Forum
Bildirimler
Hepsini Temizle
Windows Server
8
Yazılar
3
Üyeler
0
Reactions
1,787
Görüntüleme
Konu başlatıcı
Siteye yeni üye oldum , öncelikle hayırlı olsun bişim dünyasına.
Döküman karıştırmadım ya da uygulama yapmadım değil ama tam açıklığa kavuşturamadığım bir ayrıntı var.
Bildiğimiz gibi , Sertifikalar public key ve private key esasına göre çalışan bir sistem.
a)Şunu merak ediyorum, CA den sertifika alındı demek sertifika ve buna bağlı olarak, public key ve private key denen 3 dosyanın alınması mı demek. Yani sertifikayı alan bilgisayarın içinde sertifika dediğimiz bir varlık, public key denen şey , private key denen şey yani 3 ayrı varlık bizzat kendilerine ayrılan, harddiskteki bir yerde ayrı ayrı duruyorlar anlamına mı geliyor.
Yoksa sadece public ve private key ayrı ayrı olarak sertifikayı alan bilgisayarda duruyor ve biz bu ikisine sertifikamı diyoruz.
b)Bu durumda kendisinden sertifika alıyoruz dediğimiz CA de duran şey tek bir dosya halinde duran ve içinde public ve private ve sertifikanın bulunduğu bir dosyamı oluyor.
c)Diğer bir soru olarak da; yukardaki sorunun cevabını bilmediğim için şöyle sorim:
EFS uygulamasında eger ortamda bir CA yoksa lokal olarak bilgisayar public ve private key oluşturuyor. Şimdi burda madem public ve private key olusuyor o zaman bir sertifika da olusuyormu , ve harddiskte bir yerde duruyor mu public ve private key den ayrı olarak?
Teşekkür ederim şimdiden
Gönderildi : 26/04/2008 18:37
Merhaba
aramıza hoşgeldiniz.
Sertifika bir bütündür ve public ila private key olmak üzere iki bileşenden oluşur. Saklanma konum ve detayları ise aşağıdaki gibidir
[img] 
[/img]
ca bunu arşivlenmediği sürece saklamaz ( yani o sertifika template i arşivlenmek üzere seçilmediği sürece )
EFS te self signed denilen kendi kendine imzalan bir sertifka kullanılır ve ca den alınan Basic EFS ile aynı özelliklere sahiptir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 26/04/2008 19:50
bende madem yeri gelmişken şöyle bir soru sorayım
server 2003 r2 kurulu (dc+file server)
Kullanıcıların bir kısmı ağdaki dosyalarını efs ile şifrelemişler.Sertifika yedekleri var ama clientlardan alınmış.Kullanıcı domainden başka bir yerde kendi şifresi ile oturum açarsa dosyalarına pc farklı olsa da erişebiliyor.Data recovery agent yok admin dahi müdahele edemiyor yada biz bilmiyoruz etmeyi.
Bu ortama CA kurulursa sonradan başımız ağrır mı.Yada çıkabilecek ve dikkat etmemiz gerekenler.Teşekkürler
Gönderildi : 26/04/2008 23:30
Merhaba
eğer ortamda domain var ise dc kurulumu ile standart olarak DRA oluşur ve bu sertifika administrator kullanıcısına dc üzerindeki profiline yüklenir.
ve bu sertifika ile o domain ortamında yapılan butun efs verilerine ulaşmanız gerekli
yapmanız gereken tek şey dra sertifikasını export etmek ( private key ) ve efs li verileirn bulunduğu bilgisayarda admin olarak oturum açtıktan sonra sertifikayı import etmeniz yeterlidir.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 26/04/2008 23:46
Hakan bey peki dc üzerinde administrator hesabının dosyalara erişememesi normalmidir ?(Alakası varmı bilmiyorum ama yazayım administrator hesabı recovery agent içinnde vardı ancak eylül ayında sertifasının süresi bitecek niye bu kadar kısa acaba)Bu süre uzatılabilirmi.Uzatılamazsa neler yapabiliriz)Birde bu administrator hesabı sanki domain kurmadan önceki administrator hesabı.Ancak ortama dc kurulunca bu hesabın güvenlik için silindiğini biliyorum.Acaba adminler mi karıştı.Saçmaladıysam kusura bakmayın.
Gönderildi : 27/04/2008 00:02
Şimdi EFS için konuşmak gerekli ise okunabilen bir verinin DES yardımı ile okunamaz hale getirilmesidir . DES bu işlem için FEK kullanır ve bu FEK o işlem sırasında random olarak üretilir ve bu FEK in bir kopyası user ın public key i ile bir sandığa konularak kilitlenir. Ve tabiki bu sandığı sadece bu user ın private key i açabilir . Ama yin bu işlem sırasında fek in bir kopyasıda DRA user ının public key i ile de bir sandığa kilitlenir . Bu sayede user sertifikasını silse bile siz DRA nın private key i ile sandıktaki fek i çıkarabilir ve işlemi tersine çebirebilisiniz
Bu durumda dosya ve sertifika aynı bilgisayarda olmalı . Yani dc de zaten domain kurulumunda admin e admin profilinde sertifika verilmiş efs li dosyada dc de ise kesinlikle okur.
Okuyamıyor ise kontrol için efs li dosyada detay bölümünden kimlerin okuyabileceği detayına bakarak buradan sertifikanın parmak izini alın ve bunu kendi DRA sertifikanız ile karşılaştırın.
Sertifika süresı bitebilir tabikide bu durumda en iyisi ca kurmak ve bir dra alarak onu gpo ile domain e tanıtmak.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 27/04/2008 01:47
Konu başlatıcı
Hocam şekilli gösterim mükemmel olmuş çok teşekkür ederim.
Burada Master key olarak geçen şey sadece EFS de kullanılan birşey olarak algıladım doğru mudur acaba?
Örnekte EFS üzerinden şekilli illüstrasyon vermişsiniz. Bütün sertifikalarda mesela secure e-mail gibi, EFS dışındaki bütün uygulamalarda da public ve private key in bulunduğu path birebir aynı mıdır?
Şunun için sordum aslında : secure e-mail uygulamasında en azından, CA in oldugu bir alanda Lan içindeki bir kişiye mail atarken o kişinin sanırım public key i ile şifrelemek ve karşı tarafında kendi private key i ile açması gerekiyor şifreli maili. Gönderen gönderilenin public keyini CA den öğreniyor diye biliyorum yanlışsa düzeltin lütfen. O zaman da mailin gideceği kişinin public key i CA de durmak zorunda , mailin gideceği kişinin Pc sinde public key in bulunması gerekmiyor diye düşünüyorum. Aslında bu konu, sizinde belirttiğiniz gibi template in arşivlenmesi ile ilgili sanırım.??
Gönderildi : 27/04/2008 02:42
Evet doğru anlamışsın .
Diğer sertifikalarda ilgili dizinlerde bulunuyor.
Secure Email konusunda ise Eğer şifreleme olacak ise ilk olarak bir public key değişimi şart. Ancak CA üzerinde sertifka templateleri bulunmaktadır. Örneğin user sertifika template i üzerinde secure email özelliği var ve sen bu template üzerinden bir sertifika alırsan bu template üzerinde active directory de publish seçeneği açık olduğu için AD üzerinden insanlar export a gerek duymadan senin public key ine ulaşabilirler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 27/04/2008 14:10
