صفحة 1 من 2 1 2 الأخيرةالأخيرة
النتائج 1 إلى 15 من 24

الموضوع: Certificate Server

  1. #1
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    Certificate Server



    بسم الله الرحمن الرحيم
    بعد التحية و التقدير للإخوة الكرام اعضاء المنتدى و مشرفيه على مجهودهم المحترم و المادة العلمية الغنية التى يفيدوا بها المهتمين بدراسة نظم المعلومات و كمشاركة منى لهذا العمل المحترم اود ان اطرق باب بعض النقاط فى هذا الموضوع و الذى ادعوا الله يوفقنى ان افيد من كان مهتماً قدر استطاعتى.

    سوف اتحدث فى هذا الموضوع عن شيئ فى منتهى الاهمية فى عالم الشبكات لأنه المنوط به تأمين و حماية البيانات فى هذا العصر الذى اصبح الجميع متصل بالآخر و البيانات و المعلومات تسبح فى اسلاك للجميع الامكانية فى الدخول اليها و تفقد محتوياتها و لهذا دعة الحاجة اللى وجود هذه الامكانية لحماية البيانات اثناء ترحالها عبر اسلاك الانترنت و لتوثيق و التأكد من ان الجهاز المٌرسل الية البيانات هو الوحيد القادر على قرأتها حتى لو حصل عليها اى شخص اخر .

    اولا دعونا نحاول ان نعلم ما هى ال Certificate : هى عبارة عن اثبات هوية لجهاز او لمستخدم او لسيرفر معين يحمل كود معين او digital signature لا يمكن تكرارها او تخمينها و كل certificate تحتوى على عنصران اساسيان و هما الprivet key و ال Public Key , ال privet يكون لدى الhost او ال user الذى تم اصدار ال certificate من اجله و هو مسؤل عن عمل الdecrypt للمحتوى المشفر , اما ال public فيتم نشرة و هو المسؤل عن عم encrypt لل data حيث لا يمكن قرائة البيانات الا عن طريق ال privet key الخاص بمسستقبل البيانات .




    ثانيا ال Certificate authority: و هو ال server المسؤل عن اصدار ال certificate و يمكن ان يكون standalone server او enterprise server و يسمى اول server فى الشبكة ب root CA بينما ال Child يسمى subordinate CA و هناك العديد من الاسباب التى تجعلنا ننشئ اكتر من certificate server فى ال network للبعد الجغرافى او لتخفيف الحمل فى حالة الشبكات الكبيرة او كنوع من الbackup و هذا على سبيل المثال لا الحصر و سوف نتطرق بالتفصيل الى هذا للتعرف اكتر على certificate authority hierarchy او ما يعرف بال PKI .

    ثالثا certificate template : و هو هذا القالب الذى تتحدد وظيفة ال certificate من خلاله كما يتحدد ال permission لهذه ال certificate كما يتم تحديد العديد من الخصائص للcertificate من خلال certificate template modification و هناك ثلاث اصدارات للtemplates هم V1 ,V2 ,V3 .

    و دعونا نتجول اكثر داخل الـ Certificate Authority عبر المشاركات التالية .

    PKI Hierarchy

    Root CA

    Intermediate CA

    Issuing CA

    Certificate Templates

    Certificate Request

    "Certificate revocation list "CRL

    "Online Responder "OCSP

    Trusted Root
    التعديل الأخير تم بواسطة M@hmoud ; 20-11-2012 الساعة 23:15

  2. #2
    عضو
    تاريخ التسجيل
    Nov 2005
    المشاركات
    264
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: Certificate Server

    بارك الله فيك يا بشمهندس محمود موضوع مهم و فى انتظار باقي الشرح

  3. #3
    عضو ذهبي
    تاريخ التسجيل
    Mar 2009
    المشاركات
    1,756
    الدولة: Egypt
    معدل تقييم المستوى
    15

    رد: Certificate Server

    ـسلم يا بشمهندس
    شرح مبسط ورائع
    فى انتظار اكتمال الموضوع

    وكل عام وانتم بخير جميعا
    [CENTER]
    [B][URL="http://arabhardware.net/forum/showthread.php?t=374583&p=2701104#post2701104"] [/URL][/B][/CENTER]
    [CENTER][B][/B][/CENTER]
    [CENTER][B][URL="http://arabhardware.net/forum/showthread.php?t=374583&p=2701104#post2701104"]مراجعة للشاشة الرائعة

    [/URL][/B][/CENTER]
    [CENTER][B][URL="http://arabhardware.net/forum/showthread.php?t=374583&p=2701104#post2701104"]Samsung SyncMaster S24B750V Series 7 [/URL][/B]

    [/CENTER]

  4. #4
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    مشكور اخوتى الكرام على اهتمامكم.

  5. #5
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    Root CA
    هو اول certificate authority فى ال Network , قد يكون هو الوحيد و يتولى اصدار الشهادات لجميع الاجهزة فى الشبكة , او قد يكون لدية Child او اكتر يتولوا اصدار الشهادات معه , او قد يكون offline root ca و فى هذه الحالة تكون مهمته اصدار شهادات للـ Child's فقط .
    اذا عندما تقوم بتنزيل Certificate authority role على السيرفر فهذا يعنى انة اصبح لديك ما يسمى بالـroot ca يمكنك ان تكتفى بالعمل بة فقط او يمكن ان يصبح لدية اكتر من Child كما بالشكل التالى .



    طبعا هذا يتوقف على حجم الشبكة و لكن اذا كنا نتعامل مع شبكة بهذا الحجم فلابد ان نكون على معرفة بما يعرف بـ:
    Offline Root CA
    و هو عبارة عن سيرفر مهمتة الوحيدة اصدار subordinate certificates و يكون فى بيئة منعزلة تماما و لا يكون هناك داعى لتشغيله حتى الا فى حالة اصدار ال Subordinate certificate او تجديدها و ذلك بغرض حمايته فى الاساس من اى هجوم من داخل الـ network او خارجها .

    و لذلك يجب مراعاة ان يكون هذا ال server بالتحديد خارد الدومين لكى نتأكد تمام انه فى بيئة منعزلة بالكامل , و يمكن ان يعمل بنظام تشغيل standard edition .

    و سوف نبدأ معاً اعداد ال offline root ca

    طبعا سوف نقوم باختيار add role ثم



    بعد ذلك سوف يسالنا عن اى roles سوف نقوم بتنزيلها تحديدا .



    1- هو ال certificate authority و هى ال role المسؤله عن اصدار ال certificate .
    2- من خلال هذه role تقوم بانشاء web server ليستجيب لل certificate request و لكن داخل ال domain فقط
    3-online responder و هو يقوم بدور لا غنى عنه خاصة فى الشبكات الكبيرة لانة يتيح للclients التحقق من ال certificate revocation list مع كبر حجمها فى اقل وقت ممكن .
    4 - مسؤلة عن اصدار ال certificate لل network devices .
    5- يتيح انشاء web server يمكن لل external users من الدخول علية .
    6-يتيح لل external domains بعمل policy enrollment عبر استخدام ال web server .

    سوف نتطرق الى معظم تلك الroles فيما بعد ان شاء الله و لكن الان سوف نقوم بتنزيل certificate authority فقط .



    لو لاحظتم ستجد انة لا يمكنك اختيار ال enterprise و هذا ببساطة لاننا نستخدم جهاز workgrop و يمكن ان يظهر لك ال installation بنفس الشكل داخل الdomain اذا كنت تقوم بتنزيلة ب account ليس عضو فى ال enterprise administrators group .
    و الفرق بين هذا و ذاك هو ان الاول يعمل بالتكامل مع ال active directory و يتم عمل publish لل certificate و ال certificate revocation list داخل ال active directory كما يمكن فقط داخل الانتربريس عمل autoenrolment لل certificate عن طريق GPO و تعديل ال certificate template بينما لا يقوم ال standalone باى من هذا .

    و بعد ذلك احدد هل هذا ال root ca ام انة سيكون child ل root ca او حتىchild ل subordinate آخر كما رأينا بالشكل الأعلى .



    ثم يسالنا هل نملك certificate خاصة لهذا الserverام نريدة ان يقوم بانشاء certificate جديدة خاصة بال server .. فى حالتنا سوف نقوم باختيار New certificate .



    و بعد ذلك احدد ال cryptography للcertificate و يجب ان نضع فى اعتبارنا ال length الخاص بالcertificate , حيث انه تجمعه علاقة طردية مع ال security و علاقة عكسية مع ال performance و لذلك كلما تدرجنا فى ال hierarchy يفضل تقليل ال length لل certificate cryptographic .




    و بعد ذلك احدد ال certificate authority name .


    ثم احدد العمر الافتراضى للcertificate الخاصة بالserver .


    و من هنا احدد المكان الذى سيتم حفظ ال database الخاصة بالسيرفر و التى تحتوى على ال revocation list و ال certificate request ..و ال log file ايضا .



    و اخيرا تظهر لنا ال summary لنضغظ install لتبدا عملية التنزيل.



    و بهذا يكون لدينا اول certificate authority فى الnetwork او ما تسمى بالـ root ca .
    التعديل الأخير تم بواسطة M@hmoud ; 20-11-2012 الساعة 23:23

  6. #6
    عضو
    تاريخ التسجيل
    Nov 2005
    المشاركات
    264
    الدولة: Egypt
    معدل تقييم المستوى
    0

    رد: Certificate Server

    هل فيه مشاكل لو فمت بتثبيت هذه الرول علي سيرفر الدومين؟

  7. #7
    عضو
    تاريخ التسجيل
    Oct 2010
    المشاركات
    33
    معدل تقييم المستوى
    0

    رد: Certificate Server

    بارك الله فيك
    وفي انتظار تكمله الموضوع

  8. #8
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    اقتباس المشاركة الأصلية كتبت بواسطة Mzar720 مشاهدة المشاركة
    هل فيه مشاكل لو فمت بتثبيت هذه الرول علي سيرفر الدومين؟
    عاجلاً او آجلاً سوف يتم تنزيل ال certificate authority داخل ال domain
    و لكن الفكرة عند تصميم ال PKI hierarchy يتم الوضع فى الاعتبار حجم ال Network و ال certificate request و اهم شئ درجة الامان التى نريد تحقيقها عبر هذا التصميم ..و عند الوضع فى الاعتبار اننا نتعامل مع certificate server و الذى هو مسؤل عن تأمين ال network بالكامل يجب ان نحطاط الى اقصى درجة فى التعامل معه , و لهذا السبب يتم وضع ال root ca و ال intermediate ca فى بيئة منعزلة بالكامل و اعداد ال issuing ca فقط داخل ال internal network حيث فى حالة حدوث مشكلة او تعرض لاختراق بااى وسيلة ..يمكننا فى هذه الحالة بسهولة اذالته و تنزيل غيرة دون التعرض الى باقى الservers و سوف اوضح هذه النقطة اكثر فى المشاركة القادمة بأذن الله.
    التعديل الأخير تم بواسطة M@hmoud ; 27-10-2012 الساعة 15:02

  9. #9
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    PKI Hierarchy

    و هى تمثل عدد الCAs فى الشبكة و وظيفة كلاً منم و موقعه , و من الطبيعى ان لا يمر هذا المصطلح على ذهنك اذا كان لديكsingle CA , و لكن اذا ذاد عدد ال CAs عن سيرفر واحد يصبح من الهام جدا التفكير فى هذا الامر و دراستة بشكل جيد .

    يمكن ان تكون ال PKI Hierarchy من درجة واحدة و فى هذه الحالة يصبح ال Root ca هو ال issuing ca
    " الـ Issuing CA هو اى CA يقوم باصدار ال Certificates للـ Clients بمعنى انة اذا كان الـroot ca هو الذى يصدر الشهادات الى المستخدمين يطلق عليه issuing ca ايضا فهذه هى وظيفته "

    و يمكن ان تكون الـ PKI hierarchy من درجتان فقط بمعنى ان يكون هناك Root CA ثم هناك Subordinate CA يعمل على اصدار الـ certificate يسمى فى هذه الحالة بـ issuing CA ايضا .

    و يمكن ان تكون من ثلاث درجات root ca و issuing ca و يتوسطهم ما يسمى بالـ Intermediate CA او الـ policy CA كما بالشكل التالى .

    و لكى نفهم هذا جيدا لابد ان نعى انة ليس هناك من يسمى بـ issuing ca او intermediate ca فى اعدادت الـ certificate authority انما هذه وظائف نخصصها نحن لهذه ال Subordinates لاعتبارات كثيرة امنية او جغرافية او كنوع من الbackup او لتخفيف الحمل , و عند اعداد الـ certificate authority لا يوجد هناك الآ root ca و subordinate ca .

    التعديل الأخير تم بواسطة M@hmoud ; 20-11-2012 الساعة 23:40

  10. #10
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    Intermediate CA

    هو عبارة عن سيرفر يتوسط موقعه بين الـRoot CA و الـ Issuing CA و ذلك بغرض تحقيق قدر اعلى من الـتأمين للـ PKI Hierarchy , و معنى وجود Intermediate Ca فى الشبكة ان هناك ثلاث درجات او اكثر فى الـ PKI hierarchy


    و سوف نبدا الان فى اعداد الـIntermediate و سوف يكون workgroup ايضا كالـ Root ca
    و يمكن ان يعمل على نظام تشغيل standard edition .

    نبدأ عملية ال installation و نختار certificate authority




    طبعا سيكون هذا subordinate و ال parent هو ال root ca







    فى ال wizard القادمة سوف يقوم بسؤالنا عن parent ca و عن الطريقة التى سوف نطلب بها ال subordinate certificate و يعتبر هذا مجرد certificate request و انت تحدد فقط الطريقة التى ستقوم بعمل ال request من خلالها .


    سوف نختار computer name و نحدد اسم ال parent



    بعد ذلك نختار مكان ال database



    ثم install


    و اخيرا بعد انتهاء عملية التثبيت يخبرك ان ال ca ليس جاهزا للعمل بعد فى هذا الserver فقد تم طلب ال certificte و لكن لم يتم الموافقة عليها من قبل ال parent و لم يتم تثبيتها الى الان فى ال subordinate .




    -----------------------------------------------------------------------------------------------------
    انتهت المرحلة الاولى من الاعدادات على الsubordinate و سوف نذهب الان الى ال root ca لنجد ال certificate request فى ال pending requests و نلاحظ جيدا ان ال certificate template هى ال SubCA



    قبل ان نقوم بعمل approve لهذه ال request هناك شئ ضرورى لابد من عملة و هو اعداد ال certificate revocation list distributed point او CDP و سوف اشرح هذا بالتفصيل و لكن الان فقط قم بنسخ محتويات هذا ال folder


    الى web page virtual directory فى web server "سيرفر آخر" ثم من ال properties لل root ca اختار extension
    و بعد ذلك قم باضافة CDP جديدة عن بالضغط على add و ادخال حقول ال DNS name و ال CertEnroll الى المسار التالى كما هو فى الشكل .
    http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl




    و اخيرا قم بعمل issue لل requested certificate


    بعد ذلك duple click على ال issued certificate و اختار details


    و بعد الانتهاء نجد الملف بهذا الشكل



    قم بنسخة على فلاشة او ضعه فى shared folder لكى يتم عمل install له فى ال intermediate .
    ------------------------------------------------------------------------------------------------------------------------------
    نعود مرة اخرى لل intermediate CA بعد نقل ال certificate على فلاشة او وضعها فى shared folder
    نضغط كليك يمين على ال CA و نختار all tasks ثم install CA certificate


    نحتار ال certificate


    و بهذا يصبح ال intermediate CA جاهز للعمل و لاعطاء ال certificates لل issuing CA ارجو ان اكون وُفقت فى ايصال المعلومة و تحياتى و تمنياتى بالتوفيق للجميع .
    التعديل الأخير تم بواسطة M@hmoud ; 20-11-2012 الساعة 23:54

  11. #11
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    Issuing CA

    و هذه عبارة عن وظيفة تطلق على الـ Server الذى يقوم باصدار الـ Certificates او الذى يتعامل معه الـ Client مباشرة حتى لو كان هو الـ root CA .
    و لكى يقوم الCA باصدار مختلف الشهادات الى المستخدمين لابد ان تتوافر فية عد شروط :

    1- ان يكون نظام التشغل Enterprise Edition او Data center Edition
    2- ان يكون داخل الدوميين
    3- ان يقوم بتنزيلة عضو داخل مجموعة الـ Enterprise Administrators
    4- ان يتم تنزيل الـ Enterprise CA و ليس Standalone CA

    و نبدأ الان فى اعداد اول Issuing CA او Enterprise CA فى الشبكة و سوف نقوم بتنزيل
    certificate authority web enrollment role معه بما سيتيح لهذه ال CA فيما بعد الاستجابة لطلبات الحصول على شهادة من المستخدمين عبر صفحة الويب .




    بالطبع سنختار enterprise ca



    ثم نختار subordinate بالطبع سيكون subordinate لل intermediate CA





    سوف نجعل ال key length 1024 و القرار عائد اليك .





    فى الخطوة التالية سوف يسألنا عن الطريقة التى نريد عمل بها certificate request من ال parent "intermediate" و فى هذه الحالة سوف ننشئ request file و نحفظه على removable device لان ال root و ال intermediate فى network منعزلة .




    لاننا اخترنا web enrollment



    و بعد انتهاء التثبيت يخبرنا ان الserver غير جاهز للعمل بعد



    ----------------------------------------------------------------------------------------------------------------
    نذهب الان الى intermediate ca لعمل الآتى

    1- نقل اى ملف بامتداد crl من هذا المسار C:\Windows\System32\CertSrv\CertEnroll الى ال physical directory الخاص بال web page virtual directory الذى اعددناه من قبل
    2- ضبط ال CDP من properties ثم extension



    3- عمل submit لل request file الخاص بال issuing ca ثم عمل issue لة







    4- حفظ ال issued certificate الى file لارسالة الى issuing ca


    ---------------------------------------------------------------------------------------------------------
    نعود مرة اخرى الى ال issuing ca لعمل install لل certificate





    و بهذا نجد ان ال CA جاهز للعمل مما يعنى انة جاهز لاصدار ال certificates .


    و ال certificate chain بهذا الشكل



    و من الان لن نعد فى حاجة الى ال root ca او ال intermediate ca الا اذا اردنا اضافة ca جديد او لتجديد ال certificate الخاصة بهم .
    التعديل الأخير تم بواسطة M@hmoud ; 21-11-2012 الساعة 00:29

  12. #12
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    Certificate template
    بعد اعداد اولEnterprise certificate authority فى ال network تصبح لدينا العديد من الامتيازات الاضافية التى لا يقدمها لنا ال standalone CA اولها القدرة على التعديل فى ال certificate templates او حتى مجرد تصفح ال certificate templates .



    و ال certificate templates من خلالها يمكننا التعرف على صيغة و محتويات كل certificate كما ايضا تمكننا من تحديد اى مجموعة من ال clients يمكنهم عمل enroll لاى نوع من ال certificate و تحدد عملية ال enrollment هل ستكون autoenrollment او enrollment عادى و تحدد ال permissions لل certificates و العديد من ال feature من خلالها. و سوف نستعرض هذا اكثر فيما يلى .

    اولا هناك ثلاث انواع من ال template versions

    V1-
    و هى تنزل by default مع ال ca و لا يمكن حذفها و تعمل ابتداءا من windows server 2000 فيما اعلى .و لا يمكن سوى تعديل ال security permission بها و لا يمكن عمل autoenroll بها الا للcomputer certificate

    v2
    تعمل فقط مع 2008r2 او
    2008 enterprise and data center edition و يمكن من خلالها تعديل العديد من الخصائص فى ال certificate كما تتيح ال autoenrollment

    v3
    لا تختلف كثيرا عن v2 و لكنها تدعم
    Suite B cryptographic algorithms و تعمل مع windows server 2008r2 all edition و 2008 enterprise and data center edition.

    و الشكل التالى يوضح certificate template v1




    ثم باختيار duplicate لنفس ال template



    و اختيار ايا من ال two versions التاليين
    V2=2003 و V3=2008



    سوف تظهر لنا ال certificate template بهذا الشكل


    هناك العديد من الاختيارات او الخصائص التى يمكن تعديلها من خلال ال certificate template و سوف نلقى نظرة على بعضها او اهمها الان.



    من هنا نحدد من له حق عمل enroll او autoenroll لل certificate


    من هنا فى حالة قمت باصدار certificate معينة او كانت هناك certificates من ca ذائل يمكنك تحدد نوع ال certificate التى تريد ان تستبدلها و ستوقوم هى بهذا الدور.



    سنلاحظ اولا ان ال propose هو encryption and signature و هذا يختلف من template لآخرى
    و من هنا اضع ال certificates التى سيتم اصدارها من خلال هذا ال template فى الارشيف لكى يستطيع ال recovery agent استرجاعها فى حالة فقدانها
    كما استطيع ان احدد ال certificate key length من هنا.
    كما استيط ان احدد بامكانية نسخ ال privet key ام لا


    و من هنا احدد هل يتطلب ال certificate request الى approval ام لا

    و هناك العديد من الخصائص التى يمكن تعديلها او تغيرها من ال certificate template حسب الحاجة و هذه كانت اطلالة على اهمها ..اتمنى ان تتاح للجميع الفرصة لتنزيل الserver و تصفح الانواع العديدة من الcertificates templates .

    و اخيرا و بعد الانتهاء من ضبط ال certificate template يجب ان تعلم جيدا انها لا تزال غير جاهزة لل requests حتى الان ما لم تضعها فى المكان المخصص لاصدار الcertificates حيث ان الاول يمثل مخزن للtemplates اما هذا فهو مجموعة الtemplates التى انتقيها من هذا المخزن لاصدارها .

    التعديل الأخير تم بواسطة M@hmoud ; 21-11-2012 الساعة 01:44

  13. #13
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    Unhappy رد: Certificate Server

    Certificate Request

    هناك العديد من الطرق يمكن لل clients من خلالها عمل certificate request و تنقسم بشكل رئيسى الى طريقتان و هما
    Manually request او Enrollment و الاخرى automatically request او autoenrollment

    1- Manually request
    و تعنى ان ال client بنفسة سوف يقوم بطلب ال certificate من ال certificate authority شرط ان يكون هذا ال client لدية enroll permission للcertificate التى سوف يطلبها



    و تبقى بعد ذلك فقط اختيار الوسيلة التى سوف يقوم من خلالها عمل request لهذه ال certificate

    اولا عبر ال MMC











    و هنا نقوم باختيار البحث عن certificate فى ال Active Directory



    و بعد ذلك سوف تظهر لنا مجموعة ال certificate التى لدينا read permission لها ..اقوم باختيار واحدة منها
    ثم الضغط على enroll شرط ان يكون لديك enroll permission لها .




    اما الوسيلة الاخرى هى عبر ال web page
    و by default عندما تقوم بتنزيل certificate authority web enrollment يتم انشاء virtual directory page فى ال default web site بهذا الاسم certsrv
    يقوم ال client بدخول هذا الsite عبر بروتوكول http او اhttps ثم بعد ذلك قوم بكتابة ال credential ليدخل الى الصفحة الرئسية.


    بعد الدخول على ال page لن تواجة صعوبة كبيرة فى عمل ال request

    --------------------------------------------------------------------------
    الطريقة الثانية هى automatic request او autoenrollment
    و هذه الطريقة لا يتدخل فيها ال clients من قبله و انما تتم عبر استخدام ال group policy من خلال ال system administrator
    و المرحلة الاولى لضمان حصول الclient على الcertificate تلقائيا عن طريق اعطائهم الpermission الملائمة من ال certificate template



    ثم نذهب الى هذا المسار فى ال Group Policy
    تحت ال ou او ال domain الذى يحتوى على على الاعضاء المراد اعطاء ال certificate لهم
    User Configuration >>>Security Setting >>>>Public Key Policies >>>>Certificate Services Client - Auto-Enrollment
    و بعد ذلك عمل enable لل autoenrollment كما موضح بالصورة



    اما بالنسبة للcomputer certificate
    فسوف نذهب الى هذا المسار فى ال group policy
    Computer Configuration>>>>Security Setting >>>>Public Key Policies >>> Automatic Certificate Request Setting
    ثم نضغط كليك يمين و نختار New Automatic Certificate Request و نختار ال Template المراد عمل deploy لها و فى هذه الحالة ليس ضروريا اعطاء autoenrollment permission لل Computers Objects




    كان هذا ملخص بسيط لل certiicate request و ال Auto-Enrollment .ارجو ان يكون الشرح ملبى لرغباتكم .و ارحب باى اسستفسارات او تعليقات , وللموضوع بقية ان شاء الله.
    التعديل الأخير تم بواسطة M@hmoud ; 21-11-2012 الساعة 02:02

  14. #14
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server

    Certificate Revocation List

    هى عبارة عن قائمة تحتوى على جميع ال revoked certificate او ال Expired Certificate يقوم كل client بمراجعتها قبل ان يتعامل مع اى certificate صادرة من ال CA و هذه القائمة يتم تخزينها تلقائية فى ال AD و لا يكون هناك صعوبة فى الوصول اليها من قبل المستخدمين داخل الشبكة و بالتالى لا تطلب مننا اى اعدادات .

    و لكن هناك بعض الحالات تقتضى الحاجة فيها الى الخوض داخل اعدادت هذه القائمة على سبيل المثال
    - اذا كان سيتضمن ال PKI Hierarchy الخاص بالشبكة Offline root caكما سبق و اوضحنا فى المشاركات السابقة.
    -اذا كان لديك web site او اى خادم اخر فى ال DMZ و ال issuing ca فى الشبكة الداخلية و فى forest مختلفة
    فى هذه الحالة سوف يستدعى الامر الى اعداد ال CRL و ال CDP و هذا يأخدنا الى تعريف ال CDP .

    Certificate revocation list distributed point "CDP"
    عبارة عن Accessible location لل external users يمكن الدخول علية و تحميل ال CRL
    و فيما سبق من شرح قمنا بالعكس حيث انشأنا CDP خاصة بالExternal server "offline root ca " داخل ال Internal network او ال forest .

    ولكن قبل ان نقوم بتحديد ال CDP يجب ان نتأكد ان هذا ال location بالفعل يحتوى على ال CRL و الا ما الداعى لجعلة CDP . و لضمان هذا هناك طريقتان


    -manually
    1- قم بتصفح هذا الفولدر C:\Windows\System32\certsrv\CertEnroll
    2- انسخ جميع الملفات ذات امتداد crl الى فلاش ميمورى
    3- بعد ذلك قم بنقل هذه الملفات الى physical path الخاصة بال web page

    -automatically
    1- لابد ان تكون هناك trust relationship بين ال web server و بين ال root ca
    2- نقوم بانشاء local folder على الهارد ديسك الخاص بال web server
    نقوم بعمل share للفولدر و اعطاء read and change permission لل ca computer acount
    و اعطاءه read and write
    NTFS permission
    3- نذهب ال CA و نختار properties ثم extensions
    4- نتاكد ان ال extension هو CDP ثم نضغط Add
    5 -فى المربع الحوارى الخاص بال location ندخل ما يوازى هذه القيم
    file://\\<servername>\<share>\<CaName><CRLNameSuffix><Del taCRLAllowed>.crl
    على سبيل المثال لو كان ال web server اسمة server2 و ال shared folder اسمة crl سيكون ال location كالتالى
    file://\\server2\CRL\<CaName><CRLNameSuffix><DeltaCRLAllo wed>.crl
    6- ثم سنختار من ال extensions tab
    Publish CRLs to this location
    Publish Delta CRLs to this location
    بعد ذلك اضغط OK و سوف يطلب منك اعادة تشغيل ال service
    7- بعد الانتهاء نعود ال ca console نقف على ال revoced certificates ثم all tasks ثم publish اذا لم تظهر لك error message فهذا يعنى ان الاعدادت صحيحة و ان ظهرت فهذا يتطلب مراجعة الخطوات من جديد.

    * الان و قد تأكدنا ال web server يحتوى على تلك القائمة بال revoked certificates , نريد ان نتاكد ان الclients سوف يكونوا على علم بهذه ال CDP و ذلك باضافتها مع ال Issued certificate .

    و لاعداد ال CDP عليك اتباع الخطوات التالية :
    1- نقوم بانشاء web page virtual directory و نحدد ال physical location على الفولدر الجديد الذى نقلنا الية ال CRL
    2-و نعود الى ال CA server و نختار properties لل ca و بعد ذلك Extensions
    3- نتأكد ان ال CDP مختارة ثم نضغط add
    4- فى المربع الحوارى الخاص بال location ندخل ما يوازى هذه القيم http://<FQDN_of_Web_Server/<CRL_directory_name>/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    على سبيل المثال , اذا كان ال fqdn الخاص بال web server هو server2.contoso.com و كان ال virtual directory web page اسمها crl اذا سيكون العنوان كالتالى
    http:// server2.contoso.com/crl/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
    5- بعد ذلك نتأكد ان الاختيارات التالية محددة لهذا المدخل الجديد
    Include in CRLs. Clients use this to find Delta CRL locations.
    Include in the CDP extension of issued certificates
    6- ثم بعد ذلك اضغط ok و سوف يطلب اعادة تشغيل الخدمة.
    7- للتأكد ان ال CDP تم اعدادها بشكل صحيح اذهب الى متصفح خاص بجهاز فى الشبكة التى سوف يخدمها ال web server ثم ادخل على هذه الصفحة http:// server2.contoso.com/crl/contoso root ca.crl
    سوف يضهر لك اختيار تحميل ال crl فى هذه الحالة و ان لم يظهر قم بمراجعة الاعدادات .

    التعديل الأخير تم بواسطة M@hmoud ; 21-11-2012 الساعة 02:20

  15. #15
    عضو
    تاريخ التسجيل
    Nov 2011
    المشاركات
    50
    معدل تقييم المستوى
    0

    رد: Certificate Server



    بسم الله الرحمن الرحيم

    Online Responder

    كما تناولنا فى المشاركة السابقة و علمنا ماذا تحتوى الـ CRL و ماذا تمثل ال CDP و عرفنا ان ال Client يقوم بتحميل الـ CRL من خلال CDP معين لكى يتاكد من حالة كل شهادة سوف يبدا بالتواصل معها .
    و يمثل الـ online responder وسيلة اخرى تتيح لل client الحصول على معلومات عن حالة كل شهادة سوف يتعاملوا معها حيث يقوم الـ online responder server بتحميل ال CRL بالنيابة عن ال users و كل ما على ال clients فعلة بعد ذلك هو الذهاب الى ال online responder و الاستعلام عن حالة شهادة معينة .

    و تدعوا الحاجة الى استخدام ال online responder بشكل ضرورى فى الشبكة فى الحلات الآتية :

    - اذا كان هناك العديد من ال clients يتصلوا بالشبكة عن بعد عن طريق vpn connection و سرعة الاتصال لديهم لا تتيح تحميل ال CRL بوقت مناسب
    - اذا كانت الشبكة تتطلب قدرا كبيرا من revocation requests ما يسبب حمل ذائد على الشبكة اذا قام كل مستخدم بتحميل ال CRL على حدى فى وقت واحد ..و يحدث هذا كثيرا فى حالة استخدام ال secure mail مثلا
    -توزيع ال CRL الخاصة ب non Microsoft CAs على Microsoft clients
    - لا تريد الشركة لموظفيها الاضطلاع على القائمة كاملة بال revoked certificate عوضا عن ان يقوم كل مستخدم بتفقد حالة الشهادة التى تتصل به فقط

    و يتكون ال online responder من الآتى :-

    Online Responder service مسؤلة عن استقبال الاستعلام من ال clients و الاستجابة اليهم و تعمل بشكل منفصل عن ال certificate authority

    Online Responder هو السيرفر الذى يستضيف ال online responder service و ال onlin الresponder web proxy و يمكن ان يتم تنزيلة على ال CA و لكن لا يفضل ذلك كما يمكن ان يخدم online responder واحد اكثر من CA
    Online Responder Web proxy يتم انشاءة by default مع ال online responder service و يقوم باستقبال الاستعلامات و الاستجابة لها و عمل cache لها لفترة محددة
    Revocation configuration و هى تتضمن مجموعة الاعدادات المطلوبة التى تتيح لل online responder الاستجابة ال revocation requests ل ca معين و تشمل CA certificate تسجيل online responder certificate و تحديد ال revocation provider
    Revocation provide هى عبارة عن ال location الذى سوف يحصل منة ال OCSP على ال CRL
    Online Responder Array قد تحتوى على Online responder او اكثر و يتم اضافة اكثر من online responder الى ال array لعدة اسباب منها الجغرافية و القدرة على التوسع او كنوع من ال High availability
    Online Responder Array controller عندما يتم اضافة اكتر من onlinr responder الى array يجب ان يتم اعداد واحد منهم كـ array controller مع ذلك لكل online responder الاعدادات الخاصة به و لكن فى حالة تقوم ال array controller configuration بعمل overwrite للاعدادات الاخرى .

    * اعداد الـ online responder لا يتطلب الكثير من الخطوات و لكن لابد اولا اعطاء ال online responder computer object التصريح لطلب الشهادة الخاصة بة ثم وضع ال certificate template مع ال templates المعينة للاصدار.






    ثم بعد ذلك نذهب الى ال online responder لتنزيل ال service و اعداد ال revocation configuration




















    و بهذا يصبح الonline responder جاهز الى العمل و لا يتبقى سوى ارفاقه مع ال issued certificate من ال CA
    properties <<<extensions <<<AIA<<<Add



    ثم ادخال http://<DNS name>/ocsp



    التعديل الأخير تم بواسطة M@hmoud ; 21-11-2012 الساعة 22:43

صفحة 1 من 2 1 2 الأخيرةالأخيرة

الكلمات الدلالية لهذا الموضوع

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •