Active Directory Sertifika Servisleri – 2
Bir önceki yazmızda sertifika servisleri , sertifikalar ve genel kullanımlarını örneklerle açıklamıştık. Bu yazımızda , sertifikaların kullanımları ile devam edeceğiz ve farklı kullanım alanlarını inceleyeceğiz.
Yazıda örneklekdireceğimiz uygulamalar ,
– Cisco router’a , windows server 2008 R2 enterprise üzerine kurulu bir sertifika otoritesinden sertifika alınması
– Kullanıcının , pdf dökümanını sertifikası ile şifrelemesi
konularını inceleyeceğiz.Öncelikle lab ortamımız hakkında bilgi verelim.
Domain : nwtraders.msft
CA : NW-CA
CA’in kurulu olduğu sunucu : bs-dc.nwtraders.msft
Router : IOS versiyonu , 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(4)T1
DC’in ip adresi : 172.26.1.1 / 16
Router’ın ip adresi : gigabitethernet 1/0 ‘a 172.26.100.100 /16
Kullanacağım kısaltmalar :
NDE : Network Device Enrollment
Öncelikle , NW-CA otoritesine Network Device Enrollment rol servisini ekleyelim. Server manager’da add role service link’inden bunu yapabiliriz.
Sonrakı ekranda, bu rol servisinin kullanacağı hesabı belirlememizi istiyor. Nwtraders\nde isimli hesabı kullanıyorum.NDE isimli hesabın herhangi bir özelliği yoktur. IUSRS grubuna üyedir.
Üstteki kullanıcı , IIS_IUSRS grubunada üyedir.Sonraki menümüzde ,
NDE servisinin sertifika yönetiminde kullanacağı otoriteyi yapılandırıyoruz. Optional bilgileri yazmıyorum. Otorite ismi olarak’ta BS-RA seçtim.
Ardından , kullanılacak olan tedarikçileri ve key uzunluklarını belirliyoruz. Resmetmeye gerek duymadım. Varsayılan tedarikçiyi kullanıyorum. Sihirbazın son kısmında , özet mevcut.
Özet kısmında altını taradığım URL’yi ileride kullanacağız. Bu sırada router’ı yapılandıralım. Router’ın yapılandırılması;
– Domain Suffix’i
– DNS adresi
– NW-CA tanımı
– Router’a sertifika alımı
şeklinde olacaktır. Router’ın ilgili interface’ine IP ataması yapılmıştır.
DNS suffix’i ve DNS ip’sinin belirlenmesi üstteki gibidir.Router’ın ismininde çözülmesini istersek DC üzerinde kurulu olan DNS server’da router adına bir kayıt açabiliriz.
Üstte görüleceği üzere , router’ın isminide çözümledik. Router’ı komut arayüzünden yapılandırıyoruz (console). Security Device Manager ile rotuer’a bağlanmak istersek , bazı aşamalarda bizden yetkili bir kulalnıcı ve SSH ile güvenli bir bağlantı isteyecektir. Bu duruma karşılık , router’ı ssh ile bağlantı kabul edecek şekilde yapılandıralım. SSH için router’a bir adet sertifika üretelim.
Üstte gürüldüğü gibi , genel amaçlı bir sertifika ürettik. Şimdi SSH için bir kullanıcı oluşturalım ve SSH’i yapılandıralım.
SSH hazırlandı.Aşağıdaki resimden görüleceği üzere ,
yetkili kullanıcıyıda hazırladık. Bu işlemler birer zorunluluk değildir , SDM kullanmak isterseniz ihtiyacınız olacağından yazıya ekliyorum.
Router’a sertifika alımı ile devam edebiliriz. Öncelikle , router’ın NW-CA’ya güvenmesini sağlayalım. Bunun için router’da trustpoint belirliyoruz ve enrollment için kullanacağı URL’yi tanıtıyoruz.
Komutları tab tuşu ile tamamladığımdan , komutun tam halini farklı renkte tarıyorum. Burada yaşadığım bir problemi yazıya eklemek istiyorum. NW-CA otoritesi kurulurken , private key uzunluğunu , 4096 bit seçilmişti. Henüz resmetmediğim router’a otoriteyi tanıtma sırasında , router 4096 bit’lik NW-CA’nın sertifikasını okuyamadı(IOS versiyonundan olduğunu düşünüyorum). Ondan dolayı NW-CA otoritesini kaldırdım (remove role). Yeniden bir otorite kurdum. Private Key uzunluğu 2048 bit’liktir. Yeni otoritenin ismide CA-BS ’dir. Üstteki resimde görüldüğü gibi , trustpoint belirlerken , NW-CA’yı seçmiştim şimdi trustpoint’i CA-BS şeklinde değiştiriyorum.
Enrollment URL’sinde bir değişim yoktur. Şimdi , eklediğimiz trustpoint’i router tarafında yetkilendirelim (authenticate, sonrasında router’a sertifika alacağız). Bu arada , router’da hata denetimi için , debugging’i de açtığımdan ondan dolayı aralarda farklı mesajlar görülüyor. BS-CA ‘yi yetklilendirme yöntemimiz alttaki resminde görüldüğü gibidir.
Şimdi router ‘a sertifikasını alabiliriz. Yine gerekli komut aşağıdaki resimde görüldüğü gibidir. Router’a sertifika talebinde bulunduğumuzda , talebin tamamlanması için bizden bir password isteyecek. Gerekli olan password’e http://ca.nwtraders.msft/certsrv/mscep_admin link’inden ulaşabiliriz. Her talep için yeni bir parola üretilecektir!!
Üstte görüldüğü gibi , talebimizi gerçekleştirdik.Bizden istediği bilgileri doğru şekilde doldurmaya dikkat etmeliyiz ki , ileride sertifika ismi yada kullanım amacı konularında sorun yaşamayalım.
CA-BS yönetim konsolundaki , onaylanmış ve alınmış sertifikalara bakarsak , r1-nw isimli router’a alınmış belgeyi görebiliriz.
Üstte görüldüğü gibi router , istediğimiz isimde ve kriterlerde sertifikasını almıştır. Router’in running-config ‘iği açıp yine aldığı belgeyi oradan da görebiliriz. Bunun için ; show running-config komutunu çalıştırmak yeterlidir. Yada router üzerindeki sertifikaları görmek isterseniz,
üstteki gibi show crypto ca certificates verbose komutu da kullanılabilir.
Şimdi de , Adobe Acrobat 9 Pro ile pdf dökümanı hazırlayalım ve dökümanı , bir user sertifikası ile şifreleyelim. Burada , administrator kullanıcısına alınmış bir user sertifikasını kullanacağım. Domain Controller üzerine Adobe Acrobat yazılımını kurdum. Administrator kullanıcısının DC üzerinde yüklü olan sertifikalarına bakacak olursak ,
sahip olduğu user belgesini görebiliriz (personel isimli klasöre bakmayı da unutmayınız!). Bu belge ile oluşturacağımız pdf’i şifreleyelim. Acrobat 9 Pro yazılımı açıyorum.
PDF dökümanını kaydetmeden önce , sertifika ile şifreleme opsiyonunu seçiyorum. İlk ekranı next ile geçtiğimde , Acrobat 9 , şifreleme için kullanılabilecek olan sertifikaları gösteriyor.
Seçili olan , sertifika ile pdf’i şifreliyorum. PDF dökümanını , masaüstüne kaydedebiliriz. Deneme amacıyla , pdf dökümanını başka bir pc’ye alıp açmaya çalışırsak ,
resimde görüldüğü gibi hata alıyoruz , çünkü , pdf’i şifrelemek için kullandığımız belge test için kullandığım pc’de kurulu değil. Şifrelemek için kullandığımız sertifikayı test için kullandığımız pc’ye de kurarsak , pdf açılmaktadır.
Bu yazımızda da yine sertifikaların kullanımına dair örnekler verdik. Sonraki yazılarımızda yine otoritelerin yönetimi ve sertifikaların kullanımına dair uygulamalara devam edeceğiz.
Kaynak : Technet Library , Cisco Offical Web Site