Forum
Bildirimler
Hepsini Temizle
Windows Server
4
Yazılar
2
Üyeler
0
Reactions
933
Görüntüleme
Konu başlatıcı
Selam,
Firma bünyesinde bulunan bir certificate server ı farklı lokasyonda (B location diyelim) tutuyoruz, kullanıcılar sertifika yenilemek istediklerinde ISA server RPC rule u yazılı dahi olsa yeniletmiyor, farklı bir route yazarak kullanıcılara sertifikalarını ISA server a götürmeden yeniletebiliyorum. Ve bu sorun yakında daha buyuk bir hale gelmeden çözmek istiyorum .
Birinci yöntem ISA nin üzerine gerekli rule tanımlarını yaparak çözmek olabilir , ben ilgili protokole izin verdim fakat hala engelliyor.
İkinci yöntem bu lokasyonda da(bunun da adı A lokasyonu olsun ) bir Certificate Server kurup kullanıcıların sertifikalarını içerden yenilemelerini sağlamak ; ki ben bu durumu tercih etmek istiyorum. Çünkü hem yedekli çalışır hemde kullanıcı yogunluğu A lokasyonunda oldugundan network sorunlarından bagımsız hale getirmiş olabilirim.
Bu durumda ilk tercih olarak aklıma gelen CA i taşımak ama makalelerden gördüğüm kadarıyla CA taşıma işi epey riskli bir iş ; birde CA Domain Controller üzerinde olunca daha bir riskli oluyor. Diğer yöntem ise subordinate CA olarak kurmak . Bu kurulumda kullanıcılar sertifikalarını root CA den çekmiş gibi trust edebiliyor mu ? Böyle bir çalışma yapmış arkadaşlar var ise görüşleri benim için çok değerli olucaktır.
Teşekkür ederim.
Gönderildi : 23/03/2010 18:45
Merhaba
İstediğiniz çözümde dahi ISA sorununu çözmeniz gerekmiyor mu ? Sonuçta istemci Root CA yerine bu seber Sub - Root görüşmeli .
Sub genellikle güvenlik ve yük dengeleme için kurulur ;
yani root kurarsınız sonra bir veya bir kaç sub kurup root u kapatırsınız .. Sub lar ile çalışmaya devam edersiniz.
Birden çok sub ile ( smart card sertifikaları için bir adet , efs sertifikaları için 1 adet , web server lar için bir adet ) hırsızlık durumunda sadece atak yiyen veya güvenlik zaafiyetine uğratılan sistemlerden biri çökmüş olur . Ve yine yoğun bir smart card sertifika dağılımındaki yoğunluk veya servis kesintisi diğer sertifika hizmetlerini etkilemeyecektir.
özetle bu amaç ile sub kurabilirsiniz.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 23/03/2010 19:10
Konu başlatıcı
Merhaba Hakan Bey,
Clientların sertifikalarını yenilemek için yaptıgım routing i bu servera kalıcı olarak yaparsam zaten ISA aradan çıkmış olucaktır. Benim amacım kullanıcıların smart card tan ziyade user certificate ( Mail sign&encrypt, ve AD RMS için ) oluşturmalarını sağlamak yani yük dengelemek . Bu durumda root server ım yine sabit kalarak subordinate server kurulumu yaparak sorunu giderebilirim ohalde. Bunun ile ilgili sizin tavsiye edebileceğiniz dökümanlar var mı ?
Teşekkürler
Gönderildi : 23/03/2010 19:34
acil değil ise bu konuda makale yayınlanacak yok acil ise tr döküman yok maalesef .
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 24/03/2010 01:10
