تا %60 تخفیف خرید برای 5 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش راه اندازی Offline Root CA و Subordinate CA در ویندوز دو

خوب در آموزش قبلی ما با هم یک Root CA را بصورت آفلاین راه اندازی کردیم و این CA دامین itpro.local را به عنوان دامین رجیستر شده با استفاده از دستوراتی که وارد کردیم شناسایی کرد. حالا نوبت به راه اندازی Subordinate CA می باشد که در اینجا در نقش Issuing CA نیز فعالیت می کند. سناریو به این شکل است که بر روی سروری که عضوی دامین itpro.local است Role مربوط به Active Directory Certificate Services را نصب می کنیم و اینبار به جای انتخاب root CA گزینه subordinate CA را انتخاب می کنیم .

در این حالت سرور از ما آدرس Root CA را می خواهد که بتواند برای ادامه فعالیت از آن Certificate بگیرید که در اینجا با توجه به آفلاین بودن Root CA در خواست را بصورت دستی در قالب فایل گرفته و به سرور root انتقال می دهیم و سپس بعد از صادر شدن یا Issue شدن certificate آن را به Subordinate CA منتقل و نصب می کنیم . با ما تا انتهای ماجرا باشید و مراحل را بصورت گام به گام انجام دهید.

1-وارد سرور عضو دامین بشوید و از طریق کنسول Server Manager گزینه Active Directory Certificate Services را انتخاب کنید و Next را بزنید ، در اینجا دو گزینه Certificate Authority و Certificate Authority Web Enrollment را انتخاب کنید ، برخلاف Root CA این CA بایستی بتواند بصورت آنلاین به کلاینت های شبکه سرویس دهی کند و به همین دلیل سرویس وب آن را نیز راه اندازی می کنیم و بر روی گزینه Next کلیک می کنیم ، همانطور که در تصویر زیر مشاهده می کنید :

 

انتخاب Certificate Authority  و Web Enrollment

 

2-در تصویر زیر شما بایستی نوع CA را انتخاب کنید که آیا یک سرور Stand Alone است یا سرور Enterprise ، با توجه به اینکه ما می خواهیم از این سرور در نقش صادر کننده خودکار یا Issuing CA در شبکه استفاده کنیم و قابلیت Auto Enrollment در ساختار Enterprise CA وجود دارد این گزینه را انتخاب می کنیم ، دقت کنید که گزینه Enterprise صرفا زمانی فعال است که شما در عضویت یک دامین قرار داشته باشید که در اینجا ما یک دامین به نام itpro.local داریم که سرور فعلی ما در عضویت این دامین است. بعد از انتخاب Enterprise بر روی Next کلیک می کنیم.

 

انتخاب نوع CA از جنس Enterprise

 

3-در ادامه و در تصویر زیر شما نوع CA از نظر قرار گرفتن در ساختار سلسله مراتبی را مشاهده می کنید ، در اینجا ما می خواهیم زیرمجموعه یک CA دیگر شویم که Root CA ما می باشد ، بنابراین در این قسمت گزینه Subordinate CA را انتخاب می کنیم ، اگر به خاطر داشته باشید در آموزش قبلی به دلیل ریشه بودن CA گزینه Root را انتخاب کردیم ، بعد از انتخاب Subordinate بر روی Next کلیک کنید.

 

انتخاب نوع CA از جنس Subordinate

 

4-در ادامه تصویر زیر ویزارد از شما می خواهد که برای این سرور یک کلیک خصوصی یا Private Key ایجاد کند ، دقت کنید که در این ویزارد بصورت خودکار یک Private Key ایجاد می شود اما این Private Key بی ارزش است و فقط برای انجام فرآیند نصب استفاده می شود ، بعد از اینکه شما از سرور Root CA یک Certificate شامل کلید خصوصی و کلید عمومی برای این سرور دریافت کردید و آن را نصب کردید این Private Key صادر شده دیگر بی ارزش می شود ، فعلا برای اینکه فرآیند نصب به درستی انجام شود گزینه Create a new private key را انتخاب کنید و بر روی Next کلیک کنید.

 

ایجاد Private Key مربوط به سرور CA

 

5-در ادامه از شما در خصوص الگوریتم های رمزنگاری مورد استفاده در این ساختار سئوال می شود که همانطور که اعلام کردیم همه اینها را بصورت پیشفرض فعلا در نظر بگیرید ، در این حالت CSP خود را بر روی Microsoft Software Key Storage Provider و الگوریتم Hashing خود را بر روی SHA1 و طول کلید را همان 2048 بیت در نظر بگیرید و بر روی Next کلیک کنید.

