درس دویست و بیست و سوم: تفکیک وظایف مدیریتی در CA ها

تفکیک وظایف مدیریتی در CA ها

تقسیم وظایف در مدیریت CA

در یک شبکه بزرگ توصیه شده است که جنبه های مختلف CA توسط افراد مختلفی مدیریت شود. بعنوان مثال جنبه های مدیریت CA و مدیریت گواهی نامه ها، مدیریت تهیه بکاپ و بازرسی از یکدیگر تفکیک شده و توسط افراد متفاوتی انجام شوند.

ویندوز Server 2016 قوانین پیشساخته ای برای تفکیک مدیریتی AD CS ندارد اما مدیر شبکه میتواند این کار را انجام دهد. باید در AD DS اقدام به ساخت global-security group های مناسب کرد و به هر کدام یکی از جنبه های مدیریتی AD CS را واگذار کرد. این کار از طریق مجوزها صورت می پذیرد. جدول ذیل میتوان کمک خوبی برای طراحی تفکیک مدیریتی باشد:

223-1 administrative seperation roles

بصورت پیشفرض گروه Local administrators مجوز مدیریت CA و تخصیص و مدیریت گواهینامه ها ( دو مجوز نخست در جدول بالا) را دارد. اگر Enterprise CA داشته باشیم، اعضای گروه Domain Admins و Enterprise Admins مجوزهای فوق را دارا هستند.

پس برای پیاده سازی طرح بالا ابتدا باید دو گروه CA Admins و Certs Manager را در AD DS بصورت Security-Global ایجاد میکنیم. همانطور که در ستون توضیحات جدول فوق هم اشاره شده است گروههای Backup Operator و Auditor بصورت پیشساخته در ویندوز Server 2016 و در AD DS وجود دارند و نیازی به ساخت آنها نمی باشد.

طرز تعیین دسترسی ها به این صورت است که در کنسول Certification Authority باید مراحل ذیل طی شود:

1- روی CA راست کلیک کرده و گزینه Properties را انتخاب میکنیم. در پنجره CA Properties به تب Security میرویم.

2- درب تب فوق مجوزهای ذیل وجود دارند:

223-2 CA permissions

3- باید گروه مورد نظر را در لیست ACL وارد کرده و مجوز را برای آن تنظیم نمود.

فرض کنید طراحی شبکه ما بدین صورت است که:

1- یک کامیپوتر Standalone CA Root داریم که عضو دامین هست.

2- دو Enterprise Subordinate CA داریم. یکی جهت تخصیص گواهی نامه به کاربران و دیگری برای تخصیص گواهی نامه به کامپیوترها.

1- بنابراین در کنسول Active Directory Users and Computers باید global-security Group ذیل ایجاد شوند:

  • Enterprise CA Admins
  • Subordinate CA Admins
  • User cert Managers
  • Computer cert Managers

2- روی همه CA ها باید گروه Enterprise Admins دارای دسترسی های Manage CA و Issue and Manager Certificates باشد. پس این دسترسی ها را در کنسول های certsrv همه CA ها اعمال میکنیم.

3- روی دو Subordinate CA گروه Subordinate CA Admins باید دارای دسترسی های Manage CA و Issue and Manage Certificates باشد.

3- روی آن Subordinate CA که مسوول تخصیص گواهی نامه برای کاربران است، گروه User cert Managers باید دارای دسترسی Issue and Manage Certificates باشد.

4- روی همان CA ذکر شده در مرحله 3 ، در تب Certificate Managers در پنجره CA Properties باید گروه User Cert Managers را به فقط User Certificate Template محدود کنیم:

  • باید دکمه رادیویی Restrict Certificate Managers را انتخاب کنیم. هر گروهی که در تب Security دارای مجوز Issue and Manage Certificates باشد، بلافاصل در کادر Certificate Managers ظاهر میشود. باید مطمئن شویم که گروه User cert manager در لیست ظاهر شود.
  • اکنون روی دکمه add کلیک میکنیم. در پنجره Enable Certificates Templates گزینه User را انتخاب کرده و روی دکمه OK کلیک میکنیم.
  • در لیست Certificate Templates روی All و سپس Remove کلیک میکنیم.

223-3 certificate managers tab

5- اکنون روی دکمه OK کلیک میکنیم.

6- روی آن Subordinate CA که مسوول تخصیص گواهی نامه برای کامپیوترهاست، گروه Computer cert Managers باید دارای دسترسی Issue and Manage Certificates باشد.

7- مرحله 4 را برای Computer cert managers نیز انجام میدهیم. روی Subordinate CA که مسوول تخصیص گواهی نامه به کامپیوترهاست. باید در پنجره Enable Certificate Templates گزینه Computer را انتخاب کنیم.

 

 

پیکربندی عملیات بکاپ و ریکاوری

گواهی نامه ها و CA ها اهمیت بسیار زیادی دارند و داشتن نسخه بکاپ از آنها اهمیت بی نهایتی. باید در هر کدام از CA ها در کنسول certsrv جهت پیکربندی عملیات تهیه backup روال ذیل طی شود:

1- باید روی CA راست کلیک کرده و به ترتیب روی گزینه های All tasks و Back Up CA کلیک کنیم.

2- ویزارد بکاپ گیری ظاهر میشود. در صفحه Items to backup  باید چکباکسهای Private Key and CA Certificates و  Certificate Database and Certificate Database log را تیک زد و سپس محل تهیه بکاپ را نیز مشخص کرد.

223-4 CA bakup settings

در این صفحه چکباکس Perform incremental backup زمانی فعال خواهد بود که قبلا بکاپ دیگری تهیه کرده باشیم. اما چون نخستین بار است این چکباکس فعلا قابل استفاده نیست.

3- در صفحه select a password نیز جهت افزایش امنیت فایلهای بکاپ باید یک password تعریف نماییم.

4- در پایان ویزارد نیز که روی دکمه finish کلیک میکنیم.

فرآیند بکاپ گیری را میتوان توسط دستور Backup-CARoleService در Windows PowerShell نیز انجام داد.

و با دستور ذیل در محیط Cmd :

Certutil -Backup c:\CA Backups

برای عملیات Restore باید توجه داشته باشید که در حین انجام عملیات فوق، AD CS Role نمی تواند اجرا شود.

باید مراحل ذیل طی شود:

1- روی CA راست کلیک کرده و به ترتیب گزینه های All Tasks و Restore CA را انتخاب کنیم.

2- پیغامی صادر میشود که بیان میکند که در حین انجام این عملیات باید اجرای AD CS متوقف شود. اگر موافق باشیم ( که باید باشیم) روی دکمه yes کلیک میکنیم.

3- ویزارد Restore شروع بکار میکند. در صفحه items to restore که شباهت کامل به صفحه items to backup دارد باید چکباکس های لازم را تیک بزنیم ( هر دو چکباکس بالای صفحه) و سپس توسط دکمه browse محل وجود فایلهای بکاپ را مشخص کنیم.

223-5 CA restore settings

4- در صفحه بعد همان پسوردی که در هنگام ایجاد بکاپ تعیین کردیم را باید وارد کنیم.

5- در صفحه پایانی نیز روی دکمه finish کلیک میکنیم.

توسط دستور ذیل در محیط cmd نیز میتوان عملیات Restore را انجام داد:

Certutil -Restore c:\CA Backup

و همینطور با دستور Restore-CARoleService در محیط Windows PowerShell

در پایان کار نیز پرسیده میشود که آیا با Start شدن سرویس AD CS موافقید؟

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار