تا %60 تخفیف خرید برای 3 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش جامع PKI در مایکروسافت و Certificate Services : قسمت 4

در این جلسه قصد دارم قابلیت جدیدی که در Windows Server 2008 به نام Online Responder معرفی شده را آموزش دهم. با ما باشید.Subjectها قبل از استفاده از Certificate برای احراز هویت و رمزگذاری وضعیت آنها آن Certificate ها را برسی و اعتبار سنجی می کنند. Subjectها در پروسه اعتبار سنجی از دو پارامتر مهم استفاده می کنند:

Time:
قبل از اینکه Subjectی از Certificateی استفاده کند چک می کند طول عمر آن Certificate به پایا ن نرسیده و Expire نشده است. اگر Certificateی به هر دلیلی طول عمر آن سپری شده باشد آن Certificate بلا استفاده می باشد.
Revocation Status:
بعد از چک کردن طول عمر Certificate توسط Subjectها آن Certificate را از لحاظ باطل بودن یا Revocation چک می کنند و اگر آن Certificate این دو پارامتر مهم را پاس کند Subject از آن Certificate استفاده می کند.
چک کردن Certificate ها از لحاظ باطل بودن توسط Subjectها می تواند شامل چندین روش باشد که ابتدائی ترین روش لیست CRL and Delta CRL می باشد و علاوه بر این دو روش، روش جدیدی به نام Online Certificate Status Protocol یا OCSP معرفی شده است.سیستم عاملهای قبل از Windows Vista فقط از روش CRL استفاده می کردند ولی با امدن Windows Server 2008 علاوه بر لیست CRL از OCSP هم استفاده خواهد شد.در پروسه ارزیابی یا اعتبار سنجی Certificateها اعتبار سنجی شامل کل Certificate Path می باشد. و همراه ارزیابی سرتیفیکت Parent CA آن Certificate هم ارزیابی می شود و این ارزیابی تا خود Root CA ادامه دارد.جهت اطلاع شما دوستان Subjectها برای دسترسی به Parent CA و اعتبار سنجی آنها از دو پارامتر استفاده می کنند:

  • Local certificate store
  • Authority information access (AIA)

اگر به هر دلیلی این اعتبار سنجی با موفقیت انجام نشود آن Subject قادر به استفاده از آن Certificate نخواهد بود.

CRL


لیست CRL یک فایل می باشد که توسط CA Server ایجاد می شود و شامل تمام Certificateهای باطل شده است. این فایل علاوه بر Certificateها باطل شده دارای Serial numbers می باشد که متعلق به Certificateها است. علاوه بر اینها دارای زمان و دلیل باطل شدن Certificate نیز می باشد.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


یکی از مشکلات لیست CRL حجیم شدن این لیست می باشد. در سازمانهای خیلی بزرگ برای ذخیره سازی این لیست و انتشار آن استورج و پهنای باند زیادی استفاده می شود.و دیگر مشکلات این روش تاخیر آن می باشد. لیست CRL در بازه های زمانی مشخصی منتشر می شود و بعد از انتشار این لیست بر روی کلاینتها Cache می شود. حالا اگر بعد از انتشار این لیست Certificateی باطل شود کلاینتها از این تعقیر تا انتشار بعدی بی خبر می مانند.جهت اطلاع شما دوستان برای تنظیم Publish شدن لیست CRL در ساختار می توانید از تنظیمات زیر استفاده کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم



Online Certificate Status Protocol


با امدن قابلیت جدید OCSP شما یک سرور Online دارید که به کاربران خدمات ویژه ای ارائه می دهد. وقتی Subjectی قصد داشته باشد وضعیت Certificateی را چک کند درخواست این Subject مستقیما به OCSP ارسال می شود و OCSP وضعیت Certificate و مسیر آن Certificate Path را چک می کند و جواب را بسوی Subject ارسال می کند.
نکته: کل ارتباطات OCSP با Subjectها از طریق پروتکل HTTP انجام می شود.
بزرگترین عیب این روش پایداری یا بهتره بگم UP Time این سرور می باشد. تا وقتی که این سرور روشن باشد این اعتبار سنجی به نحوه احسنت انجام می شود ولی اگر این سرور از کار افتد و بقیه پارامترها مانند CDP extension تنظیم نشده باشند کار Subjectها مختل می شود.

اجزای Online Certificate Status Protocol


آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم



اجزای OCSP به دو قسمت تقسیم می شود:

  • Client
  • Server

قسمت کلاینت جزئی از CRYPTOAPI می باشد که وقتی Subjectی قصد برسی وضعیت Certificateی را داشته باشد CryptoAPI را فراخوانی می کند و درخواست خود را به سمت OCSP ارسال می کند.
قسمت سرور شامل اجزای زیر می باشد:

Online Responder Web Proxy Cache:

این کامپوننت دو کار مهم را انجام می دهد:
Request Decoding: درخواست کلاینتها را بعد از دریافت رمزگشائی می کند و سریال نامبر Certificate را برای اعتبار سنجی استخراج می کند.
Response Caching: بعد از اینکه درخواست کلاینتها دریافت شد و سریال نامبر آنها استخراج شد Online Responder Web Proxy Cache کش خود را برای چک کردن وضعیت Certificate برسی می کند. اگر جوابی پیدا نکرد درخواست کلاینتها را به Online Responder Service ارسال می کند.
Online Responder Service:
بر اساس تنظیماتی که انجام می دهیم کار اصلی آن بازیابی و اعتبار سنجی کردن درخواست کلاینتها می باشد.
Revocation Configuration:
شامل تمام تنظیماتی می باشد که برای ارسال پاسخ هنگام چک کردن وضعیت Certificate به Subjectها استفاده می شود. یا یکسری تعاریف می باشد برای پاسخ دادن به وضعیت Certificateهای یک CA Server.
نکته: هر OCSP می تواند شامل چندین Revocation Configuration باشد.
Revocation Providers:
افزونه ی می باشد برای Revocation Configuration که Online Responder Service را قادر می سازد وضعیت Certificate را برسی کند و نتیجه را Cache کند.
Online Responder:
کامپیوتری می باشد که Online Responder service and Online Responder Web proxy بر روی آن در حال اجرست. و اطلاعات Revocation یک CA یا چندین CA سرور را در خود نگهداری می کند. جالبه که بدونید سرویس OCSP اطلاعات Revocation را از لیست CRL سرور CA بدست می آورد.در تکنت مایکروسافت اطلاعات زیادی درباره کامپوننتهای بالا وجود دارد که من آنها را برای درک راحتتر خلاصه کردم.

نحوه پیاده سازی OCSP:


با توجه به تصویر زیر ما می توانیم OCSP را بر روی یک سرور نصب کنیم یا در سازمانهای بزرگ که روزانه چندین هزار درخواست سمت OCSP ارسال می شود از لود بلانس نرم افزاری یا سخت افزاری استفاده کنیم:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در بعضی از سناریوها که قصد داریم OCSP توسط کاربران بیرون از سازمان در دسترس باشد می توانیم این سرویس را توسط TMG or ISA یا سولوشن های دیگر Publish کنیم.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


برای اطلاع از نحوه Publish کردن این سرویس در ISA به لینکی که در آخر معرفی می کنم رجوع کنید.

پیاده سازی OCSP در سازمان:


برای نصب و راه اندازی این سرویس سه مرحله پیش رو داریم:

    1. نصب سرویس OCSP.
    2. آماده سازی محیط سازمان برای استفاده از این سرویس.
    3. تنظیم سرویس OCSP.

نصب سرویس Online Certificate Status Protocol


شما باید این سرویس را بعد از پیکربندی CA Server در سازمان و قبل از صدور هر گونه Certificate نصب و تنظیم کنید.
نکته: شما می توانید این سرویس را بر روی CA Server یا یک سرور مجزا نصب کنید.
برای نصب این سرویس مراحل زیر را دنبال کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


بعد از اتمام نصب مشاهده می کنید که کنسول IIS اضافه شده و یک Virtual Directory به نام OCSP ایجاد شده است.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آماده سازی محیط سازمان برای استفاده از این سرویس:


اولین قدم در این راستا ایجاد A Record این سرویس در DNS می باشد.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


دومین قدم تنظیم AIA Extensions بر روی CA Server می باشد.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در قسمت Location شما باید URL سرور OCSP به همراه Virtual Directory را بنویسید به عنوان مثال:

http://ocsp.mycity.local/ocsp

قدم بعدی تنظیم OCSP Response Signing Template می باشد. برای اینکار در کنسول CA

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در کادر بالا سروری که روی آن OCSP نصب شده است را اضافه و مجوزهای Read and Enroll دهید. OK کنید و مراحل زیر را دنبال کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


الان این Template در کادر Certificate Template اضافه می شود و با اضافه شدن آن در این کادر بصورت اتوماتیک در اکتیو دایرکتوری Publish می شود.
این Template برای کارکرد OCSP و چک کردن درخواستهای کاربران مورد استفاده قرار می گیرد.

تنظیم سرویس OCSP


برای تنظیم OCSP این کنسول را از منوی استارت اجرا کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

  1. در این قسمت می توانید Revocation Configuration را ایجاد کنید. همانطور که می دانید هر CA Server باید دارای یک Revocation Configuration باشد. هر OCSP می تواند چندین RC داشته باشد.
  2. اگر چندین OCSP در ساختار داشته باشید همه زیر مجموعه Array Configuration می شوند و یکی از OCSP نماینده Array controller"" این Array Configuration می شود. این قابلیت زمانی مفید می باشد که تنظیمات Revocation Configuration سرورهای OCSP کانفلیت داشته باشند در چنین شرایطی تنظیمات Array controller بر روی OCSPها اعمال می شود.