 

انتخاب الگوریتم های رمزنگاری مربوط به CA

 

6-در قسمت بعدی از شما در خصوص نام CA سئوال می شود که در اینجا با توجه به اینکه شما در عضویت یک دامین هستید ، هر نامی که انتخاب کنید دارای پسوند دامین شما خواهد بود. ما در اینجا نام سرور CA را ITPRO-CA انتخاب می کنیم و با توجه به همین اسم ساختار Distinguished Name ساخته شده را می توانید در ادامه مشاهده کنید. تغییرات چندانی در این قسمت نیاز نیست انجام بدهید ، بر روی Next کلیک کنید تا به مرحله بعدی بروید.

 

انتخاب اسم CA با توجه به ساختار distinguished Name

 

7-این قسمت بسیار مهم است ، در اینجاست که شما بایستی درخواست دریافت گواهینامه یا Certificate خود را به سمت Root CA بفرستید تا تاییدیه و Certificate دریافت کنید ، گزینه اول در خصوص معرفی یک Root CA آنلاین و در حال کار است ، چیزی که ما در این سناریو نداریم ، اما در این حالت ما گزینه دوم را انتخاب می کنیم ، با انتخاب این گزینه درخواستی از طرف این CA بصورت یک فایل در اختیار شما قرار می گیرد تا آن را بصورت دستی برای Root CA برده و از طرف آن Certificate صادر کنیم ، گزینه دوم را انتخاب کنید و محل ذخیره سازی فایل را هم فراموش نکنید ، بر روی Next کلیک کنید.

 

ذخیره درخواست Certificate  با پسوند .req

 

8-در تصویر پایین نیز همانطور که مشاهده می کنید و در آموزش قبلی نیز عنوان کردیم محل قرارگیری فایل های تنظیمات و لاگ های سرور CA مشخص شده است که معمولا ما تنظیمات خاصی در این قسمت نداریم و بر روی Next کلیک می کنیم.

 

محل قرارگیری تنظیمات و لاگ سرورها

 

9-در انتهای فرآیند نصب ویزارد خلاصه ای از تنظیمات انجام شده را به شما نمایش می دهد ، دقت کنید که در اینجا به شما اعلام شده است که حتی بعد از اینکه شما گزینه Close را نیز انتخاب کنید CA بصورت کامل نصب و راه اندازی نخواهد شد زیر درخواست شما بایستی توسط Root CA مورد نظرتان تایید و سپس Certificate مورد نظر بر روی این سرور نصب شود تا بتواند فعالیت کند ، در اینجا روی گزینه Close کلیک کنید ، CA شما نصب می شود اما در حالت Stop قرار می گیرد .

 

خلاصه ای از فرآیند نصب سرور Certificate Authority

 

10-در ادامه وارد کنسول مدیریتی Certificate Authority می شویم و با مشاهده علامت مربع مشکلی بر روی این سرویس متوجه می شویم که سرویس مورد نظر در حالت Stop قرار دارد ، اگر تلاش کنیم که این سرویس را Start کنیم با پیغام زیر مواجه می شویم که به ما می گوید بایستی Certificate ای داشته باشید که از طرف Root CA صادر شده باشد تا این سرور بتواند در حالت عملیاتی قرار بگیرد ، با توجه به اینکه ما فعلا کاری در خصوص این Certificate انجام نداده ایم نمیتوانیم CA را Start کنیم.

 

مشاهده علامت مربع مشکلی رو سرور Certificate Authority

 

11-خوب در این مرحله کار ما در سرور Subordinate CA تمام شده است و الان کاری که بایستی انجام شود این است که فایل درخواست ایجاد شده را که دارای پسوند req است بصورت دستی روی Root CA کپی کرده و وارد کنسول مدیریت CA در Root CA شوید و مراحل زیر را انجام دهید ، ابتدا بر روی نام CA راست کلیک کنید و گزینه Submit new request را انتخاب کنید ، در اینجا محل قرارگیری فایل درخواست را مشخص کنید و در نهایت Open را بزنید. دقیقا مشابه آنچه که در پایین مشاهده می کنید.

