Certificate Server

[M@hmoud]

بسم الله الرحمن الرحيم
بعد التحية و التقدير للإخوة الكرام اعضاء المنتدى و مشرفيه على مجهودهم المحترم و المادة العلمية الغنية التى يفيدوا بها المهتمين بدراسة نظم المعلومات و كمشاركة منى لهذا العمل المحترم اود ان اطرق باب بعض النقاط فى هذا الموضوع و الذى ادعوا الله يوفقنى ان افيد من كان مهتماً قدر استطاعتى.

سوف اتحدث فى هذا الموضوع عن شيئ فى منتهى الاهمية فى عالم الشبكات لأنه المنوط به تأمين و حماية البيانات فى هذا العصر الذى اصبح الجميع متصل بالآخر و البيانات و المعلومات تسبح فى اسلاك للجميع الامكانية فى الدخول اليها و تفقد محتوياتها و لهذا دعة الحاجة اللى وجود هذه الامكانية لحماية البيانات اثناء ترحالها عبر اسلاك الانترنت و لتوثيق و التأكد من ان الجهاز المٌرسل الية البيانات هو الوحيد القادر على قرأتها حتى لو حصل عليها اى شخص اخر .

اولا دعونا نحاول ان نعلم ما هى ال Certificate : هى عبارة عن اثبات هوية لجهاز او لمستخدم او لسيرفر معين يحمل كود معين او digital signature لا يمكن تكرارها او تخمينها و كل certificate تحتوى على عنصران اساسيان و هما الprivet key و ال Public Key , ال privet يكون لدى الhost او ال user الذى تم اصدار ال certificate من اجله و هو مسؤل عن عمل الdecrypt للمحتوى المشفر , اما ال public فيتم نشرة و هو المسؤل عن عم encrypt لل data حيث لا يمكن قرائة البيانات الا عن طريق ال privet key الخاص بمسستقبل البيانات .




ثانيا ال Certificate authority: و هو ال server المسؤل عن اصدار ال certificate و يمكن ان يكون standalone server او enterprise server و يسمى اول server فى الشبكة ب root CA بينما ال Child يسمى subordinate CA و هناك العديد من الاسباب التى تجعلنا ننشئ اكتر من certificate server فى ال network للبعد الجغرافى او لتخفيف الحمل فى حالة الشبكات الكبيرة او كنوع من الbackup و هذا على سبيل المثال لا الحصر و سوف نتطرق بالتفصيل الى هذا للتعرف اكتر على certificate authority hierarchy او ما يعرف بال PKI .

ثالثا certificate template : و هو هذا القالب الذى تتحدد وظيفة ال certificate من خلاله كما يتحدد ال permission لهذه ال certificate كما يتم تحديد العديد من الخصائص للcertificate من خلال certificate template modification و هناك ثلاث اصدارات للtemplates هم V1 ,V2 ,V3 .

و دعونا نتجول اكثر داخل الـ Certificate Authority عبر المشاركات التالية .

PKI Hierarchy

Root CA

Intermediate CA

Issuing CA

Certificate Templates

Certificate Request

"Certificate revocation list "CRL

"Online Responder "OCSP

Trusted Root

[Mzar720]

بارك الله فيك يا بشمهندس محمود موضوع مهم و فى انتظار باقي الشرح

[ellassy]

ـسلم يا بشمهندس
شرح مبسط ورائع
فى انتظار اكتمال الموضوع

وكل عام وانتم بخير جميعا

[M@hmoud]

مشكور اخوتى الكرام على اهتمامكم.

[M@hmoud]

Root CA
هو اول certificate authority فى ال Network , قد يكون هو الوحيد و يتولى اصدار الشهادات لجميع الاجهزة فى الشبكة , او قد يكون لدية Child او اكتر يتولوا اصدار الشهادات معه , او قد يكون offline root ca و فى هذه الحالة تكون مهمته اصدار شهادات للـ Child's فقط .
اذا عندما تقوم بتنزيل Certificate authority role على السيرفر فهذا يعنى انة اصبح لديك ما يسمى بالـroot ca يمكنك ان تكتفى بالعمل بة فقط او يمكن ان يصبح لدية اكتر من Child كما بالشكل التالى .



طبعا هذا يتوقف على حجم الشبكة و لكن اذا كنا نتعامل مع شبكة بهذا الحجم فلابد ان نكون على معرفة بما يعرف بـ:
Offline Root CA
و هو عبارة عن سيرفر مهمتة الوحيدة اصدار subordinate certificates و يكون فى بيئة منعزلة تماما و لا يكون هناك داعى لتشغيله حتى الا فى حالة اصدار ال Subordinate certificate او تجديدها و ذلك بغرض حمايته فى الاساس من اى هجوم من داخل الـ network او خارجها .

و لذلك يجب مراعاة ان يكون هذا ال server بالتحديد خارد الدومين لكى نتأكد تمام انه فى بيئة منعزلة بالكامل , و يمكن ان يعمل بنظام تشغيل standard edition .

و سوف نبدأ معاً اعداد ال offline root ca

طبعا سوف نقوم باختيار add role ثم



بعد ذلك سوف يسالنا عن اى roles سوف نقوم بتنزيلها تحديدا .



1- هو ال certificate authority و هى ال role المسؤله عن اصدار ال certificate .
2- من خلال هذه role تقوم بانشاء web server ليستجيب لل certificate request و لكن داخل ال domain فقط
3-online responder و هو يقوم بدور لا غنى عنه خاصة فى الشبكات الكبيرة لانة يتيح للclients التحقق من ال certificate revocation list مع كبر حجمها فى اقل وقت ممكن .
4 - مسؤلة عن اصدار ال certificate لل network devices .
5- يتيح انشاء web server يمكن لل external users من الدخول علية .
6-يتيح لل external domains بعمل policy enrollment عبر استخدام ال web server .

سوف نتطرق الى معظم تلك الroles فيما بعد ان شاء الله و لكن الان سوف نقوم بتنزيل certificate authority فقط .



لو لاحظتم ستجد انة لا يمكنك اختيار ال enterprise و هذا ببساطة لاننا نستخدم جهاز workgrop و يمكن ان يظهر لك ال installation بنفس الشكل داخل الdomain اذا كنت تقوم بتنزيلة ب account ليس عضو فى ال enterprise administrators group .
و الفرق بين هذا و ذاك هو ان الاول يعمل بالتكامل مع ال active directory و يتم عمل publish لل certificate و ال certificate revocation list داخل ال active directory كما يمكن فقط داخل الانتربريس عمل autoenrolment لل certificate عن طريق GPO و تعديل ال certificate template بينما لا يقوم ال standalone باى من هذا .

و بعد ذلك احدد هل هذا ال root ca ام انة سيكون child ل root ca او حتىchild ل subordinate آخر كما رأينا بالشكل الأعلى .



ثم يسالنا هل نملك certificate خاصة لهذا الserverام نريدة ان يقوم بانشاء certificate جديدة خاصة بال server .. فى حالتنا سوف نقوم باختيار New certificate .



و بعد ذلك احدد ال cryptography للcertificate و يجب ان نضع فى اعتبارنا ال length الخاص بالcertificate , حيث انه تجمعه علاقة طردية مع ال security و علاقة عكسية مع ال performance و لذلك كلما تدرجنا فى ال hierarchy يفضل تقليل ال length لل certificate cryptographic .




و بعد ذلك احدد ال certificate authority name .


ثم احدد العمر الافتراضى للcertificate الخاصة بالserver .


و من هنا احدد المكان الذى سيتم حفظ ال database الخاصة بالسيرفر و التى تحتوى على ال revocation list و ال certificate request ..و ال log file ايضا .



و اخيرا تظهر لنا ال summary لنضغظ install لتبدا عملية التنزيل.



و بهذا يكون لدينا اول certificate authority فى الnetwork او ما تسمى بالـ root ca .

[Mzar720]

هل فيه مشاكل لو فمت بتثبيت هذه الرول علي سيرفر الدومين؟

[BOKBOK]

بارك الله فيك
وفي انتظار تكمله الموضوع

[M@hmoud]

هل فيه مشاكل لو فمت بتثبيت هذه الرول علي سيرفر الدومين؟

عاجلاً او آجلاً سوف يتم تنزيل ال certificate authority داخل ال domain
و لكن الفكرة عند تصميم ال PKI hierarchy يتم الوضع فى الاعتبار حجم ال Network و ال certificate request و اهم شئ درجة الامان التى نريد تحقيقها عبر هذا التصميم ..و عند الوضع فى الاعتبار اننا نتعامل مع certificate server و الذى هو مسؤل عن تأمين ال network بالكامل يجب ان نحطاط الى اقصى درجة فى التعامل معه , و لهذا السبب يتم وضع ال root ca و ال intermediate ca فى بيئة منعزلة بالكامل و اعداد ال issuing ca فقط داخل ال internal network حيث فى حالة حدوث مشكلة او تعرض لاختراق بااى وسيلة ..يمكننا فى هذه الحالة بسهولة اذالته و تنزيل غيرة دون التعرض الى باقى الservers و سوف اوضح هذه النقطة اكثر فى المشاركة القادمة بأذن الله.

[M@hmoud]

PKI Hierarchy

و هى تمثل عدد الCAs فى الشبكة و وظيفة كلاً منم و موقعه , و من الطبيعى ان لا يمر هذا المصطلح على ذهنك اذا كان لديكsingle CA , و لكن اذا ذاد عدد ال CAs عن سيرفر واحد يصبح من الهام جدا التفكير فى هذا الامر و دراستة بشكل جيد .

يمكن ان تكون ال PKI Hierarchy من درجة واحدة و فى هذه الحالة يصبح ال Root ca هو ال issuing ca
" الـ Issuing CA هو اى CA يقوم باصدار ال Certificates للـ Clients بمعنى انة اذا كان الـroot ca هو الذى يصدر الشهادات الى المستخدمين يطلق عليه issuing ca ايضا فهذه هى وظيفته "

و يمكن ان تكون الـ PKI hierarchy من درجتان فقط بمعنى ان يكون هناك Root CA ثم هناك Subordinate CA يعمل على اصدار الـ certificate يسمى فى هذه الحالة بـ issuing CA ايضا .

و يمكن ان تكون من ثلاث درجات root ca و issuing ca و يتوسطهم ما يسمى بالـ Intermediate CA او الـ policy CA كما بالشكل التالى .

و لكى نفهم هذا جيدا لابد ان نعى انة ليس هناك من يسمى بـ issuing ca او intermediate ca فى اعدادت الـ certificate authority انما هذه وظائف نخصصها نحن لهذه ال Subordinates لاعتبارات كثيرة امنية او جغرافية او كنوع من الbackup او لتخفيف الحمل , و عند اعداد الـ certificate authority لا يوجد هناك الآ root ca و subordinate ca .

[M@hmoud]

Intermediate CA

هو عبارة عن سيرفر يتوسط موقعه بين الـRoot CA و الـ Issuing CA و ذلك بغرض تحقيق قدر اعلى من الـتأمين للـ PKI Hierarchy , و معنى وجود Intermediate Ca فى الشبكة ان هناك ثلاث درجات او اكثر فى الـ PKI hierarchy

و سوف نبدا الان فى اعداد الـIntermediate و سوف يكون workgroup ايضا كالـ Root ca
و يمكن ان يعمل على نظام تشغيل standard edition .

نبدأ عملية ال installation و نختار certificate authority




طبعا سيكون هذا subordinate و ال parent هو ال root ca







فى ال wizard القادمة سوف يقوم بسؤالنا عن parent ca و عن الطريقة التى سوف نطلب بها ال subordinate certificate و يعتبر هذا مجرد certificate request و انت تحدد فقط الطريقة التى ستقوم بعمل ال request من خلالها .


سوف نختار computer name و نحدد اسم ال parent



بعد ذلك نختار مكان ال database



ثم install


و اخيرا بعد انتهاء عملية التثبيت يخبرك ان ال ca ليس جاهزا للعمل بعد فى هذا الserver فقد تم طلب ال certificte و لكن لم يتم الموافقة عليها من قبل ال parent و لم يتم تثبيتها الى الان فى ال subordinate .




-----------------------------------------------------------------------------------------------------
انتهت المرحلة الاولى من الاعدادات على الsubordinate و سوف نذهب الان الى ال root ca لنجد ال certificate request فى ال pending requests و نلاحظ جيدا ان ال certificate template هى ال SubCA



قبل ان نقوم بعمل approve لهذه ال request هناك شئ ضرورى لابد من عملة و هو اعداد ال certificate revocation list distributed point او CDP و سوف اشرح هذا بالتفصيل و لكن الان فقط قم بنسخ محتويات هذا ال folder


الى web page virtual directory فى web server "سيرفر آخر" ثم من ال properties لل root ca اختار extension
و بعد ذلك قم باضافة CDP جديدة عن بالضغط على add و ادخال حقول ال DNS name و ال CertEnroll الى المسار التالى كما هو فى الشكل .
https://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl




و اخيرا قم بعمل issue لل requested certificate


بعد ذلك duple click على ال issued certificate و اختار details


و بعد الانتهاء نجد الملف بهذا الشكل



قم بنسخة على فلاشة او ضعه فى shared folder لكى يتم عمل install له فى ال intermediate .
------------------------------------------------------------------------------------------------------------------------------
نعود مرة اخرى لل intermediate CA بعد نقل ال certificate على فلاشة او وضعها فى shared folder
نضغط كليك يمين على ال CA و نختار all tasks ثم install CA certificate


نحتار ال certificate


و بهذا يصبح ال intermediate CA جاهز للعمل و لاعطاء ال certificates لل issuing CA ارجو ان اكون وُفقت فى ايصال المعلومة و تحياتى و تمنياتى بالتوفيق للجميع .

[M@hmoud]

Issuing CA

و هذه عبارة عن وظيفة تطلق على الـ Server الذى يقوم باصدار الـ Certificates او الذى يتعامل معه الـ Client مباشرة حتى لو كان هو الـ root CA .
و لكى يقوم الCA باصدار مختلف الشهادات الى المستخدمين لابد ان تتوافر فية عد شروط :

1- ان يكون نظام التشغل Enterprise Edition او Data center Edition
2- ان يكون داخل الدوميين
3- ان يقوم بتنزيلة عضو داخل مجموعة الـ Enterprise Administrators
4- ان يتم تنزيل الـ Enterprise CA و ليس Standalone CA

و نبدأ الان فى اعداد اول Issuing CA او Enterprise CA فى الشبكة و سوف نقوم بتنزيل
certificate authority web enrollment role معه بما سيتيح لهذه ال CA فيما بعد الاستجابة لطلبات الحصول على شهادة من المستخدمين عبر صفحة الويب .




بالطبع سنختار enterprise ca



ثم نختار subordinate بالطبع سيكون subordinate لل intermediate CA





سوف نجعل ال key length 1024 و القرار عائد اليك .





فى الخطوة التالية سوف يسألنا عن الطريقة التى نريد عمل بها certificate request من ال parent "intermediate" و فى هذه الحالة سوف ننشئ request file و نحفظه على removable device لان ال root و ال intermediate فى network منعزلة .




لاننا اخترنا web enrollment



و بعد انتهاء التثبيت يخبرنا ان الserver غير جاهز للعمل بعد



----------------------------------------------------------------------------------------------------------------
نذهب الان الى intermediate ca لعمل الآتى

1- نقل اى ملف بامتداد crl من هذا المسار C:\Windows\System32\CertSrv\CertEnroll الى ال physical directory الخاص بال web page virtual directory الذى اعددناه من قبل
2- ضبط ال CDP من properties ثم extension



3- عمل submit لل request file الخاص بال issuing ca ثم عمل issue لة







4- حفظ ال issued certificate الى file لارسالة الى issuing ca


---------------------------------------------------------------------------------------------------------
نعود مرة اخرى الى ال issuing ca لعمل install لل certificate





و بهذا نجد ان ال CA جاهز للعمل مما يعنى انة جاهز لاصدار ال certificates .


و ال certificate chain بهذا الشكل



و من الان لن نعد فى حاجة الى ال root ca او ال intermediate ca الا اذا اردنا اضافة ca جديد او لتجديد ال certificate الخاصة بهم .

[M@hmoud]

Certificate template

بعد اعداد اولEnterprise certificate authority فى ال network تصبح لدينا العديد من الامتيازات الاضافية التى لا يقدمها لنا ال standalone CA اولها القدرة على التعديل فى ال certificate templates او حتى مجرد تصفح ال certificate templates .



و ال certificate templates من خلالها يمكننا التعرف على صيغة و محتويات كل certificate كما ايضا تمكننا من تحديد اى مجموعة من ال clients يمكنهم عمل enroll لاى نوع من ال certificate و تحدد عملية ال enrollment هل ستكون autoenrollment او enrollment عادى و تحدد ال permissions لل certificates و العديد من ال feature من خلالها. و سوف نستعرض هذا اكثر فيما يلى .

اولا هناك ثلاث انواع من ال template versions

V1-
و هى تنزل by default مع ال ca و لا يمكن حذفها و تعمل ابتداءا من windows server 2000 فيما اعلى .و لا يمكن سوى تعديل ال security permission بها و لا يمكن عمل autoenroll بها الا للcomputer certificate

v2
تعمل فقط مع 2008r2 او 2008 enterprise and data center edition و يمكن من خلالها تعديل العديد من الخصائص فى ال certificate كما تتيح ال autoenrollment

v3
لا تختلف كثيرا عن v2 و لكنها تدعم Suite B cryptographic algorithms و تعمل مع windows server 2008r2 all edition و 2008 enterprise and data center edition.

و الشكل التالى يوضح certificate template v1




ثم باختيار duplicate لنفس ال template



و اختيار ايا من ال two versions التاليين
V2=2003 و V3=2008



سوف تظهر لنا ال certificate template بهذا الشكل


هناك العديد من الاختيارات او الخصائص التى يمكن تعديلها من خلال ال certificate template و سوف نلقى نظرة على بعضها او اهمها الان.



من هنا نحدد من له حق عمل enroll او autoenroll لل certificate


من هنا فى حالة قمت باصدار certificate معينة او كانت هناك certificates من ca ذائل يمكنك تحدد نوع ال certificate التى تريد ان تستبدلها و ستوقوم هى بهذا الدور.



سنلاحظ اولا ان ال propose هو encryption and signature و هذا يختلف من template لآخرى
و من هنا اضع ال certificates التى سيتم اصدارها من خلال هذا ال template فى الارشيف لكى يستطيع ال recovery agent استرجاعها فى حالة فقدانها
كما استطيع ان احدد ال certificate key length من هنا.
كما استيط ان احدد بامكانية نسخ ال privet key ام لا


و من هنا احدد هل يتطلب ال certificate request الى approval ام لا

و هناك العديد من الخصائص التى يمكن تعديلها او تغيرها من ال certificate template حسب الحاجة و هذه كانت اطلالة على اهمها ..اتمنى ان تتاح للجميع الفرصة لتنزيل الserver و تصفح الانواع العديدة من الcertificates templates .

و اخيرا و بعد الانتهاء من ضبط ال certificate template يجب ان تعلم جيدا انها لا تزال غير جاهزة لل requests حتى الان ما لم تضعها فى المكان المخصص لاصدار الcertificates حيث ان الاول يمثل مخزن للtemplates اما هذا فهو مجموعة الtemplates التى انتقيها من هذا المخزن لاصدارها .

[M@hmoud]

Certificate Request

هناك العديد من الطرق يمكن لل clients من خلالها عمل certificate request و تنقسم بشكل رئيسى الى طريقتان و هما
Manually request او Enrollment و الاخرى automatically request او autoenrollment

1- Manually request
و تعنى ان ال client بنفسة سوف يقوم بطلب ال certificate من ال certificate authority شرط ان يكون هذا ال client لدية enroll permission للcertificate التى سوف يطلبها



و تبقى بعد ذلك فقط اختيار الوسيلة التى سوف يقوم من خلالها عمل request لهذه ال certificate

اولا عبر ال MMC











و هنا نقوم باختيار البحث عن certificate فى ال Active Directory



و بعد ذلك سوف تظهر لنا مجموعة ال certificate التى لدينا read permission لها ..اقوم باختيار واحدة منها
ثم الضغط على enroll شرط ان يكون لديك enroll permission لها .




اما الوسيلة الاخرى هى عبر ال web page
و by default عندما تقوم بتنزيل certificate authority web enrollment يتم انشاء virtual directory page فى ال default web site بهذا الاسم certsrv
يقوم ال client بدخول هذا الsite عبر بروتوكول http او اhttps ثم بعد ذلك قوم بكتابة ال credential ليدخل الى الصفحة الرئسية.


بعد الدخول على ال page لن تواجة صعوبة كبيرة فى عمل ال request

--------------------------------------------------------------------------
الطريقة الثانية هى automatic request او autoenrollment
و هذه الطريقة لا يتدخل فيها ال clients من قبله و انما تتم عبر استخدام ال group policy من خلال ال system administrator
و المرحلة الاولى لضمان حصول الclient على الcertificate تلقائيا عن طريق اعطائهم الpermission الملائمة من ال certificate template



ثم نذهب الى هذا المسار فى ال Group Policy
تحت ال ou او ال domain الذى يحتوى على على الاعضاء المراد اعطاء ال certificate لهم
User Configuration >>>Security Setting >>>>Public Key Policies >>>>Certificate Services Client - Auto-Enrollment
و بعد ذلك عمل enable لل autoenrollment كما موضح بالصورة



اما بالنسبة للcomputer certificate
فسوف نذهب الى هذا المسار فى ال group policy
Computer Configuration>>>>Security Setting >>>>Public Key Policies >>> Automatic Certificate Request Setting
ثم نضغط كليك يمين و نختار New Automatic Certificate Request و نختار ال Template المراد عمل deploy لها و فى هذه الحالة ليس ضروريا اعطاء autoenrollment permission لل Computers Objects




كان هذا ملخص بسيط لل certiicate request و ال Auto-Enrollment .ارجو ان يكون الشرح ملبى لرغباتكم .و ارحب باى اسستفسارات او تعليقات , وللموضوع بقية ان شاء الله.

[M@hmoud]

Certificate Revocation List

هى عبارة عن قائمة تحتوى على جميع ال revoked certificate او ال Expired Certificate يقوم كل client بمراجعتها قبل ان يتعامل مع اى certificate صادرة من ال CA و هذه القائمة يتم تخزينها تلقائية فى ال AD و لا يكون هناك صعوبة فى الوصول اليها من قبل المستخدمين داخل الشبكة و بالتالى لا تطلب مننا اى اعدادات .

و لكن هناك بعض الحالات تقتضى الحاجة فيها الى الخوض داخل اعدادت هذه القائمة على سبيل المثال
- اذا كان سيتضمن ال PKI Hierarchy الخاص بالشبكة Offline root caكما سبق و اوضحنا فى المشاركات السابقة.
-اذا كان لديك web site او اى خادم اخر فى ال DMZ و ال issuing ca فى الشبكة الداخلية و فى forest مختلفة
فى هذه الحالة سوف يستدعى الامر الى اعداد ال CRL و ال CDP و هذا يأخدنا الى تعريف ال CDP .

Certificate revocation list distributed point "CDP"
عبارة عن Accessible location لل external users يمكن الدخول علية و تحميل ال CRL
و فيما سبق من شرح قمنا بالعكس حيث انشأنا CDP خاصة بالExternal server "offline root ca " داخل ال Internal network او ال forest .

ولكن قبل ان نقوم بتحديد ال CDP يجب ان نتأكد ان هذا ال location بالفعل يحتوى على ال CRL و الا ما الداعى لجعلة CDP . و لضمان هذا هناك طريقتان

-manually
1- قم بتصفح هذا الفولدر C:\Windows\System32\certsrv\CertEnroll
2- انسخ جميع الملفات ذات امتداد crl الى فلاش ميمورى
3- بعد ذلك قم بنقل هذه الملفات الى physical path الخاصة بال web page

-automatically
1- لابد ان تكون هناك trust relationship بين ال web server و بين ال root ca
2- نقوم بانشاء local folder على الهارد ديسك الخاص بال web server
نقوم بعمل share للفولدر و اعطاء read and change permission لل ca computer acount
و اعطاءه read and write NTFS permission
3- نذهب ال CA و نختار properties ثم extensions
4- نتاكد ان ال extension هو CDP ثم نضغط Add
5 -فى المربع الحوارى الخاص بال location ندخل ما يوازى هذه القيم
file://\\<servername>\<share>\<CaName><CRLNameSuffix><Del taCRLAllowed>.crl
على سبيل المثال لو كان ال web server اسمة server2 و ال shared folder اسمة crl سيكون ال location كالتالى
file://\\server2\CRL\<CaName><CRLNameSuffix><DeltaCRLAllo wed>.crl
6- ثم سنختار من ال extensions tab
Publish CRLs to this location
Publish Delta CRLs to this location
بعد ذلك اضغط OK و سوف يطلب منك اعادة تشغيل ال service
7- بعد الانتهاء نعود ال ca console نقف على ال revoced certificates ثم all tasks ثم publish اذا لم تظهر لك error message فهذا يعنى ان الاعدادت صحيحة و ان ظهرت فهذا يتطلب مراجعة الخطوات من جديد.

* الان و قد تأكدنا ال web server يحتوى على تلك القائمة بال revoked certificates , نريد ان نتاكد ان الclients سوف يكونوا على علم بهذه ال CDP و ذلك باضافتها مع ال Issued certificate .

و لاعداد ال CDP عليك اتباع الخطوات التالية :
1- نقوم بانشاء web page virtual directory و نحدد ال physical location على الفولدر الجديد الذى نقلنا الية ال CRL
2-و نعود الى ال CA server و نختار properties لل ca و بعد ذلك Extensions
3- نتأكد ان ال CDP مختارة ثم نضغط add
4- فى المربع الحوارى الخاص بال location ندخل ما يوازى هذه القيم https://<FQDN_of_Web_Server/<CRL_directory_name>/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
على سبيل المثال , اذا كان ال fqdn الخاص بال web server هو server2.contoso.com و كان ال virtual directory web page اسمها crl اذا سيكون العنوان كالتالى
https:// server2.contoso.com/crl/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
5- بعد ذلك نتأكد ان الاختيارات التالية محددة لهذا المدخل الجديد
Include in CRLs. Clients use this to find Delta CRL locations.
Include in the CDP extension of issued certificates
6- ثم بعد ذلك اضغط ok و سوف يطلب اعادة تشغيل الخدمة.
7- للتأكد ان ال CDP تم اعدادها بشكل صحيح اذهب الى متصفح خاص بجهاز فى الشبكة التى سوف يخدمها ال web server ثم ادخل على هذه الصفحة https:// server2.contoso.com/crl/contoso root ca.crl
سوف يضهر لك اختيار تحميل ال crl فى هذه الحالة و ان لم يظهر قم بمراجعة الاعدادات .

[M@hmoud]

بسم الله الرحمن الرحيم

Online Responder

كما تناولنا فى المشاركة السابقة و علمنا ماذا تحتوى الـ CRL و ماذا تمثل ال CDP و عرفنا ان ال Client يقوم بتحميل الـ CRL من خلال CDP معين لكى يتاكد من حالة كل شهادة سوف يبدا بالتواصل معها .
و يمثل الـ online responder وسيلة اخرى تتيح لل client الحصول على معلومات عن حالة كل شهادة سوف يتعاملوا معها حيث يقوم الـ online responder server بتحميل ال CRL بالنيابة عن ال users و كل ما على ال clients فعلة بعد ذلك هو الذهاب الى ال online responder و الاستعلام عن حالة شهادة معينة .

و تدعوا الحاجة الى استخدام ال online responder بشكل ضرورى فى الشبكة فى الحلات الآتية :

- اذا كان هناك العديد من ال clients يتصلوا بالشبكة عن بعد عن طريق vpn connection و سرعة الاتصال لديهم لا تتيح تحميل ال CRL بوقت مناسب
- اذا كانت الشبكة تتطلب قدرا كبيرا من revocation requests ما يسبب حمل ذائد على الشبكة اذا قام كل مستخدم بتحميل ال CRL على حدى فى وقت واحد ..و يحدث هذا كثيرا فى حالة استخدام ال secure mail مثلا
-توزيع ال CRL الخاصة ب non Microsoft CAs على Microsoft clients
- لا تريد الشركة لموظفيها الاضطلاع على القائمة كاملة بال revoked certificate عوضا عن ان يقوم كل مستخدم بتفقد حالة الشهادة التى تتصل به فقط

و يتكون ال online responder من الآتى :-

Online Responder service	مسؤلة عن استقبال الاستعلام من ال clients و الاستجابة اليهم و تعمل بشكل منفصل عن ال certificate authority
Online Responder	هو السيرفر الذى يستضيف ال online responder service و ال onlin الresponder web proxy و يمكن ان يتم تنزيلة على ال CA و لكن لا يفضل ذلك كما يمكن ان يخدم online responder واحد اكثر من CA
Online Responder Web proxy	يتم انشاءة by default مع ال online responder service و يقوم باستقبال الاستعلامات و الاستجابة لها و عمل cache لها لفترة محددة
Revocation configuration	و هى تتضمن مجموعة الاعدادات المطلوبة التى تتيح لل online responder الاستجابة ال revocation requests ل ca معين و تشمل CA certificate تسجيل online responder certificate و تحديد ال revocation provider
Revocation provide	هى عبارة عن ال location الذى سوف يحصل منة ال OCSP على ال CRL
Online Responder Array	قد تحتوى على Online responder او اكثر و يتم اضافة اكثر من online responder الى ال array لعدة اسباب منها الجغرافية و القدرة على التوسع او كنوع من ال High availability
Online Responder Array controller	عندما يتم اضافة اكتر من onlinr responder الى array يجب ان يتم اعداد واحد منهم كـ array controller مع ذلك لكل online responder الاعدادات الخاصة به و لكن فى حالة تقوم ال array controller configuration بعمل overwrite للاعدادات الاخرى .

* اعداد الـ online responder لا يتطلب الكثير من الخطوات و لكن لابد اولا اعطاء ال online responder computer object التصريح لطلب الشهادة الخاصة بة ثم وضع ال certificate template مع ال templates المعينة للاصدار.






ثم بعد ذلك نذهب الى ال online responder لتنزيل ال service و اعداد ال revocation configuration




















و بهذا يصبح الonline responder جاهز الى العمل و لا يتبقى سوى ارفاقه مع ال issued certificate من ال CA
properties <<<extensions <<<AIA<<<Add



ثم ادخال https://<DNS name>/ocsp