Windows Server 2008 Certification Authority Bölüm 1
İki bölümden oluşan yazı dizisinde amacımız PKI denilen Public Key Infrastucture kavramın en önemli bileşenlerinden biri olan sertifika dağıtıcılarının bir kurum içinde ne şekilde kurgulanabileceğini göstermek olacak. Böylelikle bu yazı kurum içi sertifika dağıtırken doğru ve kullanışlı yöntemin belirlenmesinde bir yol gösterici olacaktır. OCS, Exchange gibi bir çok Microsoft ürünü sunucular üzerinde bir sertifikaya ihtiyaç duyuyor. Bu sertifikalar self-sign olarak da üretilebileceği gibi merkezi bir şekilde yönetilebilir, yetkilendirilebilir, yaşam döngüleri kontrol edilebilir oluşturulabilirler. Bu türden merkezi bir yöntemin kurulabilmesi Certification Authority (CA) denilen Microsoft hizmetinin kurulumuyla mümkün olacaktır. Microsoft CA hizmetinde bize bir takım seçenekler sunmaktadır. Bunları anlamak için Root Authority ve Subordinate kavramlarına değinmek gerekir. Bir güven tesisi sağlayacak olan sertifika yapısını kullandığımız Nüfus cüzdanlarına benzetebiliriz. Bu cüzdanların bizlerin kim olduğunun delili olarak kullanılabilirler. Elbet onları bizim kim olduğumuza delil olarak kabul ettiren ilk ve en önemli etken verildiği otoritedir. Yani aynı türden evde üretilen bir kimlik kartı Nüfus cüzdanlarımız kadar inandırıcı ve geçerli olmayacaktır. Doğal olarak da sunucunun veya kullanıcının kim olduğunu belirlemek için üretilebilecek bir sertifikanın da güvenilir bir otoriteden alınması gerekmektedir. Yeryüzünde güvenirliği kabul edilmiş ticari otoriteler bulunmaktadır. Bunlar direk olarak sertifika dağıtımı yapmazlar. Bunun yerine acente veya bayi mantığında yetkilendirdikleri otoriteler vasıtasıyla sertifika dağıtımını gerçekleştirirler. Böylelik ile bu kökte bulunan otoriteler güvenliklerini yani kendilerine ait Private anahtarları herhangi bir tehdide maruz bırakmayacak şekilde bu dağıtım işlemini gerçekleştirebilirler. Burada yukarıda bahsettiğimiz Root kavramı en yetkili ve en tepedeki otoriteye denk gelen tanımdır. Subordinate kavramı ise Root tarafından yetkilendirilmiş bir alt seviye otoritelere verilen adlandırmadır. Burada Public anahtar ve Private anahtar kavramını da basitçe şu şekilde açıklamak gerekecek; Asimetrik anahtar yapısı olarak da bahsedilebilecek bu sistemde iki tür anahtar vardır. Anahtarlardan biri özel yani private olarak adlandırılır. Ve sadece sahibinde bulunması ve kimse tarafından ele geçirilemez olması beklenir. Sertifikalar Private anahtar içerebilir. Veya bir smart card (akıllı kart) içindeki sertifika ait olduğu kişiye özel Private anahtarı taşır. Böylelik ile smart card ile bir bilgisayara kimlik doğrulama yaparak oturum açabilirsiniz. Bu anahtarı kullanarak e-postalarınızı sayısal olarak imzalayabilir, EFS gibi kriptolama yöntemlerini kullanabilirsiniz. Öte yandan sizin bu Private anahtarınız ile yaptığınız kendinizi ispatlama mekanizmasının karşı taraf için sağlamasının yapılması da size ait Public anahtarın kullanımıyla mümkündür. Yani kamuya açık anahtarınızın karşı tarafta olması ve o anahtarın kullanımıyla da Private anahtar ile yaptığınız işlemin teyidi mümkündür. Tabii ki Public anahtarınıza sahip kimsenin onu kullanarak size ait Private anahtarı oluşturması söz konusu değildir. Görüldüğü üzere gösterilen kimlik kartının gösterilmesi bir başka proses ve anahtar göreviyken gösterilen kimliğin (Private Key) kontrolü bir başka proses ve anahtarın (Public Key) görevi olmaktadır.
Kısaca PKI denilen bu sistemin kurulumu ile sunucularımızın ve kullanıcılarımızın kimliklerini ispatlayarak iletişimi en üst seviye güvenli hale getirmek mümkün olmaktadır. Bu makalede de biz bu yapının kurulumunu anlatacağız.
Yapının kurulumu için gözetilecek adımlar aşağıdaki gibi olacak;
a) İki adet 2008 server’a IIS kurulacak.
b) Sunuculardan bir tanesine Standalone Root CA kurulacak. Diğerine de Enterprise-subordinate CA kurulacak.
c) Root’un CRL ve AIA tanımları Enterprise CA’i gösterecek şekilde ayarlanacak.
d) Root’un dağıtacağı (sadece 1 tane Subordinate sertifikası dağıtacak) sertifikalara 15 yıl ömür atanacak.
e) Root’tan Enterprise’a Subordinate yetkisi verilecek.
f) Root’tan 2 dosya enterprise’a kopyalanacak.
g) Root kapatılacak.
h) Enterprise’dan sertifika dağıtılacak.
1_ AD kurulu ve hazır olduğunu varsayıyoruz.
Domain: MOSTAR.LOCAL
2_ CA makinelerinin Kurulumları öncesinde Root (Standalone) ve Subordinate (Enterprise CA)’lerin isimleri belirlenir.
MAKINE ADI CA
Root CA: CERT1 MOSTARROOT
Enterprise CA: CERT2.MOSTAR.LOCAL MOSTARSUB
3_ ROOT CA OLACAK MAKINEYE IIS KURULUR
Server Manager – Roles – Add Roles – Next – Web Server (IIS) ile kurulum yapılır.
IIS rolünün seçimi yapılır.
Ekranda görüldüğü gibi alt bileşenleri kontrol edilerek kurulumun başlaması için Next butonuna basılır.
Bu ekran ile birlikte Web Server (IIS) ve Windows Process Activation Service kurulumu tamamlanmış oldu.
4_ ROOT CA OLACAK MAKINEDE CA KURULUMU
CERT1 makinesinde C:Windows altında capolicy.inf isimli bir inf dosyası oluşturulur.
Bu dosya daha sonra kullanılarak, Root CA’in, kendi sertifikasında CRL ve AIA değerlerinin oluşmaması sağlanacaktır. Dosya notepad ile açılıp, içerisine aşağıdaki satırlar yazılır:
[Version]
Signature= “$Windows NT$”
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
[CRLDistributionPoint]
[AuthorityInformationAccess]
Server Manager – Roles – Add Roles – Next – Active Directory Certificate Services ile kurulum yapılır.
Ekrandan Active Directory Certificate Services rolü seçilir.
Yaptığımız seçimin alt bileşenlerinden ekranda görülen şekilde seçili olmalıdır.
Bu ekranda önümüze konulan seçenek kurulumu yaptığımız sunucunun Active Directory üyesi olup olmadığına göre belirlememiz gerekecek. Biz burada önerilen yapılandırmayı göstermek istediğimiz için Root CA kurulumunu StandAlone olarak seçeceğiz.
Seçimimizden sonra gelen ekranda kurduğumuz CA’in mevcut bir CA hiyerarşisine mi üye olacağını (subordinate) yada kendisinin bir hiyerarşi başlangıcı mı olduğunu belirtmemiz gerekecek. Bizim kurulumumuzda en tepe CA kurulduğu için seçimimiz Root CA olacak.
CA’in kullanacağı anahtarın güvenliği ile alakalı uzunluk bilgisini belirteceğiz.
CA için bir isim belirlemeliyiz.
CA’in kullanacağı sertifikanın geçerliliği için bir süre belirtmemiz gerekecek. (Örnek olarak 20 yıl seçildi)
CA’in log lokasyonu belirtilmeli. Genel görüş olarak loglar sistem diskinde farklı bir diskte bulunmalıdır.
Kurulum bir gereksinim olarak IIS bileşenlerini yapılandıracaktır. Bilindiği gibi Windows CA yapıları Web üzerinden de hizmet verebilmektedir.
Active Directory Certificate Services kurulumu tamamlanmış oldu.
Makalemin ikinci bölümünde CA config yapmaya devam edeceğiz.