 

درخواست ثبت Certificate  در CA

 

 

درخواست ثبت Certificate در CA

 

12-همانطور که در تصویر پایین نیز مشاهده می کنید درخواست شما بعد از باز شدن در قسمت Pending قرار می گیرد و منتظر می ماند که شما آن را صادر یا Issue کنید. کافیست بر روی درخواست مورد نظر راست کلیک کرده و Issue را بزنید . Certificate مورد نظر شما ایجاد شده است و در قسمت Issued قرار گرفته است.

 

Issue یا صادر کردن Certificate در کنسول Certificate Authority

 

13-گام بعدی خروجی گرفتن یا کپی کردن Certificate صادر شده از قسمت Issued می باشد. برای کپی کردن Certificate کافیست ابتدا بر روی Certificate مورد نظر راست کلیک کرده و گزینه Open را بزنیم و سپس تب Details را باز کنیم و گزینه Copy to file را انتخاب کنیم ، طبق مراحل جلو برویم ، توجه کنید که در اینجا حتما گزینه p7b بایستی برای خروجی انتخاب شود. به تصاویر زیر دقت کنید.

 

کپی کردن Certificate از سرور اصلی

 

 

کپی کردن Certificate از سرور با پسوند p7b

 

14-خوب در اینجا کار ما دیگر با Root CA تمام شده است و مجددا به سراغ Subordinate CA می رویم ، وارد کنسول مدیریت CA شوید و همانطور که در تصویر زیر مشاهده می کنید این سرویس در حالت Stop قرار دارد ، بر روی آن راست کلیک کرده و Start را بزنید ، از شما در خصوص فایل Certificate صادر شده توسط Root CA سئوال می شود که شما بایستی بر روی Yes کلیک کنید ، فایل را انتخاب کنید که در اینجا ما اسم آن را Subordinate-CA گذاشته ایم. بعد از انتخاب این گزینه به شما خطای زیر نمایش داده خواهد شد.

 

تایید نصب Certificate برای راه اندازی سرور CA

 

 

قابل اعتماد کردن Public Key موجود در سرور Root CA

 

15-خطایی که در بالا مشاهده می کنید به دلیل این است که Certificate ای که از Root CA دریافت کرده اید از سروری دریافت شده است که از نظر این سرور غیرقابل اعتماد یا Untrusted است ، با کلیک کردن بر روی OK این CA در لیست سرورهای قابل اعتماد یا Trusted Ca ها قرار می گیرد. سپس شما با خطای زیر مواجه می شوید ، این خطا به دلیل این صادر می شود که سرور فعلی قادر به دریافت کردن لیست Certificate های باطل شده یا CRL از سرور Root نیست ، برای برطرف کردن این مشکل کافیست دستوری که در ادامه مشاهده می کنید را در CMD سرور وارد کنید تا دیگر CRL ها بررسی نشوند. بعد از انجام دستور فوق سرور را یکبار Stop و Strat کنید و این سرور آماده سرویس دهی به شبکه می باشد.

 

خطای Certificate Revocation List در سرور CA

 

C:\>certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\SEASUB01\CRLFlags
Old Value:
CRLFlags REG_DWORD = 2
CRLF_DELETE_EXPIRED_CRLS -- 2
New Value:
CRLFlags REG_DWORD = a (10)
CRLF_DELETE_EXPIRED_CRLS -- 2
CRLF_REVCHECK_IGNORE_OFFLINE -- 8
CertUtil: -setreg command completed successfully.

 

وارد کردن دستورات برای CRL

 

خوب در این سری آموزشی شما یاد گرفتید که چگونه یک سرور Root CA ایجاد کنید که بصورت Offline و بدون نیاز به شبکه فعالیت کند و بتواند برای کار کردن سرورهای پایین دستی یا subordinate CA ها Certificate صادر کند ، از این به بعد شما می توانید از سرور subordinate ساخته شده براحتی در شبکه و در ساختار اکتیودایرکتوری استفاده کنید و از قابلیت Auto Enrollment ای که دارد استفاده کنید ، قابلیتی که در سرورهای Stand Alone وجود ندارد. امیدوارم مورد توجه شما دوستان قرار گرفته باشد. ITPro باشید.

نویسنده : محمد نصیری

منبع : انجمن تخصصی فناوری اطلاعات ایران

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

نظر شما
برای ارسال نظر باید وارد شوید.
25 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند