد Certificate ها
فصل 9 صفحه 393 تا 414 - به زبان ساده
اصولا از Certificate ها برای امنیت بیشتر استفاده میکنیم و خیلی از الگوریتمها مثلا
در Authenticate ها
_ مثل EAP و Protected EAP و یا Smart Card
و حتی در وایرلس در wpa2 , wpa در حالت enterprise شان
یا در Remote ها
- مثل l2tp بخاطر استفاده اش از نوع Encription اش بر پایه ipsec
و یا sstp بخاطر ssl
ویا encryption ها مثل نوع ساده اون در خود ntfs مثل efs
وابسته به certificate هستند و به اصطلاح Certificate Base هستند
Device ها userها کامپیوتر ها و یا نرمافزار ها میتوانند certificate بگیرند
در طراحی Certificate service باید به 3 تا اصل توجه کنیم
1-اینکه در شبکه چند تا Ca داشته باشیم ( چون Ca و اصولا certificate صادر کردن بار کاری زیادی روی شبکه نمیگذارد پس لازم نیست به بهونه لینکهای ضعیف بین شعبه های مختلف در دامین یا بین دامین هایمون ، در هر دامین یک ca داشته باشیم یک ca برای کل شبکه کافیست مگر در استثناهای طراحی شبکه)
2-از کدام نوع ca استفاده کنیم
_ ca هایی که در اینترنت وجود دارند مثل verisign یا خود Microsoft ویا اینکه خودمون در شبکه Ca نصب کنیم ( که حتی میشه به همین ca خودمون هم از طریق اینترنت Certificate داد یعنی دیگه امنیت در امنیت)
3-از کدام template استفاده کنیم ( که معمولا به صورت اتوماتیک توسط خود سیستم انتخاب میشه مخصوصا با وجود Auto enrollment در Ca عملا بار ادمین به پایینترین حد ممکن میرسه)
همانطور که گفته شد میتونیم در شبکه یک root ca واحد و اصل داشته باشیم ولی یک طرح جالبی در کتاب وجود داره که برای امنیت بیشتر هم ازش استفاده میشه اونهم اینه که
ابتدا یک root ca داشته باشیم سپس به تعداد دلخواه subordinate ca بسازیم که این subordinate ها از خود root ca ها ابتدا certificate میگیرند و حالا بجای اینکه root ca اصلی ما به کامپیوتر ها certificate بده این subordinate ca ها ( ca های جایگزین) به کامپیوترها certificate میدهند و بهتر است که در این موقع root ca را بصورت آفلاین و خاموش درآریم تا از دست هکر ها دور شوند ( این طراحی بسیار سادست و موقع نصب Ca در server manager به root ca و subordinate برمیخوریم
اینکه از استاندارد x.509 در طراحی خود certificate استفاده میشه
که 9 قسمت مهم را در certificate شامل میشه که تو کتاب دونه دونه توضیح داده
که بطور خلاصه اطلاعاتیست در مورد مدت زمان اعتبار این certificate - اسم صادرکننده.اسم گیرنده. sid گیرنده-sid فرستنده -الگوریتم public key
Component های Certificate Authority
Certificate Authorities : که شامل خود ca هاست که حالا یا میشه اونو از اینترنت و از سایتهایی که certificate صادر میکنند گرفت و یا اینکه خودمون در شبکه ca ایجاد کنیم ( server manager و رول certificate authority)
certificate revocation lists : که به CRLs معروفند .
اصولا برعکس چیزی که فکر میکنیم و از اسم اون میشه فهمید اینه که certificate های revoke شده ( منسوخ شده) در ca خیلی مهم اند برای همین یک کامپوننت کامل از اون تو ca موجوده
2 جور لیست از اون وجود داره base crls , delta crls
base crls : کل certificate های revoke شده رو در خودش نگه میداره و چون نگهداری و ارائه این لیست که ممکنه زیاد بشه نسبت به ماهیت خود certificate authority بار زیادی رو میطلبه پس یک لیست دیگه بنام delta crls بوجود اومد که تغییرات base crls رو در خودش نگه میداره
template certificate : که certificate های آماده رو شامل میشه که خودما هم میتونیم اونها رو تغییر بدیم ( وقتی ca رو نصب میکنیم به این تمپلیتها دسترسی داریم) و بسته به نوع استفاده ای که از certificate در شبکه میشه سرور بصورت اتوماتیک از این تمپلیتها استاده میکنه مثلا برای efs از نوع تمپلیت basic )
online certificate status protocol : پروتکل جدیدی که مایکروسافت از سرور 2008 به بعد ارائه کرده ( در ضمن کلاینتهای ما هم باید ویستا به بالا باشد)
موقع نصب ca یک قسمت جدیدی در 2008 وجود داره بنام online responder این online responder در بستر همین online certificate status protocol کار میکنه و کارش به اینصورته
کلاینتها از ca در خواست میکنند که بگوید آیا این certificate ای که در اختیار دارد revoke شده و یا هنوز اعتبار داره Ocsp Client
سپس online responder بخاطر دسترسی که به لیست داره به کلاینت میگه که یا اعتبار داره و یا نه ( فقط در حد همین سوال و جواب)
یکسری تنظیمات هم در کتاب ارائه شده برای certificate ها که بهترین نوعش همون بحالت اتوماتیک هستش بنام auto enrollment
که کلاینتها بصورت اتوماتیک از ca درخواست certificate میکنند
و راههای مختلفی برای تنظیمش است بهترین نوعش از طریق group policy ست
یعنی یکسری یوزر یا کامپیوتر را انتخاب میکنیم و تنظیم میکنیم بصورت اتوماتیک از ca بتوانند certificate بگیرند
در این مسیر ساده
Computer Configuration-windows setting-security setting-pulic key
و در قسمت راست گزینه این بنام
certificate service client-auto enrollment
دیده میشود[/h]
خلاصه ای از بحث Certificate . کورس MCITP ، Enterprise در مورد Certificate ها
فصل 9 صفحه 393 تا 414 - به زبان ساده
اصولا از Certificate ها برای امنیت بیشتر استفاده میکنیم و خیلی از الگوریتمها مثلا
در Authenticate ها
_ مثل EAP و Protected EAP و یا Smart Card
و حتی در وایرلس در wpa2 , wpa در حالت enterprise شان
یا در Remote ها
- مثل l2tp بخاطر استفاده اش از نوع Encription اش بر پایه ipsec
و یا sstp بخاطر ssl
ویا encryption ها مثل نوع ساده اون در خود ntfs مثل efs
وابسته به certificate هستند و به اصطلاح Certificate Base هستند
Device ها userها کامپیوتر ها و یا نرمافزار ها میتوانند certificate بگیرند
در طراحی Certificate service باید به 3 تا اصل توجه کنیم
1-اینکه در شبکه چند تا Ca داشته باشیم ( چون Ca و اصولا certificate صادر کردن بار کاری زیادی روی شبکه نمیگذارد پس لازم نیست به بهونه لینکهای ضعیف بین شعبه های مختلف در دامین یا بین دامین هایمون ، در هر دامین یک ca داشته باشیم یک ca برای کل شبکه کافیست مگر در استثناهای طراحی شبکه)
2-از کدام نوع ca استفاده کنیم
_ ca هایی که در اینترنت وجود دارند مثل verisign یا خود Microsoft ویا اینکه خودمون در شبکه Ca نصب کنیم ( که حتی میشه به همین ca خودمون هم از طریق اینترنت Certificate داد یعنی دیگه امنیت در امنیت)
3-از کدام template استفاده کنیم ( که معمولا به صورت اتوماتیک توسط خود سیستم انتخاب میشه مخصوصا با وجود Auto enrollment در Ca عملا بار ادمین به پایینترین حد ممکن میرسه)
همانطور که گفته شد میتونیم در شبکه یک root ca واحد و اصل داشته باشیم ولی یک طرح جالبی در کتاب وجود داره که برای امنیت بیشتر هم ازش استفاده میشه اونهم اینه که
ابتدا یک root ca داشته باشیم سپس به تعداد دلخواه subordinate ca بسازیم که این subordinate ها از خود root ca ها ابتدا certificate میگیرند و حالا بجای اینکه root ca اصلی ما به کامپیوتر ها certificate بده این subordinate ca ها ( ca های جایگزین) به کامپیوترها certificate میدهند و بهتر است که در این موقع root ca را بصورت آفلاین و خاموش درآریم تا از دست هکر ها دور شوند ( این طراحی بسیار سادست و موقع نصب Ca در server manager به root ca و subordinate برمیخوریم
اینکه از استاندارد x.509 در طراحی خود certificate استفاده میشه
که 9 قسمت مهم را در certificate شامل میشه که تو کتاب دونه دونه توضیح داده
که بطور خلاصه اطلاعاتیست در مورد مدت زمان اعتبار این certificate - اسم صادرکننده.اسم گیرنده. sid گیرنده-sid فرستنده -الگوریتم public key
Component های Certificate Authority
Certificate Authorities : که شامل خود ca هاست که حالا یا میشه اونو از اینترنت و از سایتهایی که certificate صادر میکنند گرفت و یا اینکه خودمون در شبکه ca ایجاد کنیم ( server manager و رول certificate authority)
certificate revocation lists : که به CRLs معروفند .
اصولا برعکس چیزی که فکر میکنیم و از اسم اون میشه فهمید اینه که certificate های revoke شده ( منسوخ شده) در ca خیلی مهم اند برای همین یک کامپوننت کامل از اون تو ca موجوده
2 جور لیست از اون وجود داره base crls , delta crls
base crls : کل certificate های revoke شده رو در خودش نگه میداره و چون نگهداری و ارائه این لیست که ممکنه زیاد بشه نسبت به ماهیت خود certificate authority بار زیادی رو میطلبه پس یک لیست دیگه بنام delta crls بوجود اومد که تغییرات base crls رو در خودش نگه میداره
template certificate : که certificate های آماده رو شامل میشه که خودما هم میتونیم اونها رو تغییر بدیم ( وقتی ca رو نصب میکنیم به این تمپلیتها دسترسی داریم) و بسته به نوع استفاده ای که از certificate در شبکه میشه سرور بصورت اتوماتیک از این تمپلیتها استاده میکنه مثلا برای efs از نوع تمپلیت basic )
online certificate status protocol : پروتکل جدیدی که مایکروسافت از سرور 2008 به بعد ارائه کرده ( در ضمن کلاینتهای ما هم باید ویستا به بالا باشد)
موقع نصب ca یک قسمت جدیدی در 2008 وجود داره بنام online responder این online responder در بستر همین online certificate status protocol کار میکنه و کارش به اینصورته
کلاینتها از ca در خواست میکنند که بگوید آیا این certificate ای که در اختیار دارد revoke شده و یا هنوز اعتبار داره Ocsp Client
سپس online responder بخاطر دسترسی که به لیست داره به کلاینت میگه که یا اعتبار داره و یا نه ( فقط در حد همین سوال و جواب)
یکسری تنظیمات هم در کتاب ارائه شده برای certificate ها که بهترین نوعش همون بحالت اتوماتیک هستش بنام auto enrollment
که کلاینتها بصورت اتوماتیک از ca درخواست certificate میکنند
و راههای مختلفی برای تنظیمش است بهترین نوعش از طریق group policy ست
یعنی یکسری یوزر یا کامپیوتر را انتخاب میکنیم و تنظیم میکنیم بصورت اتوماتیک از ca بتوانند certificate بگیرند
در این مسیر ساده
Computer Configuration-windows setting-security setting-pulic key
و در قسمت راست گزینه این بنام
certificate service client-auto enrollment
دیده میشود[/h]
