Merhaba.Windows Server 2012 Directory Services ile ilgili makalelerimize devam ediyoruz.Bu bölümde, Active Directory Domain Services ile entegre olarak çalışan Active Directory Certificate Services’ı açıklayıp, kurulumunu gerçekleştireceğiz.

Active Directory Certificate Services, yazılım güvenlik sistemleri için sertifikaların oluşturulması ve yönetilmesi için kullanılmaktadır.Bu servis, kullanıcı, bilgisayar ve servisler için sertifika üretmek amacıyla kullanılmaktadır.Active Directory Certificate Services,  sertifikaların yayımlanması ve doğrulanmasını saglar.Virtual Private Network, Secure Wireless Networks, IPSec, EFS, Smart Card logon, Secure Socket Layer, Transport Layer Socket ve Terminal Servisleri desteklediği uygulamalardan bazılarıdır.Public Key yapısının yönetilmesi ve sertifikaların yayınlanmasını sağlayan bu servis, Active Directory Domain Services ile entegre olarak çalışabildiği gibi, bağımsız bir rol olarak da çalışabilir.

Windows Server 2012 Active Directory Certificate Services (CA) Kurulumu

Bu rolün kurulumu esnasında aşağıdaki servislerin kurulumları gerçekleştirebilir.

Certification Authority: Kurulması zorunlu olan servis’dir.Root veya Subordinate  olarak iki seçenek mevcuttur.

Certification Authority Web Enrollment: Web üzerinden sertifika yayını ve yönetiminin yapılması için gereklidir.

Certificate Enrollment Policy Web Service – Certificate Enrollment Web Service: Domain’e üye olmayan kullanıcı ve bilgisayar hesaplarına, belirlenen politikalar çercevesinde otomatik olarak sertifikların yüklenmesini sağlayan ve birbirleriyle entegre olarak çalışan servislerdir.

Network Device Enrollment Service: Domain üzerindeki ağ cihazlarının sertifika alabilmelerini sağlayan servistir.

Online Responder: Sertifikalar için uygunluk ve geçerlilik bilgisinin online olarak kontrol edilmesini sağlayan servistir.

Windows Server 2012 içerisinde yer alan yeni kriptografi servisleri sayesinde, uygulamalar ve platformlar için farklı tiplerde şifreleme algoritmaları üretilmektedir.Bu algoritmalar sadece şifreleme için değil, aynı zamanda digital imza gibi diğer teknolojilerde de kullanılabilir.Secure Socket Layer, IPSec, Cryptography Next Generation (CNG) uygulamaları örnekler arasında sayılabilir.Enterprise PKI ile, birden fazla Certification Authority sunucusunun bulunduğu ortamlarda hatalar giderilebilir.Windows Server 2012 Certification Authority ile gerçekleştirebileceğimiz bir başka yönetim, Router ve Switch gibi üzerinde yazılım bulunduran network cihazlarının sertifikalarıdır.Online Responder servisi ile, herhangi bir sebeple geçerliliğini yitirip kullanılamaz hale gelen sertifikaların yönetimi yapılabilmektedir.Güvenlik için kullanmış olduğumuz sertifikalarda, Revocation çok önemlidir.Sertifika otoritesi tarafından sürekli olarak, iptal edilen veya süresi dolan sertifikaların durumlarının biliyor olması gerekir.Online Responder ile, hızlı bir şekilde bu bilgiler güncellenmektedir.Windows Server 2012 ile birlikte sertifika yönetimini, Domain üzerinden merkezi olarak Group Policy yardımıyla yönetebiliyoruz.

Windows Server 2012 Certification Authority üzerinde kullanabileceğimiz bir kaç özelliği açıkladıktan sonra gelelim kurulum aşamasına.

 

Windows Server 2012 Active Directory Certificate Services (CA) Kurulumu

1)Windows Server 2012’de Server Manager’ı açıyoruz.Add roles and features’a tıklayarak rol ve özellik ekleme sihirbazını başlatıyoruz.

1 (1)

2)Karşılama ekranını Next diyerek geçiyoruz.Role-based kurulumu seçiyoruz.

3)Kurulumu yapacağımız Windows Server 2012 sunucumuzu seçiyoruz.

4)Active Directory Certificate Services’i seçiyoruz.Ek kurulacak olan bileşenleri görüyoruz.

5)Ek bir özellik kurulumu yapılacaksa, bu bölümden seçiyoruz.

6)Şimdi kurulacak olan Certification Authority bileşenlerini seçiyoruz.Şirket içerisinde hizmet verebilmek adına minumum aşağıdaki iki bileşeni kurabiliriz.

7)Web Enrollment bileşenini seçtiğimiz için, ek olarak IIS ve ihtiyaç duyulan servisler kurulacaktır.

8)Özet ekrana göz atıp kurulumu başlatabiliriz.

9)Kısa bir kurulum sürecinden sonra sıra, Active Directory Certificate Service’in konfigürasyonuna geldi.

 

Windows Server 2012 Active Directory Certificate Services (CA) Konfigürasyonu

1)Active Directory Certificate Services kurulumundan sonra, konfigürasyonunun yapılması gerekiyor.Server Manager konsolunu açtığımız zaman, bununla ilgili bir uyarı mesajı alıyoruz.Aşağıda yer alan uyarı mesajına tıklayarak, konfigürasyon penceresine ulaşabiliriz.

2)Karşılama ekranında, hangi yetkilerle sertifika hizmetinin yönetileceğini seçiyoruz.

3)Kurmuş olduğumuz ve ayarlarını düzenleyeceğimiz, iki bileşenimizi seçiyoruz.

4)Domain’e üye sertifika hizmeti kurduğumuz için, Enterprise Certification Authority tipini seçiyoruz.

5)Ortama ilk defa sertifika servisi kurulacağı için Root CA tipinde kuruyoruz.Bundan sonra kurulacak olan, sertifika yönetici rolleri Subordinate CA olabilir.

6)Network ortamımızda kullanılabilmesi için, Private Key’li yeni bir sertifika oluşturuyoruz.Şifreleme algoritması olarak SHA1 ve oluşturulan anahtarların uzunluk değerlerini 2048 yapıyoruz.

7)Sertifika otoritesi olan sunucuya erişim sağlamak için kullanılacak olan bir isim belirliyoruz.

8)Sertifika sunucusunun yaşam süresini belirlenir.

9)Varsayılan olarak gelen Database ve Log dosyalarının yolunu kabul ediyoruz.

10)Özet ekrana şöyle bir göz atıp, konfigürasyonu başlatabiliriz.

11)Kısa bir süre sonra, sunucumuz hazır hale geliyor.Kontrol etmek amacıyla konsolumuzu açabiliriz.

 

Organizasyonumuzda, geliştirilmiş güvenlik özelliklerini kullanabilmek için sertifika sunucusuna ihtiyaç duymaktayız.Bizde bu bölümde, Active Directory sertifika servisini açıklayıp, kurulum ve konfigürasyonunu gerçekleştirdik.Bir başka Windows Server 2012 makalesinde görüşmek üzere.

Close