پیاده سازی IPSEC
با استفاده از این امکان می توانیم ارتباط کامپیوتر هایی که از TCP/IP برای تبادل اطلاعات استفاده می کنند را Encrypt نماییم. این امکان در پلاتفرم NT وجود نداشت، در این نوع از سیستم عامل این عمل توسط سخت افزارهایی تحت عنوان Security Host استفاده می شد. اما در پلاتفرمهای 2000 و 2003 توسط IPSec می وانیم به صورت نرم افزاری اطلاعات را Encrypt نماییم.
نکته:
در TCP/IP ، نسخه 4، IPSec به صورت پیش فرض فعال نبود اما در نسخه 6 بصورت پیش فرض این امکان وجود دارد.
مزایای IPSec
1- راحتی راه اندازی و پیاده سازی آن
2- IPSec یک تکنولوژی End To End می باشد. ( یعنی بین دو کامپیوتر یک تونل ایجاد می شود و اطلاعات به صورت Encrypt شده رد و بدل می شود.)
3- IPSec هم در شبکه های Work Group قابل راه اندازی است و هم در شبکه های دومین.
4- با توجه به اینکه IPSec در لایه Network مدل OSI فعالیت می کند از دید کاربران و برنامه های تحت شبکه تاثیر نمی گذارد و در نتیجه مزاحمتی برای این برنامه ها به وجود نمی آورد.
5- با توجه به اینکه IPSec سازگاری خاصی با پروتکل Kerberos دارد در نتیجه هنگام راه اندازی Active Directory مشکلی برای کامپیوتر به وجود نخواهد آمد.
مهمترین وظیفه DC ، Authentication است که پروتکل Kerberos این کار را انجام می دهد که در پلاتفرم های NT این عمل توسط پروتکل NTLM انجام می شد.
6- توسط IPSec می توانیم انعطاف لازم برای استفاده از فرمان اجرا شده بین دو کامپیوتر داشته باشیم، به طور مثال می توانیم مشخص کنیم در صورتیکه دو کامپیوتر از طریق پروتکل ICMP (پروتکل مورد استفاده برای Ping کردن) با یکدیگر تبادل اطلاعات می کنند توسط امکان IPSec این اطلاعات Encrypt شوند و بقسه اطلاعات رد و بدل شده که از پروتکل دیگری غیر از ICMP استفاده می کنند توسط امکان IPSec ، Encrypt نشوند.
نکته:
با استفاده از IPSec، الگوریتم هایی که برای Encrypt کردن استفاده می شود، از دید کاربران نامرئی می باشد.
7- در پلاتفرم های 2003 ، IPSec را می توانیم به همراه NAT استفاده کنیم یعنی ارتباطات NAT Client ها و NAT Server ها به صورت IPSec شود. اما در پلاتفرم های 2000 این امکان وجود نداشت.
نکته:
اگر در راه اندازی IPSec اشتباهی رخ دهد باعث اختلال در شبکه خواهد شد.
به صورت پیش فرض ، سه نوع Policy زیر بر روی کامپیوتر وجود دارد که می توان در یک زمان فقط یکی از این سه نوع Policy را فعال نمود:
1- Server ( Request Security ) : با Assign کردن این Policy تبادل اطلاعات بصورت IPSec خواهد بود، اما در صورتیکه کلاینت ای در خواست ارتباط بدون IPSec از کامپیوتر فوق را نماید، کامپیوتر بدون IPSec جواب کلاینت مربوطه را می دهد.
2- Client (Respond Only): در حالت عادی بدون IPSec تبادل اطلاعات می کند اما اگر کلاینتی در خواست ارتباط با IPSec کند کامپیوتر فوق با IPSec جواب کلاینت را می دهد.
3- Secure Server (Require Security): در صورت انتخاب ، ارتباطات در هر صورت با IPSec انجام می پذیرد.
4-
Tab IP Filter List
زمانیکه بخواهیم Packet ای را از یک کامپیوتر به کامپیوتر دیگر با پروتکل خاص به طور مثال ICMP انجام بدهیم ،
Tab Authentication Method
روشی را که می خواهیم بین دو کامپیوتر تبادل اطلاعات از طریق IPsec انجام گیرد را مشخص می نماییم ، در حالت کلی از سه روش زیر برای این کار استفاده می نماییم:
1- Active Directory Default (Kerberos V5 Protocol):
در این روش که در دومین های 2000 و 2003 می توانیم استفاده نماییم از طریق پروتکل فوق ارتباطات IPSec بر قرار می شود. باید توجه داشت که کلاینت های مقابل حتما باید قابلیت پشتیابنی فوق را داشته باشند.
2- Use a Certificate from the certification authority (CA)
در این روش IPSec می تواند با مجوز گرفتن از یک CA ارتباطات خود را در شبکه بر قرار می سازند.
3- Use this String (Preshared key)
در این روش حتماً باید کلمه یکسان بین کامپیوتر های مبدا و مقصد رد و بدل شود.
نکته:
در داخل کنسول DNS گزینه ای تحت عنوان Configure Zone وجود دارد که با استفاده از آن می توان DNS را هم برای شبکه داخلی و هم شبکه خارجی (اینترنت) پیکربندی بناییم.
Tab Filter Action
از طریق این Option می توانیم روش های مختلفی را برای ارتباطات کامپیوترها و مواردی که می خواهیم از طریق آن ، الگوریتم ها عمل Encryption انجام گیرد را مشخص می نماییم در تب Connection مشخص می نماییم از چه کانکشنی هایی استفاده می نماییم و تب Tunnel Setting برای مواقعی است که VPN داشته باشیم.
نکته:
در ارتباطات امن بین دو نقطه چهار پارامتر زیر می تواند امنیت اطلاعات ما را فراهم نماید:
1- Integrity: این روش زمانیکه کامپیوتر ما با یکدیگر تبادل اطلاعات می کنند اگر در Packet تغییری رخ دهد الگوریتم فوق با داشتن این قابلیت متوجه این قضیه می شود.
2- Anti Reply: در صورتیکه الگوریتمی چنین قابلیتی را پشتیبانی نماید Packet های تقلید شده (شبه سازی شده توسط کامپیوتری مختلف را تشخیص داده و اجازه ورود چنین Packetهایی را به کامپیوتر فوق نمی دهد.
3- Authentication: الگوریتم ای که دارای چنین قابلیتی باشد اگر IP کامپیوتر فوق عوض شود ارتباطات کامپیوتر های مبدا و مقصد مختل خواهد شد.
4- Confidential: الگورتیم ای که دارای چنین قابلیتی باشد می تواند اطلاعات ای که دارای چنین قابلیتی باشد می تواند اطلاعات رد و بدل شده بین کامپیوتر ها را با امنیت بالایی رد و بدا نماید.
تفاوت AH (Authentication Header) و ESP (Encapsulate Security Pay Load)
AH فقط سه قابلیت 1 و 2 و 3 را پشتیبانی می نماید اما ESP هر 4 قابلیت را می تواند پشتیبانی نماید.
در قسمت IP Filter Properties با وارد شدن به قسمت Tab Address با زدن تیک Mirrored تبادل اطلاعات به صورت دو طرفه می شود و اطلاعات رفت و برگشت هر دو به صورت Encrypt شده صورت می گیرد.
نکته:
معمولا دو پروتکل AH و ESP الگورتیم های استفاده شده برای سرویس IPSec می باشند و به صورت پیش فرض AH جهت امنیت بین دو کماپیوتری که از این دو پروتکل استفاده نمایند پروسه Authentication را بین دو کامپیوتر انجام می دهد اما پروتکل ESP عمل Encryption را برای کامپیوتر های مرتبط انجام می دهد.
نکته:
به هنگام تعریف Filter Action ، زمانیکه گزینه Negotiate Security را انتخاب می کنیم از 2 الگورتیم تحت عنوان AH و ESP استفاده می شود، قابل ذکر است ESP با Router ها مشکلی ندارد زیرا به هنگام استفاده از ESP ، IP Header ها Encrypt نمی شوند ، اما به هنگام استفاده از AH پارامتری تحت عنوان ICV (integrity Check Value) به Packet مورد نظر اضافه می شود ، از طریق این پارامتر مشخص می شود که Packet مورد نظر اضافه می شوند، از طریق این پارامتر مشخص می شود که Packet سالم به دست کامپیوتر مورد نظر رسیده یا نه ؟ به هنگام عبور Packet از Router یک عدد از مقدار TTL پکت ها کم می شود قابل ذکر است ICV از TTL به عنوان پارامترهای خود استفاده نمی کند.
توسط امکانات موجود در داخل کنسول MMC می توانیم:
1- با استفاده از IP Security Monitor ارتباطات بین کامپیوتر هایی که از طریق IPSec با یکدیگر تبادل اطلاعات می کنند را مشاهده نماییم.
2- از طریق Snap in ، Resultant and Set of Policy می توانیم نتایج Policy های تعریف شده بر روی کامپیوتر ها ، User ها و گروره ها را مشاهده نماییم.
نکته:
برای تعریف کردن IPSec در شبکه های دومین کافی است در قسمت Group Policy ی دومین فرایند تعریف Policy را برای کامپیوتر ها اعمال کنیم . با تعریف کردن IPSec بر روی دومین همه ی کامپیوتر های دومین برای ارتباطات خود را این Policy می توانند استفاده بکنند . اما در صورتی که خواسته باشیم Policyی تعریف شده برای یک کامپیوتر تعریف نشود ، از Group Policy، Properties گرفته و در Tab Security با Add کردن Computer Account و گرفتن Permission های Read و Apply Group Policy ، پلیسی فوق بر روی Account مورد نظر اعمال نخواهد شد.
Group Policy
به هنگام تعریف GP می توانیم بر روی سایت ، دومین ، OU ، Policy تعریف نماییم ، ترتیب اعمال شدن Policy ها ابتدا سایت سپس دومین و در آخر OU می باشد ولی اولویت اعمال شدن به صورت عکس می باشد.
هنگام گرفتن پراپرتیز از گروه پایین دست مثلاً سایت و رفتن به تب GPO و انتخاب Policy مورد نظر و انتخاب Option و زدن تیک No Override موارد تعریف شده در سایت به موارد تعریف شده در OU و یا دومین به صورت اجباری تحمیل می شود حتی اگر گزینه ی Block Policy Inheritance انتخاب شده باشد . گزینه Block … برای مواقعی است که بخواهیم OU دومین موارد تنظیمی را از Parent خود به ارث نبرند، این گزینه در سایت قابل استفاده نمی باشد زیرا سایت Parent ای ندارند.
موارد تعریفی مربوط به Account Policy ها فقط بر روی دومین قابل تعریف می باشد و نمی توان موارد فوق را بر روی OU تعریف نمود.
MMC à Add/Remove Snap-in à Add à Security Templates
توسط این Snap-in می توانیم الگوهای تعریف شده توسط مایکروسافت را بر روی کامپیوتر و یا دومین خود Import نماییم . در حالت عادی نیز می توان الگوهای خاصی را برای شبکه تهیه نمود و در موارد خاص می توانیم از آنها استفاده نماییم.
MMC à Add/Remove Snap-in à Add à Security Configuration and Analisis
توسط این Snap-in می توانیم Template های مورد نظر را با موارد تعریف شده در حال حاظر Analyze های مورد نظر را با موارد تعریف شده در حال حاظر Analyze کرده و تفاوت های موجود را مشاهده نمود.
در حالت کلی 10، Template بر روی سرور ها به صورت پیش فرض وجود دارد:
1- (Template DC Security): در صورتی که Template فوق را بر روی DC ، Import نماییم ، امینت DC با اعمال کردن این الگو افزایش می یابد.
2- (Template hisecdc): با Import کردن این الگو امینت سیستم افزایش پیدا می کند و بعضی از پلاتفرم های قدیمی مانند 95 و 98 نمی توانند با DC فوق ارتباط بر قرار کنند.
3- (Template hisecws): این الگو معمولا بر روی کامپیوتر های کلاینت و Member Server ها اضافه می شوند و امنیت سیستم را تا حد قابل توجه ای افزایش می دهند.
4- (Template iesacls): با Import کردن این الگو این امکان برای گروه Every one ایجاد می شود که بتوانند مواردی را که مربوط به ارتباط IE با رجیستری کامپیوتر می شود را از لحاظ امینتی کاهش داده و امکان اجرای برنامه هایی که تحت IE اجرا می شوند فراهم شود.
5- (Template Rootsec): این الگو سبب می شود، هنگامی که خواسته باشیم کاربران عادی مجوز عادی دسترسی به درایو سیستمی نداشته باشد و نتواند فایل و فولدری را در درایو سیستمی ایجاد کنند اعمال نماییم.
6- (Template Securedc): با انتخاب این الگو امینت DC افزایش پیدا کرده و مواردی در قسمت Account Policy برای کاربران اعمال می شود و دسترسی کاربران نا شناخته (Anonymous) به قسمت های مختلف DC کاهش پیدا می کند.
7- (Template Securews): این الگو باعث می شود امنیت کلاینت ها و Member Server ها حالت سازگاری با DC های موجود در شبکه را داشته باشند.
8- (Template setupsecurity): این Policy شامل موارد تنظیمات پیش فرض کامپیوتر می باشد ، یعنی حالت Restore دارد وبه حالت Default قبلی باز می گردد.
9- Defltdc.inf : (فولدر (%windir%inf در صورت استفاده از این الگو به صورت پیش فرض همه ی مواردی که به هنگام نصب Active Directory در نظر گرفته می شود بر روی کامپیوتر اعمال می گردد.
10- (Template Dfltvs.inf) : با استفاده از این الگو می توانیم تنظیمات پیش فرض که به هنگام نصب ویندوز وجود دارد به کامپیوتر خود اعمال کنیم.
نکته:
در ویندوز سرور 2003می توان یک Template به صورت دستی ایجاد نمود و در مواقع ضروری این Template را Import نمود. نحوه انجام این کار به این صورت است که ابتدا وارد کنسول Security Template شده سپس روی پوشه D:\ Windows\Security\template راست کلیک کرده و گزینه New Template را انتخاب می کنیم، Policy های موجود را پیکر بندی کرده سپس آنها را Importمی نماییم.
نحوه Importکردن :
Active Directory à Microsoft.com à Tab Group Policy à Edit à Computer configuration à Security setting à RC à Import Policy à Open
فرمان secedit:
توسط این فرمان می توانیم کلیه تنظیمات امنیتی سیستم خود را Export و یا Import نماییم ، در ضمن می توانیم الگوی جدیدی به کامپیوتر اعمال ویا ایجاد الگوی جدید نماییم.
Certificate Service
توسط این سرویس در پلاتفرم های سرور می توانیم مجوز های دیجیتال برای کامپیوتر های مختلف برای عملیات Authentication و Encryption صادر کنیم . این سرویس برای انجام و صادر کردن مجوز ما از دو کلید تحت عنوان Public Key ، Private Key برای Encryption استفاده می نماید، Public Key کلیدی است که همه کاربران می توانند به آن دسترسی داشته باشند ، اما Private Key کلیدی است که هیچ کس به جز خود USER نمی تواند به آن دسترسی داشته باشد.
کامپیوتری که اقدام به صادر کردن Certificate می نماید اصطلاحا CA نامیده می شود. می توان در شبکه به منظور های مختلف Certificate صادر نمود، Certificate ها ممکن است برای User و یا برای یک کامپیوتر و یا سرویس خاص صادر گردد.
CA Type یا انواع CA ها:
نگاه اول:
نوع اول: Enterprise CA : در این نوع CA می توانیم کامپیوتر هایی که فقط عضو دومین می باشند Certificate صادر نماییم (در صورت نصب بودن اکتیو دایرکتوری این گزینه فعال است.)
نوع دوم: Stand-lone CA: این نوع CA ها در شبکه های Work Group و هم در شبکه های دومین قابل راه اندازی می باشد ، معمولا زمانیکه می خواهیم به کاربران و کامپیوتر های داخل اورگان خود مجوز صادر کنیم از Enterprise CA استفاده می کنیم، اما وقتی می خواهیم به کاربران و کامپیوتر های خارج از شبکه خود Certificate صادر نماییم از Stand-lone CA استفاده می کنیم.
نگاه دوم:
نوع اول: Root CA : در این نوع CA می توانیم در حالت کلی اولین CA ای که در شبکه خود ایجاد می کنیم در ساختار سلسله مراتبی در Root CA های موجود در شبکه قرار می گیرد. معمولا از این نوع CA ها می توانیم برای صادر کردن مجوز ها برای کامپیوتر ها ، کاربران و سرویس ها استفاده نماییم اما در شبکه های بزرگ این نوع CA ها تایید کنندهی Subordinate CA ها در یک سلسه ساختار درختی می باشد.
نوع دوم: Subordinate CA: در این نوع CA برای اینکه در شبکه وجود داشته باشد حتما باید قبل از این کار یک Root CA در شبکه ایجاد شده باشد تا این CA، زیر مجموعه ای از یک Root CA فوق باشد. برای اینکه Subordinate ها بتوانند برای کاربران و کامپیوتر ها مجوز صادر بکنند باید لبتاد از طریق یک Root CA مورد تایید قرار گرفته باشند.
نگاه سوم:
نوع اول: Internal CA: در این نوع CA ها کامپیوتر هایی که اقدام به صادر کردن CA می نمایند، مربوط به سازمان داخلی یک شبکه می شود.
نوع دوم: External CA در این نوع CA کامپیوتر هایی که اقدام به صادر کردن CA می نمایند خارج از اورگان قرار دارند ، به طور مثال در داخل اینترنت سایت هایی وجود دارند که از طریق آنها می توانیم اقدام به گرفتن Certificate برای وب سایت خود نماییم.
در صورتیکه بر روی یک پلاتفرم سرور Certificate نصب گردد، کامپیوتر فوق تبدیل به CA می شود. به هنگام نصب سرویس پیغامی را مبنی بر اینکه بعد از نصب این سرویس ، کامپیوتر ها دیگر نمی توانند از عضویت دومین خارج و یا عضو یک دومین دیگر شوند و نیز اسم کامپیوتر نمی تاوند Rename شود داده خواهد شد.
به هنگام نصب این سرویس در صورت وجود سرویس IIS پیغامی مبنی بر Stop شدن این سرویس به صورت موقت و Start شدن آن بعد از نصب دریافت خواهد شد.
نکته:
به هنگام نصب این سرویس ، مدت زمان Valid بودن Certificate صادره از طرف CA که به صورت پیش فرض 5 سال می باشد قابل تغییر می باشد.
برای نصب Certificate Service ابتدا سرویس IIS را نصب می کنیم و سپس سرویس فوق را نصب می کنیم ، بعد از نصب Certificate Service سه تغییر زیر بر روی کامپیوتر CA ایجاد می شود:
1- در داخل Administrator Tools گزینه ی Certificate Authority فعال می شود.
2- در داخل Consol IIS در قسمت Default Website ، یک Virtual Directory به نام Certsrv اضافه می گردد.
3- در داخل کنسول MMC گزینه های Certificate و Certificate Template فعال می شود.
در این قسمت می خواهیم برای یک Web server در خواست Certificate نماییم:
باید به این نکته توجه نماییم که Web Server و CA Server می توانند در دو کامپیوتر مجزا قرار گرفته شده باشند . برای شروع کار ابتدا باید بر روی Web Server رفته و در خواست زیرا در IE(Internet Explorer)
بنویسیم: Http://IP Ca Server/certsrv
در صفحه بعد Request a certificate را انتخاب می نماییم ، سپس در صفحه بعد با انتخاب Advanced Request Certificate مشخصات خود را می نویسیم ، باید توجه داشت که در این صفحه حتما گزینه ی Store certificate in the… انتخاب شده باشد با این عمل محل Certificate در خواست شده در کامپیوتر local خواهد بود.
بعد از مراحل مراحل فوق به داخل Certificate Authority موجود در AdminTools رفته و در قسمت Pending Request، در خواست داده شده از CA را Issue می نماییم.
بعد از ISSu کردن Request دوباره در خواست Http://IP CA Server/certsrv را در داخل IE می نویسم اما این بار گزینه View the status of CA Server را انتخاب می کنیم ، در صفحه بعد گزینه Server… و در آخر گزینه Instal را انتخاب می کنیم، تنها کار باقی مانده این است که بر روی وب سایت مورد نظر موجود در IIS ،Certificate مورد نظر را قرار دهیم ، برای این کار از وب سایت خود پراپرتیز گرفته و در تب Directory Security مراحل ثبت Certificate برای وب سایت مورد نظر را انجام می دهیم ، باید توجه داشت که در همین تب با انتخاب گزینه Edit و Request Secure channel ، کلاینت مورد نظر فقط می تواند از Https برای وصل شدن به وب سایت مورد نظر استفاده نماید.
نکته:
در داخل کنسول موجود در Certificate Authority هنگامی که بر روی Request ، ISSUE شده ( در خواست صادر شده) رایت کلیک کنیم در قسمت All Task می توانیم گزینه ی Revoke را انتخاب نمایم ، در قسمت بعد اگر گرینه ی Certificate hold را انتخاب نماییم می توانیم در قسمت Revoke Certificate رفته و Certificate و گزینه های دیگر را انتخاب نماییم Certificate مورد نظر قابل بازگشت نخواهد بود.
در Certificate Template موجود در داخل MMC می توانیم از Template های موجود در این قسمت بهره برد ، در صورتی که بخواهیم از این Template ها بر روی Enterprise CA استفاده نمایم باید بر روی آنها رایت کلیک کرده و گزینه ی Duplicate Template را انتخاب نماییم، با این کار یک کپی ار Template مورد نظر برای استفاده ایجاد می گردد. در همین قسمت اگر هنگام رایت کلیک گزینه پایین Duplicate یعنی گزینه Reenroll All Certificate holder را انتخاب نماییم در این صورت هنگامی که بر روی Template مورد نظر تغییراتی را انجام داده باشیم این تغییرات در داخل CA و اکتیو دایرکتوری اعمال خواهند شد.
نکته:
در صورتی که بخواهیم یکی از Template های Duplicate داخل اکتیو دایرتکوری استفاده نماییم باید Certificate مورد نظر در داخل اکتیور دایرکتوری ، Publish شود، جهت انجام این کار باید بر روی Certificate مورد نظر پراپرتیز گرفته و گزینه Publish Certificate in Active directory را انتخاب نماییم. در داخل دومین می توان با استفاده از فرمان MMC و Add کردن Personal à Certificate با رایت کلیک کردن و انتخاب گزینه ی Request new Certificate در خواست Certificate نماییم.
نکته:
به هنگام استفاده از Enterprise CA ، Certificate های صادر شده برای کلاینت ها به صورت Auto Enrollment می باشند. ( یعنی کلاینت وقتی در خواست به CA دهد به صورت اتوماتیک ISSUE می شود.) اما در Stand-alone CA این عمل باید به صورت دستی انجام گیرد.
نکته:
WWW.verising.com یکی از سایت هایی است که Certificate صادر می کند و برای Subordinat شدن حتما باید به یک Root وصل شد یا عضو آن گردید.
نکته:
برای صادر کردن Certificate برای Smart Card ها حتما باید از Enterprise CA استفاده نماییم ، این بدان معانست که نمی توان از Stand-alone استفاده نماییم.
نکته:
برای مجوز دادن برای کار برانی که می خواهیم نقش Recover Agent برای ما داشته باشند نیز می توانیم از certificate Service استفاده نماییم.
نکته:
یکی دیگر از استفاده های Certificate Service دادن مجوز به کاربرانی است که می خواهیم نقش Recovery Agent در شبکه داشته باشند ، برایاین کار کلاینت های مختلف از CA مورد نظر در خواست Certificateمی نماییم.
نکته:
اگر بخواهیم با فرمان DCPROMO ، اکتیو دایرکتوری نصب نماییم باید ابتدا CA را Uninstall نماییم.
به 3 طریق می توان از یک CA در خواست Certificate نماییم:
1- از طریق Group Policy
2- از طریق Consol MMC و با اضافه کردن Snap-in Certificate
3- به صورت Web Based و از طریق اجرای فرمان Http://IP CA Server/Certsrv در IE
:CRL (Certificate revoke List)
پارامتری است که در داخل آن Certificate هایی را Cancel کرده ایم و باطل شده اند را می توانیم ببینیم. محل: MMC à Certificate à Trust Pepale
CTL (Certificate Trust List):
در داخل این لیست می توانیم لیست CA هایی را که به Root CA ما اعتماد کرده اند را مشاهده نمود.
در اینترنت هنگامی که بخواهیم تمامی کلاینتها حتما از Https برای وصل شدن به وب سایت مورد نظر استفاده نمایند بایدتنظیمات زیر را بر روی IIS انجام دهیم: (باید در نظر داشت که تمامی اسامی و شماره پورت های در نظر گرفته شده در مراحل زیر فقط برای درک بهتر مطلب می باشد و می توان از اسامی دلخواه برای انجام این کار استفاده نمود.)
ابتدا باید 2 وب سایت با محتوای یکسان ایجاد نمود مثلاً وب سایت 1 و وب سایت 2 ، سپس شماره پورت وب سایت دوم را از 80 به 82 تغییر داده و تب Directory Security ، Certificate مورد نظر را در همین وب سایت نصب می نماییم ، شماره پورت ، پیش فرض برای Certificate مورد نظر 443 می باشد ، سپس در وب سایت اول در تب Home Directory سایت مورد نظر را به سایت دوم Redirect می نماییم. با این عمل هنگامی که کلاینت در خواست به وب سرور مربوط دهد، به صورت اتوماتیک از Https استفاده خواهد نمود.
نکته:
گزینه Request New Certificate در Certificate Snap-in موجود در MMC در Stand-alone CA ها وجود ندارد، باید از طریق فرمانCipher /r این عمل انجام گیرد ولی این گزینه در Enterprise CA ها فعال می باشد.
نکته:
به هنگام استفاده از Stand-alone CA برای وصل کردن Certificate و ارتباط Secure بین Web Browser و وب سایت و با انتخاب گزینه Advanced Option حتما باید در قسمت Type of Certificate Needed ، گزینه ی Server Authentication Certificate انتخاب شده باشد و در قسمت Key option ، گزینه Store Certificate in the local computer certificate store را انتخاب نماییم.
نکته:
گروه Cert Publisher: اعضای این گروه قادر خواهند بود در کل دومین اقدام به Publish نمودن Certificate نمایند و یا به صورت خاص در صورتی که در داخل یک فارست قرار گرفته باشیم و بخواهیم این امکان را به کاربران دومین ای که در داخل آن Domain CA وجود نداشته باشد مجوز Publish نمودن Certificate مورد نظر را بدهیم، باید کاربران فوق را عضو چنین گروهی نماییم.
با استفاده از این امکان می توانیم ارتباط کامپیوتر هایی که از TCP/IP برای تبادل اطلاعات استفاده می کنند را Encrypt نماییم. این امکان در پلاتفرم NT وجود نداشت، در این نوع از سیستم عامل این عمل توسط سخت افزارهایی تحت عنوان Security Host استفاده می شد. اما در پلاتفرمهای 2000 و 2003 توسط IPSec می وانیم به صورت نرم افزاری اطلاعات را Encrypt نماییم.
نکته:
در TCP/IP ، نسخه 4، IPSec به صورت پیش فرض فعال نبود اما در نسخه 6 بصورت پیش فرض این امکان وجود دارد.
مزایای IPSec
1- راحتی راه اندازی و پیاده سازی آن
2- IPSec یک تکنولوژی End To End می باشد. ( یعنی بین دو کامپیوتر یک تونل ایجاد می شود و اطلاعات به صورت Encrypt شده رد و بدل می شود.)
3- IPSec هم در شبکه های Work Group قابل راه اندازی است و هم در شبکه های دومین.
4- با توجه به اینکه IPSec در لایه Network مدل OSI فعالیت می کند از دید کاربران و برنامه های تحت شبکه تاثیر نمی گذارد و در نتیجه مزاحمتی برای این برنامه ها به وجود نمی آورد.
5- با توجه به اینکه IPSec سازگاری خاصی با پروتکل Kerberos دارد در نتیجه هنگام راه اندازی Active Directory مشکلی برای کامپیوتر به وجود نخواهد آمد.
مهمترین وظیفه DC ، Authentication است که پروتکل Kerberos این کار را انجام می دهد که در پلاتفرم های NT این عمل توسط پروتکل NTLM انجام می شد.
6- توسط IPSec می توانیم انعطاف لازم برای استفاده از فرمان اجرا شده بین دو کامپیوتر داشته باشیم، به طور مثال می توانیم مشخص کنیم در صورتیکه دو کامپیوتر از طریق پروتکل ICMP (پروتکل مورد استفاده برای Ping کردن) با یکدیگر تبادل اطلاعات می کنند توسط امکان IPSec این اطلاعات Encrypt شوند و بقسه اطلاعات رد و بدل شده که از پروتکل دیگری غیر از ICMP استفاده می کنند توسط امکان IPSec ، Encrypt نشوند.
نکته:
با استفاده از IPSec، الگوریتم هایی که برای Encrypt کردن استفاده می شود، از دید کاربران نامرئی می باشد.
7- در پلاتفرم های 2003 ، IPSec را می توانیم به همراه NAT استفاده کنیم یعنی ارتباطات NAT Client ها و NAT Server ها به صورت IPSec شود. اما در پلاتفرم های 2000 این امکان وجود نداشت.
نکته:
اگر در راه اندازی IPSec اشتباهی رخ دهد باعث اختلال در شبکه خواهد شد.
به صورت پیش فرض ، سه نوع Policy زیر بر روی کامپیوتر وجود دارد که می توان در یک زمان فقط یکی از این سه نوع Policy را فعال نمود:
1- Server ( Request Security ) : با Assign کردن این Policy تبادل اطلاعات بصورت IPSec خواهد بود، اما در صورتیکه کلاینت ای در خواست ارتباط بدون IPSec از کامپیوتر فوق را نماید، کامپیوتر بدون IPSec جواب کلاینت مربوطه را می دهد.
2- Client (Respond Only): در حالت عادی بدون IPSec تبادل اطلاعات می کند اما اگر کلاینتی در خواست ارتباط با IPSec کند کامپیوتر فوق با IPSec جواب کلاینت را می دهد.
3- Secure Server (Require Security): در صورت انتخاب ، ارتباطات در هر صورت با IPSec انجام می پذیرد.
4-
Tab IP Filter List
زمانیکه بخواهیم Packet ای را از یک کامپیوتر به کامپیوتر دیگر با پروتکل خاص به طور مثال ICMP انجام بدهیم ،
Tab Authentication Method
روشی را که می خواهیم بین دو کامپیوتر تبادل اطلاعات از طریق IPsec انجام گیرد را مشخص می نماییم ، در حالت کلی از سه روش زیر برای این کار استفاده می نماییم:
1- Active Directory Default (Kerberos V5 Protocol):
در این روش که در دومین های 2000 و 2003 می توانیم استفاده نماییم از طریق پروتکل فوق ارتباطات IPSec بر قرار می شود. باید توجه داشت که کلاینت های مقابل حتما باید قابلیت پشتیابنی فوق را داشته باشند.
2- Use a Certificate from the certification authority (CA)
در این روش IPSec می تواند با مجوز گرفتن از یک CA ارتباطات خود را در شبکه بر قرار می سازند.
3- Use this String (Preshared key)
در این روش حتماً باید کلمه یکسان بین کامپیوتر های مبدا و مقصد رد و بدل شود.
نکته:
در داخل کنسول DNS گزینه ای تحت عنوان Configure Zone وجود دارد که با استفاده از آن می توان DNS را هم برای شبکه داخلی و هم شبکه خارجی (اینترنت) پیکربندی بناییم.
Tab Filter Action
از طریق این Option می توانیم روش های مختلفی را برای ارتباطات کامپیوترها و مواردی که می خواهیم از طریق آن ، الگوریتم ها عمل Encryption انجام گیرد را مشخص می نماییم در تب Connection مشخص می نماییم از چه کانکشنی هایی استفاده می نماییم و تب Tunnel Setting برای مواقعی است که VPN داشته باشیم.
نکته:
در ارتباطات امن بین دو نقطه چهار پارامتر زیر می تواند امنیت اطلاعات ما را فراهم نماید:
1- Integrity: این روش زمانیکه کامپیوتر ما با یکدیگر تبادل اطلاعات می کنند اگر در Packet تغییری رخ دهد الگوریتم فوق با داشتن این قابلیت متوجه این قضیه می شود.
2- Anti Reply: در صورتیکه الگوریتمی چنین قابلیتی را پشتیبانی نماید Packet های تقلید شده (شبه سازی شده توسط کامپیوتری مختلف را تشخیص داده و اجازه ورود چنین Packetهایی را به کامپیوتر فوق نمی دهد.
3- Authentication: الگوریتم ای که دارای چنین قابلیتی باشد اگر IP کامپیوتر فوق عوض شود ارتباطات کامپیوتر های مبدا و مقصد مختل خواهد شد.
4- Confidential: الگورتیم ای که دارای چنین قابلیتی باشد می تواند اطلاعات ای که دارای چنین قابلیتی باشد می تواند اطلاعات رد و بدل شده بین کامپیوتر ها را با امنیت بالایی رد و بدا نماید.
تفاوت AH (Authentication Header) و ESP (Encapsulate Security Pay Load)
AH فقط سه قابلیت 1 و 2 و 3 را پشتیبانی می نماید اما ESP هر 4 قابلیت را می تواند پشتیبانی نماید.
در قسمت IP Filter Properties با وارد شدن به قسمت Tab Address با زدن تیک Mirrored تبادل اطلاعات به صورت دو طرفه می شود و اطلاعات رفت و برگشت هر دو به صورت Encrypt شده صورت می گیرد.
نکته:
معمولا دو پروتکل AH و ESP الگورتیم های استفاده شده برای سرویس IPSec می باشند و به صورت پیش فرض AH جهت امنیت بین دو کماپیوتری که از این دو پروتکل استفاده نمایند پروسه Authentication را بین دو کامپیوتر انجام می دهد اما پروتکل ESP عمل Encryption را برای کامپیوتر های مرتبط انجام می دهد.
نکته:
به هنگام تعریف Filter Action ، زمانیکه گزینه Negotiate Security را انتخاب می کنیم از 2 الگورتیم تحت عنوان AH و ESP استفاده می شود، قابل ذکر است ESP با Router ها مشکلی ندارد زیرا به هنگام استفاده از ESP ، IP Header ها Encrypt نمی شوند ، اما به هنگام استفاده از AH پارامتری تحت عنوان ICV (integrity Check Value) به Packet مورد نظر اضافه می شود ، از طریق این پارامتر مشخص می شود که Packet مورد نظر اضافه می شوند، از طریق این پارامتر مشخص می شود که Packet سالم به دست کامپیوتر مورد نظر رسیده یا نه ؟ به هنگام عبور Packet از Router یک عدد از مقدار TTL پکت ها کم می شود قابل ذکر است ICV از TTL به عنوان پارامترهای خود استفاده نمی کند.
توسط امکانات موجود در داخل کنسول MMC می توانیم:
1- با استفاده از IP Security Monitor ارتباطات بین کامپیوتر هایی که از طریق IPSec با یکدیگر تبادل اطلاعات می کنند را مشاهده نماییم.
2- از طریق Snap in ، Resultant and Set of Policy می توانیم نتایج Policy های تعریف شده بر روی کامپیوتر ها ، User ها و گروره ها را مشاهده نماییم.
نکته:
برای تعریف کردن IPSec در شبکه های دومین کافی است در قسمت Group Policy ی دومین فرایند تعریف Policy را برای کامپیوتر ها اعمال کنیم . با تعریف کردن IPSec بر روی دومین همه ی کامپیوتر های دومین برای ارتباطات خود را این Policy می توانند استفاده بکنند . اما در صورتی که خواسته باشیم Policyی تعریف شده برای یک کامپیوتر تعریف نشود ، از Group Policy، Properties گرفته و در Tab Security با Add کردن Computer Account و گرفتن Permission های Read و Apply Group Policy ، پلیسی فوق بر روی Account مورد نظر اعمال نخواهد شد.
Group Policy
به هنگام تعریف GP می توانیم بر روی سایت ، دومین ، OU ، Policy تعریف نماییم ، ترتیب اعمال شدن Policy ها ابتدا سایت سپس دومین و در آخر OU می باشد ولی اولویت اعمال شدن به صورت عکس می باشد.
هنگام گرفتن پراپرتیز از گروه پایین دست مثلاً سایت و رفتن به تب GPO و انتخاب Policy مورد نظر و انتخاب Option و زدن تیک No Override موارد تعریف شده در سایت به موارد تعریف شده در OU و یا دومین به صورت اجباری تحمیل می شود حتی اگر گزینه ی Block Policy Inheritance انتخاب شده باشد . گزینه Block … برای مواقعی است که بخواهیم OU دومین موارد تنظیمی را از Parent خود به ارث نبرند، این گزینه در سایت قابل استفاده نمی باشد زیرا سایت Parent ای ندارند.
موارد تعریفی مربوط به Account Policy ها فقط بر روی دومین قابل تعریف می باشد و نمی توان موارد فوق را بر روی OU تعریف نمود.
MMC à Add/Remove Snap-in à Add à Security Templates
توسط این Snap-in می توانیم الگوهای تعریف شده توسط مایکروسافت را بر روی کامپیوتر و یا دومین خود Import نماییم . در حالت عادی نیز می توان الگوهای خاصی را برای شبکه تهیه نمود و در موارد خاص می توانیم از آنها استفاده نماییم.
MMC à Add/Remove Snap-in à Add à Security Configuration and Analisis
توسط این Snap-in می توانیم Template های مورد نظر را با موارد تعریف شده در حال حاظر Analyze های مورد نظر را با موارد تعریف شده در حال حاظر Analyze کرده و تفاوت های موجود را مشاهده نمود.
در حالت کلی 10، Template بر روی سرور ها به صورت پیش فرض وجود دارد:
1- (Template DC Security): در صورتی که Template فوق را بر روی DC ، Import نماییم ، امینت DC با اعمال کردن این الگو افزایش می یابد.
2- (Template hisecdc): با Import کردن این الگو امینت سیستم افزایش پیدا می کند و بعضی از پلاتفرم های قدیمی مانند 95 و 98 نمی توانند با DC فوق ارتباط بر قرار کنند.
3- (Template hisecws): این الگو معمولا بر روی کامپیوتر های کلاینت و Member Server ها اضافه می شوند و امنیت سیستم را تا حد قابل توجه ای افزایش می دهند.
4- (Template iesacls): با Import کردن این الگو این امکان برای گروه Every one ایجاد می شود که بتوانند مواردی را که مربوط به ارتباط IE با رجیستری کامپیوتر می شود را از لحاظ امینتی کاهش داده و امکان اجرای برنامه هایی که تحت IE اجرا می شوند فراهم شود.
5- (Template Rootsec): این الگو سبب می شود، هنگامی که خواسته باشیم کاربران عادی مجوز عادی دسترسی به درایو سیستمی نداشته باشد و نتواند فایل و فولدری را در درایو سیستمی ایجاد کنند اعمال نماییم.
6- (Template Securedc): با انتخاب این الگو امینت DC افزایش پیدا کرده و مواردی در قسمت Account Policy برای کاربران اعمال می شود و دسترسی کاربران نا شناخته (Anonymous) به قسمت های مختلف DC کاهش پیدا می کند.
7- (Template Securews): این الگو باعث می شود امنیت کلاینت ها و Member Server ها حالت سازگاری با DC های موجود در شبکه را داشته باشند.
8- (Template setupsecurity): این Policy شامل موارد تنظیمات پیش فرض کامپیوتر می باشد ، یعنی حالت Restore دارد وبه حالت Default قبلی باز می گردد.
9- Defltdc.inf : (فولدر (%windir%inf در صورت استفاده از این الگو به صورت پیش فرض همه ی مواردی که به هنگام نصب Active Directory در نظر گرفته می شود بر روی کامپیوتر اعمال می گردد.
10- (Template Dfltvs.inf) : با استفاده از این الگو می توانیم تنظیمات پیش فرض که به هنگام نصب ویندوز وجود دارد به کامپیوتر خود اعمال کنیم.
نکته:
در ویندوز سرور 2003می توان یک Template به صورت دستی ایجاد نمود و در مواقع ضروری این Template را Import نمود. نحوه انجام این کار به این صورت است که ابتدا وارد کنسول Security Template شده سپس روی پوشه D:\ Windows\Security\template راست کلیک کرده و گزینه New Template را انتخاب می کنیم، Policy های موجود را پیکر بندی کرده سپس آنها را Importمی نماییم.
نحوه Importکردن :
Active Directory à Microsoft.com à Tab Group Policy à Edit à Computer configuration à Security setting à RC à Import Policy à Open
فرمان secedit:
توسط این فرمان می توانیم کلیه تنظیمات امنیتی سیستم خود را Export و یا Import نماییم ، در ضمن می توانیم الگوی جدیدی به کامپیوتر اعمال ویا ایجاد الگوی جدید نماییم.
Certificate Service
توسط این سرویس در پلاتفرم های سرور می توانیم مجوز های دیجیتال برای کامپیوتر های مختلف برای عملیات Authentication و Encryption صادر کنیم . این سرویس برای انجام و صادر کردن مجوز ما از دو کلید تحت عنوان Public Key ، Private Key برای Encryption استفاده می نماید، Public Key کلیدی است که همه کاربران می توانند به آن دسترسی داشته باشند ، اما Private Key کلیدی است که هیچ کس به جز خود USER نمی تواند به آن دسترسی داشته باشد.
کامپیوتری که اقدام به صادر کردن Certificate می نماید اصطلاحا CA نامیده می شود. می توان در شبکه به منظور های مختلف Certificate صادر نمود، Certificate ها ممکن است برای User و یا برای یک کامپیوتر و یا سرویس خاص صادر گردد.
CA Type یا انواع CA ها:
نگاه اول:
نوع اول: Enterprise CA : در این نوع CA می توانیم کامپیوتر هایی که فقط عضو دومین می باشند Certificate صادر نماییم (در صورت نصب بودن اکتیو دایرکتوری این گزینه فعال است.)
نوع دوم: Stand-lone CA: این نوع CA ها در شبکه های Work Group و هم در شبکه های دومین قابل راه اندازی می باشد ، معمولا زمانیکه می خواهیم به کاربران و کامپیوتر های داخل اورگان خود مجوز صادر کنیم از Enterprise CA استفاده می کنیم، اما وقتی می خواهیم به کاربران و کامپیوتر های خارج از شبکه خود Certificate صادر نماییم از Stand-lone CA استفاده می کنیم.
نگاه دوم:
نوع اول: Root CA : در این نوع CA می توانیم در حالت کلی اولین CA ای که در شبکه خود ایجاد می کنیم در ساختار سلسله مراتبی در Root CA های موجود در شبکه قرار می گیرد. معمولا از این نوع CA ها می توانیم برای صادر کردن مجوز ها برای کامپیوتر ها ، کاربران و سرویس ها استفاده نماییم اما در شبکه های بزرگ این نوع CA ها تایید کنندهی Subordinate CA ها در یک سلسه ساختار درختی می باشد.
نوع دوم: Subordinate CA: در این نوع CA برای اینکه در شبکه وجود داشته باشد حتما باید قبل از این کار یک Root CA در شبکه ایجاد شده باشد تا این CA، زیر مجموعه ای از یک Root CA فوق باشد. برای اینکه Subordinate ها بتوانند برای کاربران و کامپیوتر ها مجوز صادر بکنند باید لبتاد از طریق یک Root CA مورد تایید قرار گرفته باشند.
نگاه سوم:
نوع اول: Internal CA: در این نوع CA ها کامپیوتر هایی که اقدام به صادر کردن CA می نمایند، مربوط به سازمان داخلی یک شبکه می شود.
نوع دوم: External CA در این نوع CA کامپیوتر هایی که اقدام به صادر کردن CA می نمایند خارج از اورگان قرار دارند ، به طور مثال در داخل اینترنت سایت هایی وجود دارند که از طریق آنها می توانیم اقدام به گرفتن Certificate برای وب سایت خود نماییم.
در صورتیکه بر روی یک پلاتفرم سرور Certificate نصب گردد، کامپیوتر فوق تبدیل به CA می شود. به هنگام نصب سرویس پیغامی را مبنی بر اینکه بعد از نصب این سرویس ، کامپیوتر ها دیگر نمی توانند از عضویت دومین خارج و یا عضو یک دومین دیگر شوند و نیز اسم کامپیوتر نمی تاوند Rename شود داده خواهد شد.
به هنگام نصب این سرویس در صورت وجود سرویس IIS پیغامی مبنی بر Stop شدن این سرویس به صورت موقت و Start شدن آن بعد از نصب دریافت خواهد شد.
نکته:
به هنگام نصب این سرویس ، مدت زمان Valid بودن Certificate صادره از طرف CA که به صورت پیش فرض 5 سال می باشد قابل تغییر می باشد.
برای نصب Certificate Service ابتدا سرویس IIS را نصب می کنیم و سپس سرویس فوق را نصب می کنیم ، بعد از نصب Certificate Service سه تغییر زیر بر روی کامپیوتر CA ایجاد می شود:
1- در داخل Administrator Tools گزینه ی Certificate Authority فعال می شود.
2- در داخل Consol IIS در قسمت Default Website ، یک Virtual Directory به نام Certsrv اضافه می گردد.
3- در داخل کنسول MMC گزینه های Certificate و Certificate Template فعال می شود.
در این قسمت می خواهیم برای یک Web server در خواست Certificate نماییم:
باید به این نکته توجه نماییم که Web Server و CA Server می توانند در دو کامپیوتر مجزا قرار گرفته شده باشند . برای شروع کار ابتدا باید بر روی Web Server رفته و در خواست زیرا در IE(Internet Explorer)
بنویسیم: Http://IP Ca Server/certsrv
در صفحه بعد Request a certificate را انتخاب می نماییم ، سپس در صفحه بعد با انتخاب Advanced Request Certificate مشخصات خود را می نویسیم ، باید توجه داشت که در این صفحه حتما گزینه ی Store certificate in the… انتخاب شده باشد با این عمل محل Certificate در خواست شده در کامپیوتر local خواهد بود.
بعد از مراحل مراحل فوق به داخل Certificate Authority موجود در AdminTools رفته و در قسمت Pending Request، در خواست داده شده از CA را Issue می نماییم.
بعد از ISSu کردن Request دوباره در خواست Http://IP CA Server/certsrv را در داخل IE می نویسم اما این بار گزینه View the status of CA Server را انتخاب می کنیم ، در صفحه بعد گزینه Server… و در آخر گزینه Instal را انتخاب می کنیم، تنها کار باقی مانده این است که بر روی وب سایت مورد نظر موجود در IIS ،Certificate مورد نظر را قرار دهیم ، برای این کار از وب سایت خود پراپرتیز گرفته و در تب Directory Security مراحل ثبت Certificate برای وب سایت مورد نظر را انجام می دهیم ، باید توجه داشت که در همین تب با انتخاب گزینه Edit و Request Secure channel ، کلاینت مورد نظر فقط می تواند از Https برای وصل شدن به وب سایت مورد نظر استفاده نماید.
نکته:
در داخل کنسول موجود در Certificate Authority هنگامی که بر روی Request ، ISSUE شده ( در خواست صادر شده) رایت کلیک کنیم در قسمت All Task می توانیم گزینه ی Revoke را انتخاب نمایم ، در قسمت بعد اگر گرینه ی Certificate hold را انتخاب نماییم می توانیم در قسمت Revoke Certificate رفته و Certificate و گزینه های دیگر را انتخاب نماییم Certificate مورد نظر قابل بازگشت نخواهد بود.
در Certificate Template موجود در داخل MMC می توانیم از Template های موجود در این قسمت بهره برد ، در صورتی که بخواهیم از این Template ها بر روی Enterprise CA استفاده نمایم باید بر روی آنها رایت کلیک کرده و گزینه ی Duplicate Template را انتخاب نماییم، با این کار یک کپی ار Template مورد نظر برای استفاده ایجاد می گردد. در همین قسمت اگر هنگام رایت کلیک گزینه پایین Duplicate یعنی گزینه Reenroll All Certificate holder را انتخاب نماییم در این صورت هنگامی که بر روی Template مورد نظر تغییراتی را انجام داده باشیم این تغییرات در داخل CA و اکتیو دایرکتوری اعمال خواهند شد.
نکته:
در صورتی که بخواهیم یکی از Template های Duplicate داخل اکتیو دایرتکوری استفاده نماییم باید Certificate مورد نظر در داخل اکتیور دایرکتوری ، Publish شود، جهت انجام این کار باید بر روی Certificate مورد نظر پراپرتیز گرفته و گزینه Publish Certificate in Active directory را انتخاب نماییم. در داخل دومین می توان با استفاده از فرمان MMC و Add کردن Personal à Certificate با رایت کلیک کردن و انتخاب گزینه ی Request new Certificate در خواست Certificate نماییم.
نکته:
به هنگام استفاده از Enterprise CA ، Certificate های صادر شده برای کلاینت ها به صورت Auto Enrollment می باشند. ( یعنی کلاینت وقتی در خواست به CA دهد به صورت اتوماتیک ISSUE می شود.) اما در Stand-alone CA این عمل باید به صورت دستی انجام گیرد.
نکته:
WWW.verising.com یکی از سایت هایی است که Certificate صادر می کند و برای Subordinat شدن حتما باید به یک Root وصل شد یا عضو آن گردید.
نکته:
برای صادر کردن Certificate برای Smart Card ها حتما باید از Enterprise CA استفاده نماییم ، این بدان معانست که نمی توان از Stand-alone استفاده نماییم.
نکته:
برای مجوز دادن برای کار برانی که می خواهیم نقش Recover Agent برای ما داشته باشند نیز می توانیم از certificate Service استفاده نماییم.
نکته:
یکی دیگر از استفاده های Certificate Service دادن مجوز به کاربرانی است که می خواهیم نقش Recovery Agent در شبکه داشته باشند ، برایاین کار کلاینت های مختلف از CA مورد نظر در خواست Certificateمی نماییم.
نکته:
اگر بخواهیم با فرمان DCPROMO ، اکتیو دایرکتوری نصب نماییم باید ابتدا CA را Uninstall نماییم.
به 3 طریق می توان از یک CA در خواست Certificate نماییم:
1- از طریق Group Policy
2- از طریق Consol MMC و با اضافه کردن Snap-in Certificate
3- به صورت Web Based و از طریق اجرای فرمان Http://IP CA Server/Certsrv در IE
:CRL (Certificate revoke List)
پارامتری است که در داخل آن Certificate هایی را Cancel کرده ایم و باطل شده اند را می توانیم ببینیم. محل: MMC à Certificate à Trust Pepale
CTL (Certificate Trust List):
در داخل این لیست می توانیم لیست CA هایی را که به Root CA ما اعتماد کرده اند را مشاهده نمود.
در اینترنت هنگامی که بخواهیم تمامی کلاینتها حتما از Https برای وصل شدن به وب سایت مورد نظر استفاده نمایند بایدتنظیمات زیر را بر روی IIS انجام دهیم: (باید در نظر داشت که تمامی اسامی و شماره پورت های در نظر گرفته شده در مراحل زیر فقط برای درک بهتر مطلب می باشد و می توان از اسامی دلخواه برای انجام این کار استفاده نمود.)
ابتدا باید 2 وب سایت با محتوای یکسان ایجاد نمود مثلاً وب سایت 1 و وب سایت 2 ، سپس شماره پورت وب سایت دوم را از 80 به 82 تغییر داده و تب Directory Security ، Certificate مورد نظر را در همین وب سایت نصب می نماییم ، شماره پورت ، پیش فرض برای Certificate مورد نظر 443 می باشد ، سپس در وب سایت اول در تب Home Directory سایت مورد نظر را به سایت دوم Redirect می نماییم. با این عمل هنگامی که کلاینت در خواست به وب سرور مربوط دهد، به صورت اتوماتیک از Https استفاده خواهد نمود.
نکته:
گزینه Request New Certificate در Certificate Snap-in موجود در MMC در Stand-alone CA ها وجود ندارد، باید از طریق فرمانCipher /r این عمل انجام گیرد ولی این گزینه در Enterprise CA ها فعال می باشد.
نکته:
به هنگام استفاده از Stand-alone CA برای وصل کردن Certificate و ارتباط Secure بین Web Browser و وب سایت و با انتخاب گزینه Advanced Option حتما باید در قسمت Type of Certificate Needed ، گزینه ی Server Authentication Certificate انتخاب شده باشد و در قسمت Key option ، گزینه Store Certificate in the local computer certificate store را انتخاب نماییم.
نکته:
گروه Cert Publisher: اعضای این گروه قادر خواهند بود در کل دومین اقدام به Publish نمودن Certificate نمایند و یا به صورت خاص در صورتی که در داخل یک فارست قرار گرفته باشیم و بخواهیم این امکان را به کاربران دومین ای که در داخل آن Domain CA وجود نداشته باشد مجوز Publish نمودن Certificate مورد نظر را بدهیم، باید کاربران فوق را عضو چنین گروهی نماییم.
هیچ نظری موجود نیست:
ارسال یک نظر