Forum

Subordinate Certifi...
 
Bildirimler
Hepsini Temizle

Subordinate Certificate Server Kurulumu

4 Yazılar
2 Üyeler
0 Reactions
933 Görüntüleme
(@SerdarKarahanoglu)
Gönderiler: 13
Eminent Member
Konu başlatıcı
 

Selam,

Firma bünyesinde bulunan bir certificate server ı farklı lokasyonda (B location diyelim) tutuyoruz, kullanıcılar sertifika yenilemek istediklerinde ISA server RPC rule u yazılı dahi olsa yeniletmiyor, farklı bir route yazarak kullanıcılara sertifikalarını ISA server a götürmeden yeniletebiliyorum. Ve bu sorun yakında daha buyuk bir hale gelmeden çözmek istiyorum .
Birinci yöntem ISA nin üzerine gerekli rule tanımlarını yaparak çözmek olabilir , ben ilgili protokole izin verdim fakat hala engelliyor.
İkinci yöntem bu lokasyonda da(bunun da adı A lokasyonu olsun ) bir Certificate Server kurup kullanıcıların sertifikalarını içerden yenilemelerini sağlamak ; ki ben bu durumu tercih etmek istiyorum. Çünkü hem yedekli çalışır hemde kullanıcı yogunluğu A lokasyonunda oldugundan network sorunlarından bagımsız hale getirmiş olabilirim.
Bu durumda ilk tercih olarak aklıma gelen CA i taşımak ama makalelerden gördüğüm kadarıyla CA taşıma işi epey riskli bir iş ; birde CA Domain Controller üzerinde olunca daha bir riskli oluyor. Diğer yöntem ise subordinate CA olarak kurmak . Bu kurulumda kullanıcılar sertifikalarını root CA den çekmiş gibi trust edebiliyor mu ? Böyle bir çalışma yapmış arkadaşlar var ise görüşleri benim için çok değerli olucaktır.

Teşekkür ederim.

 
Gönderildi : 23/03/2010 18:45

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33301
Illustrious Member Yönetici
 

Merhaba


İstediğiniz çözümde dahi ISA sorununu çözmeniz gerekmiyor mu ? Sonuçta istemci Root CA yerine bu seber Sub - Root görüşmeli .


Sub genellikle güvenlik ve yük dengeleme için kurulur ;


yani root kurarsınız sonra bir veya bir kaç sub kurup root u kapatırsınız .. Sub lar ile çalışmaya devam edersiniz.


Birden çok sub ile ( smart card sertifikaları için bir adet , efs sertifikaları için 1 adet , web server lar için bir adet )  hırsızlık durumunda sadece atak yiyen veya güvenlik zaafiyetine uğratılan sistemlerden biri çökmüş olur . Ve yine yoğun bir smart card sertifika dağılımındaki yoğunluk veya servis kesintisi diğer sertifika hizmetlerini etkilemeyecektir.


özetle bu amaç ile sub kurabilirsiniz.


 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 23/03/2010 19:10

(@SerdarKarahanoglu)
Gönderiler: 13
Eminent Member
Konu başlatıcı
 

Merhaba Hakan Bey,

Clientların sertifikalarını yenilemek için yaptıgım routing i bu servera kalıcı olarak yaparsam zaten ISA aradan çıkmış olucaktır. Benim amacım kullanıcıların smart card tan ziyade user certificate ( Mail sign&encrypt, ve AD RMS için ) oluşturmalarını sağlamak yani yük dengelemek . Bu durumda root server ım yine sabit kalarak subordinate server kurulumu yaparak sorunu giderebilirim ohalde. Bunun ile ilgili sizin tavsiye edebileceğiniz dökümanlar var mı ?

Teşekkürler

 
Gönderildi : 23/03/2010 19:34

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33301
Illustrious Member Yönetici
 

acil değil ise bu konuda makale yayınlanacak yok acil ise tr döküman yok maalesef .

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 24/03/2010 01:10

Paylaş: