Bu makalemde Aktif Dizin servislerinden biri olan Sertifika Servislerinin kurulumu ve konfigürasyonu konusundan bahsedeceğim. Tabii ki sertifika servislerinin düzgün çalışabilmesi için problemsiz çalışan bir Aktif Dizin yapısının olması gerekliliğine bir kez daha değinmek istiyorum. Aktif Dizin kurulumu ile alakalı bilgilere Exchange Server 2010 ile e-posta altyapısı (sıfırdan) makalemin (http://www.ipsure.com/blog-tr/2010/exchange-2010-e-posta-altyapisi-sifirdan/ ) ilk kısmından ulaşabilirsiniz.
İsterseniz yazıya öncelikle Windows Server 2008 R2 ile gelen Aktif Dizin Sertifika Servisleri yeniliklerinden bahsederek başlayalım. Çoğu organizasyon ağ üzerindeki veriyi şifreleyerek güvenliği sağlamak, kullanıcı veya bilgisayarların kimliklerini kanıtlamak amacıyla sertifikaları kullanmakta. Aktif Dizin Sertifika Servisleri (AD CS) kullanıcıyı, cihazı veya servisi kendi özel anahtarlarına bağlayarak güvenliği yükseltmekte. Sertifika ve özel anahtarları Aktif Dizin içerisinde depolayarak kimlik güvenliğini sağlamaya yardımcı olduğu gibi, uygulamalar istekte bulunduğunda gerekli bilgiye ulaşılabilmesi için Aktif Dizin merkezi bir lokasyon özelliği görmekte.
Windows Server 2008 ile gelen yenilikler:
Enrollment (kaydetme) Ajanı şablonu: Yetki verilmiş enrollment ajanları, şablon başına mantığıyla tahsis edilebiliyor.
Entegre Basit Sertifika Kaydetme Protokolü (SCEP): Sertifikalar ağ cihazlarına (örneğin router’lara) verilebiliyor.
Çevrimiçi yanıtlama: Certificate Revocation List (CRL) girdileri, istekte bulunan kişiye tüm CRL yerine tek bir sertifika cevabı olarak dönüyor. Bu sayede istemci, sertifika doğrulamak istediğinde harcanan toplam ağ trafiği büyük oranda düşmüş oluyor.
Enterprise PKI (PKI View): AD CS için yeni bir yönetimsel araç. Bu araç ile Sertifika Otorite hiyeraşisi yönetilebilir ve kolaylıkla problem çözümü yapılabilir.
Windows Server 2008 R2 ile gelen yenilikler:
Forestlar arası kayıt (Cross Forst Enrollment): AD CS bir forest’a kurulabilir fakat birden fazla forest’ın kullanıcı veya bilgisayarlarına hizmet verebilir.
Yüksek hacimli CA için geliştirilmiş destek: NAP gibi servisler ağ’a erişim için sertifika kullandıklarında, geçmiş sertifika bilgisini tutma zorunluluğu kalmadı. Böylece bu yeni özellikle CA gerekli olan sertifikayı ilişkilendirmekle yükümlü fakat geçmiş bilgilerini değil.
Yeni sertifika kaydetme web servisleri: HTTP ve HTTPS üzerinden sertifika kaydı ile daha basit ve firewall-dostu kurulum.
Bu yeni özelliklerden sonra sertifika servislerinin kurulumu için gerekliliklerden bahsedelim. Esasında sertifika servisleri çok basit yapılarda tek bir sunucuya bile kurulabilirken, daha karmaşık yapılarda birden fazla sunucuya görevler dağıtılarak da kurulum yapılabilmekte. Sertifika otorite sunucusu (CA) Windows 2000 veya Windows 2003 Server ürünlerinde çalışabilmesine rağmen, tüm bahsettiğimiz özelliklerden faydalanabilmek adına Windows Server 2008 R2 işletim sistemi üzerine kurulmasında fayda var.
Aşağıdaki tabloda farklı Windows Server 2008 R2 işletim sistemi versiyonları üzerinde hangi görevleri tanımlayabildiğimiz anlatılmakta:
| Sunucu Görevi | Web | Standard | Enterprise | Datacenter |
| Sertifika Otoritesi | Hayır | Evet | Evet | Evet |
| Ağ cihazları kayıt Servisi | Hayır | Hayır | Evet | Evet |
| Çevrimiçi yanıtlama servisi | Hayır | Hayır | Evet | Evet |
Peki bu görevler neyi ifade ediyor. Hemen onları açıklamakta fayda var.
Sertifika Otoritesi (CA): Kök ve ast-CA sunucuları kullanıcı, bilgisayar veya servislere sertifika verilmesi ve bu sertifikaların geçerliliğinin yönetilmesi işlerini yaparlar.
Ağ Cihazları Kayıt Servisi (Network Device Enrollment Service): Bu servis ile yönlendiriciler (router) ve diğer ağ cihazları CiscoSystems Inc. firmasının protokolü olan Simple Certificate Enrollment Protocol (SCEP) ile sertifika temin ederler.
Çevrimiçi Yanıtlama Servisi (Online Responder Service): Bu servis Online Certificate Service Protokol’ünü (OCSP) çalıştırır. Belirli sertifikaların iptal edilme durum bilgisi isteklerini çözümler, analiz eder ve isteyen yere imzalı bir şekilde cevap gönderir.
Aşağıda ise sertifika otoritesi olarak ayarlanmış Windows Server 2008 R2 sunucu üzerinde bulunan özellikler gösterilmekte:
| AD CS özelliği | Web | Standard | Enterprise | Datacenter |
| Versiyon 2 ve 3 sertifika şablonları | Hayır | Hayır | Evet | Evet |
| Anahtar arşivleme | Hayır | Hayır | Evet | Evet |
| Rol ayrılığı | Hayır | Hayır | Evet | Evet |
| Sertifika yönetici kısıtlamaları | Hayır | Hayır | Evet | Evet |
| Yetki verilmiş kayıt ajanları kısıtlamaları | Hayır | Hayır | Evet | Evet |
Sertifika sunucu kurulumu için (daha önce bahsettiğim gibi) 2 adet sunucu yeteceği gibi (bir tanesi Etki Alanı sunucusu, diğeri de kurumsal kök sertifika otoritesi – Enterprise CA), görevleri dağıtmamız halinde 5 sunucu üzerine de kurulum yapabiliriz (bir tane etki alanı sunucusu, bir tane stand-alone kök CA, bir tane kök CA’ya bağlı ast-CA, bir tane çevrimiçi yanıtlayıcı, bir tane ağ cihazları kayıt servisleri sunucusu). Biz bu makalemizde en basit olan (yani 2 sunuculu senaryo) üzerinden gideceğiz.
Bunun için çalışır durumda olan bir adet etki alanı sunucumuzun olması gerekiyor. Bunun ile alakalı kurulum ve konfigürasyon işlemlerini  Exchange Server 2010 ile e-posta altyapısı (sıfırdan) (http://www.ipsure.com/blog-tr/2010/exchange-2010-e-posta-altyapisi-sifirdan/ ) makalesinde anlatmıştım. Kısaca hatırlatmak gerekirse bu kurulum sonrasında mstipdc01.mstip.com isminde bir etki alanı sunucumuz, mstip.com adında bir etki alanımız olmuştu. Sunucumuzun IP’si 192.168.2.22 idi. Böyle bir yapı üzerinde sertifika servisleri hizmetini yapılandırmak için öncelikle 192.168.2.25 IP numaralı mstipca01 ismindeki bir sunucuyu etki alanımıza dahil ediyoruz. Burada hatırlatmakta fayda var. Enterprise CA ve çevrimiçi yanıtlayıcı sunucusunu sadece Windows Server 2008 R2 Enterprise veya Datacenter ürünleri üzerine kurabiliyoruz. Artık kuruluma geçebiliriz.
Kurulum için mstipca01 sunucusuna etki alanı yöneticisi olarak oturum açıyoruz ve Start -> Administrative Tools -> Server Manager yolunu takip ederek sunucu yönetim arayüzünü açıyoruz. Roles Summary kısmından Add Roles diyoruz (Şekil 1). Select Server Roles sayfasında Active Directory Certificate Services kutusunu işaretleyerek (Şekil 2) iki kere Next butonuna basıyoruz.
Åžekil 1: Rol ekleme
Şekil 2: Kurulacak sunucu rolünün seçimi
Select Role Services sayfasında Certification Authority kutusunu işaretliyoruz ve Next butonuna basıyoruz (Şekil 3). Specify Setup Type sayfasında Enterprise seçiyoruz (Şekil 4), Next butonuna bastığımızda gelen Specify CA Type sayfasında da Root CA seçeneğini seçerek Next butonuna basıyoruz (Şekil 5).
Şekil 3: Kurulacak rol servisi seçimi
Şekil 4: Kurulum tipi seçimi
Şekil 5: Sertifika sunucu tipi seçimi
Set Up Private Key ve Configure Cryptography for CA sayfalarında değişik seçimler yapabilmemize rağmen hiçbir şeye dokunmadan bu sayfaları Next ile geçiyoruz (Şekil 6 ve 7). Common name for this CA sayfasında ortak isim olarak MstipRootCA01 yazıyoruz ve Next butonuna basıyoruz (Şekil 8).
Şekil 6: Özel anahtar oluşturma
Şekil 7: Şifreleme tipi seçimi
Şekil 8: Sertifika Otoritesi isim yapılandırması
Bundan sonra gelen Set  Validity Period ve Configure Certificate Database ekranlarında (Şekil 9 ve 10) varsayılan değerleri kabul ederek Next butonuna basarak son ekran olan Confirm Installation Options ekranına geliyoruz (Şekil 11) ve Install butonu ile kurulumu bitiriyoruz.
Şekil 9: Geçerlilik tarihinin belirlenmesi
Şekil 10: Sertifika veritabanı lokasyonu belirlenmesi
Şekil 11: Özet ekranı
Kurulumu bitirdikten sonra Active Directory Certificate Services ile alakalı loglara baktığımızda bir adet uyarı ile karşılaşıyoruz (Şekil 12). Bu uyarıda CA sertifikasının Aktif Dizin içerisinde yayınlanıp yayınlanmadığının kontrol edilmesi gerektiği söyleniyor. Girilmesi gereken komut da açıklanıyor ve biz komutu girdiğimizde sertifika karşımıza geliyor (Şekil 13). Demek ki sertifikamız başarılı bir şekilde Aktif Dizin içerisinde yayınlanmış.
Şekil 12: Loglardaki uyarı mesajı
Şekil 13: Sertifika kontrolü
Enterprise Kök Sertifika Otoritemizin kurulumunu yaptığımıza göre artık Çevrimiçi Yanıtlama Servisi kurulumunu yapabiliriz. Bunun için yine aynı sunucuyu kullanacağız. Kurulum için bu makineye IIS kurulumu yapılması da gerekiyor ama biz gerekli rol’ü eklerken bunun kurulumunu da yapacağız. Server Manager arayüzünü açarak Roles kısmına geliyoruz ve sağ pencerenin alt tarafında Add Role Services linkine tıklıyoruz (Şekil 14). Select Role Services sayfasında Online Responder kutusunu seçiyoruz. Burada bize IIS ve RSAT kurulumu yapmamız gerektiğini söyleyen bir ekran geliyor (Şekil 15). Add Required Role Services dedikten sonra Next butonuna 3 kere basıyoruz. Son ekran olan Confirm Installation Options ekranında Install butonuna basıyoruz ve kurulum bitiyor (Şekil 16).
Şekil 14: Çevrimiçi yanıtlayıcı servisi kurulumu
Şekil 15: IIS ve RSAT kurulacak uyarısı
Şekil 16: Özet ekranı
Bugünlük bu kadar. Genel hatlarıyla sertifika servislerinin ne amaçlarla kullanılabileceğinden, Windows Server 2008 R2 ile gelen yeniliklerden bahsettik. Ayrıca Kök Sertifika Sunucusu ile Çevrimiçi Yanıtlayıcı sunucusunun kurulumlarını yaptık. Makalemizin ikinci kısmında ise kurulumlarını yaptığımız görevleri birbirleri ile ilişkilendirip, sertifika şablonları oluşturacak, istemci bilgisayarlara ve kullanıcılara sertifika üretecek ve bunların iptallerini gerçekleştireceğiz. Şimdilik hoşçakalın.
RSS feed for comments on this post.