برای ایجاد Revocation Configuration مراحل زیر را دنبال کنید:
نکته: برای هر CA Server باید یک Revocation Configuration ایجاد شود.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


اسمی برای Revocation Configuration بنویسید.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در بالا باید روش دسترسی به CA Certificate را مشخص کنید. از طریق فایل یا Local Certificate Store یا از طریق اطلاعات ذخیره شده در Active Directory

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در صفحه بعد Browse کنید و CA Certificate مورد نظر را انتخاب کنید.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در مرحله بالا شما باید OCSP Response Signing که در مرحله قبلی ایجاد کردید را معرفی کنید. چک باکس Auto-Enroll… باعث Enroll و Renew کردن اتوماتیک این Template می شود. اگر CA Server که در مرحله قبلی آن را انتخاب کردیم مسئول صادر کردن این Template باشد این چک باکس و فیلد های Certificate Authority and Certificate Template بصورت اتومات انتخاب و تنظیم می شوند.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم

 

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در بالا با کلیک کردن دکمه Provider باید مشخص کنید Revocation Configuration چگونه به اطلاعات لیست CRL دسترسی داشته باشد. که همانطور که در تصویر بالا مشاهده می کنید از دو طریق این اطلاعات بازیابی می شوند اطلاعاتی که بر روی Web Server میزبانی می شوند و اطلاعاتی که در Active Directory ذخیره شده اند.بصورت پیش فرض OCSP قبل از اینکه اطلاعات CRL را بر روی شبکه جستجو کند بصورت لوکال دنبال یک CRL متعبر میگردد. اگر OCSP بر روی CA Server نصب شده باشد تنظیمات Provider نادیده گرفته می شود.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


خب برای تست کارمون من یک WorkStation Authentication Certificate را بر روی کلاینتهای ساختار Enroll کردم. وقتی در قسمت Propertiesش میرم و گذینه زیر را انتخاب می کنم می بینم مخزن OCSP به درستی بر روی Certificateها اعمال شده

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


الان این Certificate را در درایو C به نام Client-01 اکسپورت می کنم و توسط دستور زیر:

certutil –URL c:\client-01.cer

ابزار URL Retrieval Tool را اجرا می کنم و OCSP را تست می کنم که در تصویر زیر

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


مشاهده می کنید که کلاینت اطلاعات Revocation این Certificate را با موفقیت از OCSP بدست آورد.
الان این Certificate را Revoke می کنم و اطلاعات Revocation را Publish می کنم.

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


دوباره تست می کنم

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


این از این. خب در آخر باید به این هم اشاره کنم که شما می توانید سرور OCSP را تنظیم کنید.تنظیماتی از قبیل Auditing و Security و همچنین تعداد Entry های که باید Cache شوند و غیره

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


قسمت Audit را حتما تنظیم کنید تا در مواقع اضطراری بتوانید با رجوع کردن به Event Viewer مشکل را حل کنید. درضمن برای اینکار حتما Audit object access را در Group Policy فعال کنید.همچنین می توانید Revocation Configuration را هم تنظیم کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


برای یاد گرفتن این تنظیمات و همچنین کارائی آنها به لینکی که در آخر ضمیمه می کنم رجوع کنید. (برای جلوگیری از طولانی نشدن مقاله از آموزش آنها خود داری می کنم).در آخر هم اینو بگم که مباحثم تکمیل بشه. برای تنظیم کردن OCSP از راه دور شما باید ابزار Remote Administration tools را بر روی کامپیوتر مقصد نصب کنید و دو رول زیر را در فایروال بر روی سرور OCSP فعال کنید:

آموزش جامع PKI در مایکروسافت و Active Directory Certificate Services : قسمت چهارم


در آخر باید بگم دوستان و همکاران عزیز. سعی کنید تمام قسمتهای این سلسله های آموزشی را درک و تمرین کنید. حفظ کردن این مطالب هیچ کمکی به شما نمی کند بلکه همه چیز را پیچیده می کند. در این آموزشها سعی کردم مباحث و مطالب اولیه هر قسمت را تا حدودی در آموزش های قبلی بیان کنم تا آمادگی این را داشته باشید که مطالب اینده را با درک بهتر و با دیدی بازتر یاد بگیرد. از اساتید خواهشمندم اگر کمی و کاستی یا اشتباهی در انتقال این آموزشها می ببیند حتما ذکر بدن تا در آموزش های بعدی لحاظ شود. با تشکر از همه شما.
منبع:

Online Responder Installation, Configuration, and Troubleshooting Guide

https://technet.microsoft.com/en-us/library/cc770413(v=ws.10).aspx


موفق و پیروز باشید.

نویسنده : احمد جهلولی
منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است

نظر شما
برای ارسال نظر باید وارد شوید.
13 نظر
افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند