PKI yapılandırması için Active Directory Environment’ının hazırlanması -1

Bir network yöneticisini organizasyonlarinin Windows Server 2008 public key infrastructure (PKI), kuracagini duyduklarinda genellikle akillarina birkaç farkli soru gelir . Bunlar :

¦Forest ‘ta bulunan tüm DC ‘leri Windows Server 2008 ‘e upgrade etmem gerekir mi ? Burada cevap hayirdir.Bir Windows Server 2008 PKI Windows Server 2008 domain controller’a bagimli degildir.Windows Server 2008 PKI’I bir Microsoft Windows 2000 ya da Windows Server 2003 Active Directory directory service ortamina uygulayabilirsiniz.

¦Forest functional level ‘i Windows Server 2008 e upgrade etmem gerekir mi ? . Burada da cevap hayirdir. Bir Windows Server 2008 PKI ‘in domain ya da forest functional levellar ile ilgili hiç bir gereksinmesi  yoktur.

¦Bir Windows Server 2008 PKI yapisi deploy etmek için ne yapmaliyim ? Bu bölüm a Windows Server 2008 PKI yapisi deploy etmek için Active Directory Domain Services (AD DS) ‘I hazirlamaniz için gereken aksiyonlari tanimlar.

Active Directory Environment’ini Analiz Etmek

Bir Windows Server 2008 enterprise certification authority (CA) ‘i bir Windows 2000 ya da Windows Server 2003 Active Directory ortamina kurmadan önce bazi hazirliklarin yapilmasi gerekmektedir. Bu hazirliklar :

¦Ortamda kaç adet forest oldugunu belirlemek :

Active Directory Certificate Services deployment ‘inizda ortamda kaç adet Forest oldugu , kaç adet enterprise CA’e ihtiyaç duyacaginizi etkileyecektir. Bir Enterprise CA ayni forest taki userlara ve computerlere accountlari ile sertifika issue edebilir .PKI dan sertifikalari üretmek için birden fazla forest varsa , en azindan her bir forest için bir Enterprise CA kurulumu uygulamalisiniz

¦Foresttaki Domain sayisini belirlemek. Eger birden fazla domain olan bir Forest yapisi var ise , buradaki major dizayn karari ,hangi domainin CA lere evsahipligi yapacagidir. Hangi domainin CA computer’lerin computer account’una evsahipligi edeceginin seçimi organizasyonunuzun centralized ya da decentralized management kullanacagi ile çok büyük ölçüde iliskilidir. centralized model’de CA ‘ler ayni domainde olurlar Decentralized environment ta ,CA ‘leri farkli domainlerde kurmakla neticelendirebilirsiniz.

¦Bir Member Server için local Administrators group üyeligini belirlemek Eger CA’’in private key’ini korumak için ( yazilimsal ) software cryptographic providers kullaniyor iseniz bu durumda CA server üzerinde Local Administrator grubuna üye olan olan herkes CA’in private key’ine sahip olabilir. Bir domainde hangi domain ya da organizational unit’in en iyi sekilde local Administrators sayisini limitleyecegini tanimlamak ile baslayabilirsiniz .Örnek olarak , CA üzerinde local administrator’lari limitlemek için bir organizasyon eger bos bir forest root deploy etmis ise tüm enterprise CA ‘lerini forest root domainde kurmayi seçerek asabilir.

¦Domainin schema version’unu belirleme Windows Server 2008 CA ‘leri uygulamak ve Active Directory Certificate Services için tüm yeni özellikleri kullanabilmek için , AD DS schema’nin en son versiyonunu uygulamalisiniz. Windows Servers 2008 schema Windows 2000, Windows Server 2003, ya da Windows Server 2008 domain controller olan bir forest ta kurulabilir.

Not Windows 2000 domain controller’lara schema update’leri uygulamak için , domain controller Windows 2000 Service Pack 4 ya da daha sonrasina upgrade edilmelidir. Windows Server 2003 için böyle bir sp gereksinimi yoktur. Schema upgrade konusunda detaylar bir sonraki bölümde bulunabilir.

Schema Upgrade

Microsoft Windows 2000 ya da Windows Server 2003 forest , Windows Server 2008 PKI daki yeni özellikleri desteklemek için schema’larine Windows Server 2008’e upgrade etmelidirler. Bu yeni özellikler asagidakileri içerir :

¦Version 3 certificate template destegi Windows Server 2008 schema version 3 certificate template object tanimi içerir.Version 3 certificate templates , issue edilen sertifikalarda Cryptography Next Generation (CNG) algorithmalarinin uygulanmasina izin verir.

¦Addition of an online responder Windows Server 2008 bir Online Certificate Status Protocol (OCSP) responder service tanitmaktadir.Bu service certificate revocationlists (CRLs) kullanmaktansa subscriber certificates’lerin güncel dogrulanmasina izin verir.

¦Network Device Enrollment Service Windows Server 2008 Simple Certificate Enrollment Protocol (SCEP) kullanarak Cisco network cihazlara sertifikalarin otomatik dagitimini dogal olarak destekler SCEP Active Directory de devicelar için computer account olusturmadan network device lara sertifika issue etmeye izin verir.

¦Native Support for Qualified Certificates RFC 3739, “Internet X.509 Public Key Infrastructure Qualified Certificates Profile,” da tanimlandigi üzere electronic signatures kullanimi için yüksek levelda güvence için sertifika issue edilmesine izin verir. Bir qualified certificate ayrica certificate subscriber ile ilgili olarak biometeric information içerebilir.

Schema Operations Master ‘in kim oldugunu belirlemek

Eger Forest’iniz bir Windows 2000 ya da Windows Server 2003 forest ise , schema operations master’i belirlemelisiniz. schema upgrade schema operations master üzerinde yapilmalidir.schema operations master’i belirlemek için :

1. command prompt açiniz.

2. command prompt’a regsvr32 schmmgmt.dll, yazin ve Enter tusuna basiniz .

3. RegSvr32 message kutusunda OK tiklayiniz.

4. Microsoft Management Console (MMC) console açiniz.

5. File menu den , Add/Remove Snap-in seçin

6. Add/Remove Snap-in dialog kutusunda , Add’i tiklayiniz

7. Add Standalone Snap-in dialog kutusunda, Active Directory Schema, yi seçiniz ve Add ‘e tiklayip sonrasinda Close tiklayin .

8. Add/Remove Snap-in dialog box, OK tiklayin .

9. Konsol agacinda , Active Directory Schema’yi seçin , Active Directory Schema üzerinde sag klik yapin ,ve Operations Master i tiklayiniz.

10. Asagidaki Resimde gösterildigi gibi Change Schema Master dialog kutusunda , geçerli olan schema master ‘i kaydedin ve sonrasinda close ‘u tiklayiniz

Resim  schema operations master ‘I belirlemek

11. MMC ‘yi islemleri kaydetmeden kapatabilirsiniz .

Schema Update Yapmak

Schema operations master’i belirledikten sonra , domain controller konsoluna Forest Root Domainde Schema Admins ve Enterprise Admins grubuna üye , ve schema operations master ‘a evsahipligi yapan domain de Domain Admins group’a üye olan bir kullanici ile logon olunuz.

Sonra asagidaki adimlari uygulayiniz.

1. Windows Server 2008 DVD sini DVD drive’a takiniz.

2. command prompt açiniz.

3. command prompt’a dvd sürücünün harfini yazip : isareti koyup enter a basin örnegin X: 

4. command prompt’ta , cd \sources\adprep, yazip Enter’a basin. Bu islem ilgili klasörün içeriginde islem yapmanizi saglayacaktir.

5. command prompt’ta , adprep /forestprep, yazip enter’a basin.

6. Asagidaki Resimde gösterildigi üzere requirementler uygun ise C ye basarak schema update’e devam ediniz

Resim Active Directory schema upgrade

Not Eger schema yi Windows 2000 Active Directory environment ‘tan upgrade ediyor iseniz versiyon 13 den 44 e .Eger schema yi Windows 2003 Active Directory environment ‘tan upgrade ediyor iseniz versiyon 30 dan 44 e.Eger schema yi Windows 2003 R2 Active Directory environment ‘tan upgrade ediyor iseniz versiyon 31 den 44 e güncelenecektir .

7. Process tamamlandiginda , Adprep’in forest bazinda basarili bir sekilde update oldugunu gösteren bir mesaj aldiginizdan emin olunuz.

Not Eger schema’da gerçekte hangi modifikasyonlarin oldugunu görmek istiyorsaniz Windows Server 2008 CD si içerisinde bulunan \source\adprep klasöründeki schema update LDAP Data Interchange Format (LDIF) dosyalarina bakabilirsiniz .Bu dosyalar SCH##.ldf olarak adlandirilmislardir. Buradaki ## 14 ve 44 numaralari arasindaki her bir versiyondaki modifikasyonlari gösterir.

Update tamamlandiginda , modifikasyonlarin foresttaki tüm dc lere replice oldugundan emin olmalisiniz.Replication statüsünü Windows Support Tools içerisinden GUI tabanli Replication Monitor (replmon.exe) den de command-line tool olan repadmin.exe ile de görebilirsiniz.

Not schema degisiklikleri için replication’in tamamlanip tamamlanmadigini anlamak için ilgili her bir tool’un dökümantasyonunu okuyabilirsiniz

Schema modifikasyonu Forestta olan tüm DC lere replike olduktan sonra her bir domain de Windows Server 2008 schema extension’larinin yararlanilmasini hazirlayabilirsiniz.

Forestta olan her bir domain’i hazirlamak için asagidaki prosedürü kullanabiliriz :

1. Domain Admins group üyesi olarak domaindeki infrastructure master da local olarak logon olun

Ipucu Domain için infrastructure master’i Active Directory Users and Computers konsolundan belirleyebilirsiniz

2. CD-ROM drive’a Windows Server 2008 CD yi yerlestiriniz

3. command prompt ta CD sürücünün harfi ve : isareti koyup enter’a basiniz . örnegin X:

4. command prompt’ta , cd \sources\adprep, klasörüne gidiniz

5. command prompt ta , adprep /domainprep /gpprep, yazip enter’a basiniz

Not adprep /domainprep /adprep /gpprep komutu hem domain bazli bilgiyi hazirlar hem de cross-domain ve resultant set of policy planning ‘i ekler .Komut var olan Group Policy Objects (GPOs)’ler üzerinde file system ve AD DS permissionlari modifiye eder.

6. Forest ta yer alan tüm domainler için bu process tekrarlanmalidir.

Not Forestta Windows Server 2008 enterprise CA kurmak için adprep /domainprep komutunu çalistirmaniza gerek yoktur.

Kaynak : Windows Server 2008 PKI and Certificate Security