Forum
Bir windows server CA olarak kullanılabiliyormus, guvenlik konuları ilgimi cekiyor. Sertifikalarla ilgili sunu sormak istiyorum.
1.certmgr.msc ide gelen pencerede Trusted Root Certificates bölümünde çeşitli sertifikalar bulunuyor. Buradaki sertifikanın içinde tam olarak ne vardır. Public key ve Private key denen şeyler mi? yoksa SSL sertifikası denen şey mi vardır?
2.İlk soru paralelinde birşey sorucam, bazı bankaların sitelerine girdikten sonra, PC min hem Trusted Root Certificates bolumunde hem de kişisel sertifikalar bolumunde banka isminde birer sertifika gordum. Trusted Root Certificates bolumunde olan sertifika ve kişisel sertifikalar bolumundeki sertifikam banka sitesiyle iletişim için mi aynı anda mı kullanılıyor. bunların biri private biri public key mi oluyor?
3.Bazı banka sitelerinde ise SSL li sitelerde guvenlik kalkanı gibi seyler yuklemeye ihtiyac duymuyor. Onlarla SSL ile haberlesirken gecici bir sertifikamı yukleniyor bizim PC ye?
güvenilir olarak sayılırlar sisteminiz tarafından otomatik kabul edilirler mesela sertifikasını
kendi üreten bir firmanın sayfasına girdiğiniz zaman bu sertifika güvenilmeyen bir yer
tarafından üretilmiştir gibi bir hata alırsınız bu hatanın sebebi sertifikanın bu alanda
yer almamasıdır kendiniz bu kısma eklerseniz bir daha bu sertifika için uyarı almazsınız
.Sertifikaların nasıl güvenilir listesine girdiği konusunda net bir bilgim yok
yani microsoft ile bir anlaşmamı yoksa dünya çapında geçerli kurallarmı bu kısmı bilmiyorum. Aşağıda detaylı şekilde bir açıklama var umarım işinize yarar kolay gelsin.
Public key kriptolama teknoloji e-ticaret,intranet,extranet ve web tabanlı uygulamalar için kullanılır.PKI içinde kriptolama ve authentication (kimlik denetimi) olarak iki temel işleme sahiptir.W2K bu teknolojiyi smart kart , EFS (encrypted file system ) ve IPSec gibi alanlarda kullanılır.
PUBLİC KEY KRİPTOLAMA İŞLEMİ
Public key data kriptolaması vasıtasıyla internet veya intranet üzerinden gönderilen e-mail’ler , kredi kartları gibi mesajlar için gizlilik sağlar.Public key sayesinde ortak networkler üzerinde özel bağlantılar kurulabilir.
PUBLİC VE PRİVATE KEY’LERİ KULLANMAK
Public key kriptolama matematiki olarak iki anahtar kullanır.Bir anahtar (numara) rastgele bir değerdir.Algoritmayı oluşturmak için ASCII değeri , kelime yada deyim kullanılabilir. Public key kriptolama için, her kullanıcı bu anahtarlara sahiptir.
Private key; gizli tutulur.
Public key , tüm kullanıcılara serbestçe verilir.
Kriptolamanın amacı, datayı istediğimiz kişinin okumasını sağlamaktır.Tipik olarak, gönderen mesajı kriptolamak için alıcının public key’ini kullanır.Bu mesaj yalnızca alıcının private key’I tarafından çözülebilir.PKI tabanlı programlarda anahtarların kullanımı kullanıcıya saydam olarak görünür.
BİR METNİ KRİPTOLAMAK VE KRİPTOYU ÇÖZMEK
Kriptolamanın temel özelliği tek yönlü bir kriptolama ve çözülme işleminin olmasıdır.Decryption (kriptonun çözülmesi) anahtarı text’i kriptolayan anahtarla aynı değildir.Text transmisyon esnasında herhangi bir kullanıcı tarafından alınsa bile okunamaz durumda olacaktır.
PUBLİC KEY AUTHENTİCATİON
Public key authentication işlemi de encryption işlemi gibi iki anahtar (key) kullanır.İlaveten mesajı çözmek için gönderenin private key’i kullanmak yerine , mesajı kimlik denetimi ve geçerliliği için gönderenin public key’i kullanılır.Bu private key’e digital signature denir.Digital signature public key ve private key’in rollerini değiştirir.
DIGITAL SIGNATURE
Digital signature mesaja ,dosyaya originator’un (mesajın sahibi) bilgilerini eklemesinin bir yoludur.İmza (signature) dökümana eklenen ardışık bitlerdir.Dijital bir imza şunları sağlar;
Private key’e sahip olan biri dijital imza yaratabilir.
İlgili public key’e erişebilen herkes dijital imzayı doğrulayabilir.
Örnek olarak; Bir web sayfasını ziyaretiniz sırasında herhangi bir dosyayı download etmek istediğinizde size “bu siteden indirebileceğiniz dosyalar güvenli bir kaynağı kullanmaktadır” şeklinde bir uyarı mesajı gelir.Digital imza size bu dosyanın güvenli bir kaynakta bulunduğu garantisini verir.
HASH ALGORITMASI
Dijital imzalar hash algoritması denen bir algoritma yapısı kullanır.Hash algoritmaları döküman içinde tek bir byte değişse bile dökümanın decrypted edilmesini engeller.
CERTIFICATION AUTHORITY
CA (certification authority) encryption ve authentication işlemleri için anahtarları sağlamak ve atamakla sorumludur.CA bu anahtarları sertifikaları yayarak dağıtır.
SERTİFİKALAR
Sertifikalar isim veya e-mail adresi gibi public key’lere benzeyen imzalı dökümanlardır.Sertifikalar CA tarafından imzalanır ve dağıtılır.
EXTERNAL AND INTERNAL CA’S (harici ve dahili CA’lar)
Bir CA dışardan bir şirket olabilir.Ya da dahili olarak bir CA kurabilirsiniz.Her CA sertifikaları dağıtmadan önce ne gibi özellikler olacağını belirler.İlaveten her CA kendi bütünlüğünü onaylamak için kendisi veya diğer CA tarafından verilen bir sertifikaya sahiptir.
SERTIFIKALARI DAĞITMA İŞLEMI
Bu işlem 4 temel adımdan oluşur.
1.CA sertifika isteklerini kabul eder.
2.CA alıcının bilgilerini doğrular.
3.CA sertifikaya dijital imzayı atmak için onun private key’ini kullanır.
4.CA sertifikaları dağıtır.
SERTIFIKA İPTALI
Bir CA sertifikaları iptal etmek ve CRL (certificate revocation list) olarak dağıtım yapmaktan da sorumludur.Bir sertifika aşağıdaki sebeplerden dolayı iptal edilebilir;
Sertifikanın private key’inde bir şüphe oluştuğunda,
Bir sertifikanın illegal olarak elde edilmesinde,
Sertifikanın durumu değiştiğinde iptal edilebilir.
SERTIFIKA HIYERARŞISI
Bu hiyerarşi CA’lar arasında güven ilişkisini gösteren bir modeldir.Genel olarak bir Root CA vardır ve root CA’nın yetkilendirdiği subordinate CA’lar mevcuttur.
ROOT CA (Ana Sertifika Yetkilisi)
Bir root CA tipik olarak kök-ana-sertifika yetkilisi olarak adlandırılır.Kurum içinde en fazla güvenilen CA olmaktadır.Sertifika dağıtımı ve güvenlik poliçeleri subordinate CA’lardan daha etkin çalışmaktadır.Birçok kurumda sertifika dağıtmak için kullanılan subordinate CA’lara yetki verir.
SUBORDİNATE CA (İkincil Sertifika Yetkilisi)
Tipik olarak subordinate CA belirli kullanımlar için sertifikalar dağıtır.Mail alışverişini güvenli kılmak için,web tabanlı uygulamalar ya da smart kart teknolojisi gibi.
WİNDOWS 2K PKI
PKI Windows 2K yapısı içerisinde bir kaç servis tarafından sağlanan bir componentler (bileşenler) grubudur.Tüm bileşenler PKI teknolojisi için beraber çalışırlar.
WİNDOWS 2K PKI Bileşenleri
Certificate Services.Dijital sertifikaları dağıtan ve yöneten zorunlu (core) bir işletim sistemi servisidir.
Active Directory.PKI için yayım servisidir.Tüm organizasyon içerisinde sertifikaları ve CRL’in (certificate revocation list) geçerli olmasını sağlar.
Not:Sertifikalar ve CRL’ler web sayfası üzerinden ya da diskler vasıtasıyla dağıtılabilir.
PKI-enabled applications.PKI kullanan uygulamalardır.Microsoft Internet Explorer,IIS,Outlook,Outlook Express ve üçüncü parti yazılımlardır.
GÜVENLİK PROTOKOLLERİ
İlave olarak, Win 2K güvenlik protokolleri kullanır.
Secure Socket Layer (SSL);Netscape şirketi tarafından internet üzerinde güvenli iletişimi sağlamak maksadıyla geliştirilmiştir.SSL client’in ya da serverin authentication işlemini ve kriptolamayı destekler.
Internet Protocol Security (IPSec)ETF (ınternet engineering task force) tarafından geliştirilmiş protokoller dizisidir.IP katmanında paketlerin güvenli iletişimi sağlar.
SERTIFIKALARIN KULLANIMI
Güvenlik servisleri ve programları güvenli iletişim,data bütünlüğü ve authentication sağlar.Aşağıdaki özellikleri sunarlar;
Server Authentication.Server’lar client’ları authenticate ederken kullanılır.Örnek olarak e-ticaret.
Client Authentication.Client’ların server’ları authenticate etmesinde kullanılır.Uzaktan erişim fonksiyonları ya da smart kart teknolojisi örnek olarak verilebilir.
Code Signing.Aktif içeriği (text gibi) bir çift anahtar kullanır.
Secure e-mail.Mail alışverişlerinde bir çift anahtar kullanır.
EFS.Dataları simetrik anahtarlarla şifrelemek için kullanılır.
IPSec.IP tabanlı network trafiğini kriptolamak için kullanılır.
SERTİFİKA SERVİSİNİ YERLEŞTİRMEK
Sertifika servisleri kurulurken PKI’ın çalışması için CA’lar yaratılır.İki tür CA sınıfı vardır:enterprise ve stand-alone.Her sınıf bir root ve bir veya birden fazla subordinate CA olarak kurulur.
Tipik olarak, tek bir 2K network’ü içinde enterprise CA kurmalısınız.Active Directory yapısı içinde tüm kullanıcılara ve makinalara sertifika dağıtımı yapılacaksa, enterprise CA gereklidir.
Stand-alone CA yalnızca 2K network’ü dışında kullanıcılara veya makinalara sertifika dağıtımı yapılacaksa gereklidir.Stand-alone CA active directory yapısını gerekli kılmaz.
Hangi CA tipini seçerseniz seçin, kurumun CA veritabanını,sertifikaları ve anahtarları korumak temek gereksinimdir.
BİR CA MODELİ SEÇMEK
ENTERPRİSE ROOT CA
Enterprise root CA hiyerarşi içinde en üst seviyede bulunan CA’dır.Bir enterprise CA active directory kullanır.Bir enterprise CA kurmak için aşağıdaki koşullar zorunludur.
Active Directory.Enterprise poliçeleri Active Directory yapısını kullanır.
DNS Server Service.Active Directory DNS hizmetini kullanır.
Administrative Privileges on the DNS,Active Directory ve CA Servers.Kurulumu yapacak olan kullanıcının bunları yapacak haklara sahip olması gerekir.Enterprise Root CA kurmak için Enterprise Admin grubuna üye olmalıdır.
Önemli.Active Directory içinde sertifikaları yayımlamak için, CA’nın olduğu server Cert Publisher grubuna dahil olmalıdır.
ENTERPRİSE SUBORDİNATE CA
Ana bir CA server’a ihtiyaç duyar.Güvenli mail gibi kullanımlar için sertifikaları dağıtabilir.
STAND-ALONE ROOT CA
Stand-alone server hiyerarşi içinde en üst seviyededir.Bir stand-alone server domain’in üyesi olmak zorunda değildir ve AD yapısına ihtiyaç duymaz.Bir stand-alone server network’ten ayrı tutulabilir ve güvenli bir alanda muhafaza edilebilir.
Organizasyon dışında bir yerden sertifika dağıtımı yapılacaksa, stand-alone server kullanmanız gerekir.Tipik olarak, bir root server sertifikaları subordinate server’lara dağıtır.Bir stand-alone server’i kurmak için yönetimsel (administrative) haklara sahip olunmalıdır.
STAND-ALONE SUBORDİNATE CA
Enterprise yapısında olduğu gibi bir ana CA’e ihtiyaç duyar.Organizasyon dışında dağıtım yapılacaksa kullanılır.Aynı şekilde local server üzerinde yeterli haklara sahip olmak gerekir.
SERTİFİKA SERVİSİNİ KURMAK
Sertifika servisi W2K kurulduktan sonra default olarak gelmez.Dolayısıyla W2K’nın kurulumundan sonra ayrıca kurmak gerekir.Control panel içinde Add/Remove Programs’dan bu servisi kurabilirsiniz.Daha sonra birkaç ayarlamayı ve özelliği konfigüre etmelisiniz.
Önemli.Sertifika servisi kurulduktan sonra bir bilgisayar domain’e katılamaz,domainden çıkartılamaz ve ismi değiştirilemez.Bu işlemleri yapmak için servisi kaldırmak gerekir.
CA TİPİNİ SEÇMEK
İlk olarak, daha once anlatılan 4 CA tipinden birini seçmek gerekir.
İleri düzey ayarlar.
Ayar Tanım
CSP 3rd party bir cryptographic servisini belirlemek için bu özelliği kullanın.CSP(Cryptographic Service Provider).Default olarak Microsoft Base Cryptographic Provider 1.0 gelir.
Hash Algorithm Default olarak SHA-1 gelir.(Secure Hash Algoritm)
Key Length Microsoft Base Cryptographic Providers için default değer 512 bit’tir.Root CA için, bu değer en az 2048 bit olmalıdır.Varolan ayarları kullanıyorsanız bu seçenek geçerli olmayacaktır.
Use existing keys Daha once kurulmuş olan bir CA’yı restore yaparken ya da tekrar tahsis ederken bu seçeneği kullanın.Aynı zamanda, daha onceki CA ile aynı olması için “use the associated certificate ” seçeneğini işaretleyin
KİMLİK BİLGİLERİNİ GİRMEK
Field (alan) Tanımlama
CA name AD içinde görünecek olan isimdir.LDAP protokolü tarafından 64 bitle sınırlandırılmıştır.
Country/Region X.500 Naming Scheme standardına gore 2 karakterden oluşur.Örnek olarak US almanya için DE gibi.
Valid for Sadece root CA için belirlenir.CA için geçerlilik zamanın belirler.Tavsiye edilen süre 2 yıldır.
DATABASE VE LOG DOSYALARI İÇİN YER BELİRLEMEK
CA ‘nın kurulumu esnasında bu dosyaların yerini belirleyebilirsiniz.Default olarak CA ‘ın dağıttığı sertifikalar systemroot\system32\CAConfig klasöründe tutulur.Farklı yerlere taşıyarak performansı artırabilirsiniz.
Konfigürasyon bilgilerini paylaştırılmış bir klasörde de saklayabilirsiniz.Default olarak systemroot\CAConfig klasöründe tutulur.
KURULUM BİLEŞENLERİ
Kurulumdan sonra aşağıdaki bileşenler eklenir;
Certification Authority.Sertifikaları dağıtmak,iptal etmek,police ayarlarını değiştirmek, listeleri görmek ve diğer yönetimsel görevleri yönetmek için kullanılır.
Certificates.Kullanıcı ,bilgisayar ve servis için varolan sertifikaları yönetmek amacıyla kullanılır.
Certificate Services Web Enrollment support.Kullanıcılar ve administratorlar için web sayfası aracılığıyla sertifika sağlamak için kullanılır. http://server/certsrv adresinden ulaşılır.
BIR SUBORDINATE CA
Bir subordinate CA kurduğunuzda, sertifikaları alacağınız bir ana CA olmalıdır.
SUBORDINATE CA IÇIN BIR SERTIFIKA ALMAK
1.CA request sayfasında “send the request directly to a CA already on the network” seçeneğini tıklayın.
2.Computer Name kısmına ana CA’ın yolunu belirtin.
3.Parent CA kısmına parent CA’ın ismini seçin.
Parent CA offline iken, bir sertifika almak için;
Aynı sayfa üzerinde save the request to a file seçeneğini işaretleyin.Request File kısmına ise isteğin kaydedileceği yol yazılır.Bu dosya Parent CA’ın ismini ve yolunu belirtir.
BİR DOSYADAN SERTİFİKA KURMAK
Parent CA’dan sertifika geldikten sonra bunu install etmelisiniz.
Bunun için;
1.Certification Authority programını çalıştırın.
2.Konsol içinde CA’ın ismini seçin.Action menüsünden All Tasks ve Install CA Certificate ‘i tıklayın.
3.Parent CA’dan gelen dosyanın yolunu belirtin.
SERTİFİKA SERVİSİN BACKUP’INI ALMAK VE GERİ YÜKLEMEK
Genel olarak backup ve restore’in amacı sertifika servisi içinde aynıdır.Dataları korumak ve herhangi bir hata karşısında bir kaybın oluşmaması.Tavsiye edilen aslında tüm serverin backup’ın alınmasıdır.Tüm sistemin backup’ı alınırken sertifika servisin backup’ı system state ‘in bir parçası olarak alınır.Certificate Authority’ı kullanarak backup almak da mümkündür.Bu metod tüm serverin backup’ının alınmasını gerekli olmadığı zamanlarda kullanılır.
CA SERVER’IN BACKUP’INI ALMAK
Sertifikaların dağıtımına ilişkin olarak backup alma sıklığını ayarlamalısınız.
Bunun için;
1.Backup Operators ya da Administrators grubunun üyesi olarak logon olun.
2.Certification Authority programını çalıştırın.
3.Backup’ı alınacak serveri seçin.Sağ tıklayarak, All Task-Backup CA’ı tıklayın.
4.Wizard ile karşınıza çıkacak backup alınacak yer,password gibi seçenekleri doldurun.
CA SERVER RESTORE İŞLEMİ
Restore edilecek olan server üzerinde All Task-Restore CA seçeneğini tıklayın.Karşınıza gelen seçenekleri belirleyerek işlemi tamamlayın.
SERTİFİKALARI KULLANMAK
Win 2K içinde sertifikaları kullanmanın 2 yolu vardır.Wizard’ı ya da web sayfasını kullanabilirsiniz.Wizard sadece enterprise CA’dan bir istekte bulunduğunuzda geçerli olur.Web sayfaları ise stand-alone ve enterprise CA için geçerli olur.
WİZARD (SİHİRBAZ) KULLANARAK SERTİFİKA KULLANMAK
Daha öncede bahsedildiği gibi sadece enterprise CA için geçerli olur.Kullanıcı erişim haklarına bağlı olarak farklı sertifika tipleri isteğinde bulunur.Bir kullanıcı sertifika isteğinde bulunsaydı , istek ya reddedilir ya da grant edilir.Grant edilirse, kullanıcıya sertifikayı kurup kurmayacağına dair bir soru sorulur.
SERTİFİKA ŞABLONLARINI KULLANMAK
Poliçe ayarlarının bir parçası olarak, bir enterprise CA belirli sertifika tipleri dağıtabilir.Sertifika tipleri certificate template’lere bağlıdır.Bu şablonlar önceden belirlenmiş ayarlara sahiptir.Default olarak aşağıdaki şablonlar geçerlidir;
SERTİFİKA TALEBİ
Certificate Request sihirbazını kullanarak sertifika talebi yapabilirsiniz.
1.Certificate snap-in diyalog penceresinde my user account,service account, veya computer account’ı seçin.Finish’ı tıklayın.
2.Konsol içinde Certificates Current User’ı aşağı doğru açın.
3.Konsol ağacı içinde logical store name’e tıklayın (exampleersonel).Sağ tıklayarak all task-request new certificate seçeneğini tıklayın.
4.Sihirbaz içinde certificate template sayfasında bir şablon seçin.
5.Gerek duyarsanız, iler düzey seçenekleri kullanmak için advanced options butonuna tıklayın.
Cryptographic service provider (CSP)
Strong private key koruması sağlayıp sağlamayacağınızı belirleyin.Strong private key koruması , private key her kullanıldığında password sorulmasını sağlar.Bu da size private key’in bilginiz dışında kullanılmamasını temin eder.
6.Sertifika için bir display ismi belirleyin.Certificate Request sihirbazı tamamlandıktan sonra Install Certificate ‘ e tıklayın.
SERTİFİKALARI İZLEMEK
Win 2K computer sertifikalarını lokal makina içinde, kullanıcı sertifikalarını kullanıcı profili içinde tutulur.Sertifikaların tutulduğu yere certificate store ismi verilir.Certificate snap-in penceresinde bulunan objeler ve kavramlar aşağıda açıklanmıştır.
Folder name Content
Personal Certificates associated with private keys to which you have access.
Trusted Root Certification Authorities Implicitly trusted Certificate Authorities.
Enterprise Trust Certificate trust lists.A certificate trust list provides a mechanism for trusting self-signed root certificates from other organizations and limiting the purposes for which these certificates and trusted.
Intermediate Certification Authorities Certificates issued to other people and other Certificate Authorities.
AD User Object Certificates associated with your user object and published in AD
REQUEST Pending or rejected certificate requests.
SPC Certificates from import files.
SERTİFİKALARI YÖNETMEK
Certificates snap-in penceresini kullanarak sertifikalar dağıtmak,iptal etmek, bir CRL yayımlamak, sertifikalar import ve export etmek gibi işlemleri yapabilirsiniz.
SERTİFİKALARI DAĞITMAK
Bir kullanıcı stand-alone CA’a sertifika talebinde bulunduğunda administrator talepleri Kabul edene kadar bu talep -askıda- olarak belirlenir.
Not:Aşağıdaki prosedür stand-alone CA için geçerlidir.
ASKIDA OLAN SERTIFIKALAR’I GÖZDEN GEÇIRMEK
1.Certification Authority programı içinde pending requests’ı tıklayın.
2.Details kısmında sertifika talebini gözden geçirin ve deny ya da issue komutunu verin.
SERTİFİKALARI İPTAL ETMEK
Örnek olarak bir alıcı kurumdan ayrıldığında bu kişinin sertifikasını iptal etmek gerekir.Bu işlemi administrator Certification Authority programını kullanarak yapabilir.Bir sertifika iptal edildiğinde Revoked Certificates klasöründe görünür.
Bir sertifikayı iptal etmek için;
1.Certification Authority penceresinde, Issued Certificates’e tıklayın.
2.Detail kısmında iptal etmek istediğiniz sertifika üzerinde sağ tıklayın ve All Tasks-Revoke Certificates seçeneğine tıklayın.
3.Reason code listesinde aşağıdaki seçeneklerden birini seçin ve Yes’e tıklayın.
Unspecified
Key Compromise
CA Compromise
Affiliation Changed
Superseded
Certificate Hold
Bir sertifika certificate hold seçeneği ile işaretlenirse, bu sertifika unrevoked işlemine sokulamaz.
CRL LİSTESİNİ YAYIMLAMAK
Bir CA administrator’un belirlediği zaman periodlarında otomatik olarak CRL’I (Certificate Revoked List) günceller.Eğer istenirse bu işlem manuel olarak da yapılabilir.
Bilgi için teşkkurler