درس دویست و بیست و چهارم: مدیریت Certificate Template ها

مدیریت Certificate Template ها

 

 

کاربرد Certificate Template

Certificate Template مدیران شبکه را قادر میسازد که گواهینامه ها را جهت اهداف مختلفی بتوانند تعریف کنند و نیز با استفاده از Certificate Template ها، کاربران و کامپیوترها میتوانند گواهینامه بخصوصی را درخواست کنند. Certificate Template را هم بصورت GUI و هم از طریق دستورات محیطهای Command Prompt و Windows PowerShell میتوان ایجاد کرد.

ویندوز Server 2016 از چهار نسخه مختلف Template پشتیبانی میکند. این نسخه ها دارای ویژگی ها و خصوصیات متفاوتی هستند.

نسخه یک: در زمان نصب CA Role Service بصورت پیشفرض این نسخه ایجاد میشود. قابلیت AutoEnrollment در این نسخه پشتیبانی نمیشود.

نسخه دو: چندین Template نسخه دو در زمان نصب CA Role Service بصورت خودکار ایجاد میشوند. این Template ها را میتوان تغییر داد یا نسخه 2 اختصاصی خود را با توجه به نیازها و بر پایه این Template ها ایجاد کرد.

نسخه سه: از ویژگی های پیشرفته ای مانند نسل بعدی کریپتوگرافی یا CNG ( مخفف Cryptography Next Generation ) پشتیبانی میکند.

نسخه چهار: این نسخه در ویندوز Serve 2012 رونمایی گردید. جدیدترین ویژگی ها مانند پشتیبانی از CSP ها ( مخفف Cryptography Service Provider ) و KSP ها ( مخفف Key Service Provider )، امکان درخواست تجدید گواهی نامه با همان کلید قبلی، قابل استفاده در ویندوز 8 به بعد نیز ویندوز سرور 2012 به بعد، قابلیت تعیین حداقل زمان اعتبار گواهی نامه و تعیین سیستم عامل کلاینت که میتواند از Template فوق استفاده کند.

مدیریت Template Security

از Template Security میتوان برای تصمیم گیری در مورد اینکه کدام کاربران چه سطح دسترسی به Template داشته باشند میتوان بهره گرفت.  کافیست در تب Security پنجره Template Properties نوع سطح دسترسی را برای ACE های مختلف تعیین کرد. مجوزهای دسترسی ممکن عبارتند از :

Read : کاربر یا کامپیوتر میتواند در زمان ثبت نام برای درخواست صدور گواهی نامه، دسترسی فقط خواندنی به خصوصیات آن گواهی داشته باشد.

Write : کاربر یا کامپیوتر میتواند خصوصیات Template را تغییر داده و دستکاری کند.

Full Control : کاربر میتواند همه خصوصیات Template را مدیریت کند از جمله تنظیمات امنیتی را.

Enroll : کاربر یا کامپیوتر میتواند درخواست صدور گواهی ای بر پایه Template کند. یعنی گواهی فوق بر مبنای Template مورد نظر ایجاد شود.

AutoEnroll : چنانچه کاربر یا کامپیوتر دسترسی های Read و Enroll را داشته باشد، دسترسی AutoEnroll وی را قادر میسازد که با استفاده از AutoEnrollment درخواست صدور گواهی نامه ( منطبق و بر پایه Template ) کند.

نکته مهم اینست همیشه مجوزهای دسترسی Template ها را به گروههای یونیورسال یا گلوبال اختصاص دهید چون Certificate Template ها در AD DS ذخیره میشوند.

Certificate Template ها enrollment policy های از پیش تعریف شده روی CA را به کار می برند. یک قانون اینست که یک Enterprise CA میتواند گواهینامه هایی صادر کند بر اساس فقط Certificate Template های موجود روی همان CA . قانون دیگر اینست که مجوزهای دسترسی که دیدیم، تعیین میکند که یک کامپیوتر یا کاربر اجازه دارد یا ندارد که یک گواهینامه بر اساس آن Certificate Template درخواست نماید. یعنی اگر کاربری روی یک Certificate Template دارای دسترسی enroll نباشد، CA تمام درخواست هایی که از طرف کاربر فوق برای داشتن یک گواهینامه بر اساس آن Certificate Template بدهد را رد خواهد کرد.

مدیریت دیگر خصوصیات Template

بصورت پیشفرض در زمان ساخت CA، ویندوز Server 2016 چندین Template را نصب میکند که معمولا این Certificate Template ها چندمنظوره میباشند. زمان طراحی ایجاد یا تغییردادن Certificate Template ها باید به عوامل مختلفی توجه داشت:

1- گواهینامه برای چه منظوری صادر خواهد شد؟

2- طول کلید و نیز دوره اعتبار گواهینامه

3- فرآیند ثبت نام و پیش نیازهای آن

4- چه روشهایی مورد نیاز است برای کاربران یا کامپیوترها که بتوانند یک درخواست گواهینامه معتبر ارائه کنند؟

بدیهی است که منظور از گواهی نامه، آن گواهی است که بر اساس Certificate Template فوق ساخته میشود. گواهینامه ها میتوانند تک منظوره یا چندمنظوره باشند. گواهی های چند منظوره باعث سهولت در مدیریت فرآیندها میشوند. بعنوان مثال زمانی که کاربران نیاز به یک گواهی نامه دارند برای اینکه بتوانند به ایمیل خود sign کنند، به یک گواهی نامه نیز برای رمزنگاری نیاز دارند و سرانجام به یک گواهینامه نیز برای sign کردن توسط Smart Card خود نیاز دارند، میتوان به جای ساخت سه گواهی نامه، هر سه مورد فوق را در یک گواهینامه قرار داد. این گواهینامه چندمنظوره خواهد بود.

 

 

کنسول Certificate Manager

برای ایجاد و مدیریت Certificate Template ها باید روی کامپیوتر CA که دارای مجوز صدور و مدیریت گواهی نامه ها میباشد، کنسول Certification Authority  را اجرا کرد. در کنسول فوق و در پنل سمت چپ روی Certificate Template راست کلیک کرده و گزینه Manage را انتخاب کرد. کنسول Certificate Manager ظاهر میشود. در این کنسول میتوان تمام Certificate Template های پیشساخته را مشاهده کرد.

224-1 certificate templates console

برای مشاهده اینکه گواهینامه ساخته شده بر اساس یک Certificate template به چه کاری می آید، کافیست که روی آن Certificate Template دبل کلیک کنیم تا شکل زیر ظاهر شود.( شکل زیر بر اثر دبل کلیک روی Certificate Template بنام user ظاهر شده است):

224-2 Certificate Template Properties dialog

جدول ذیل خلاصه ای از مشخصات و کاربرد این  Certificate Templateها را نمایش میدهد:

224-3 Builtin Certificate templates

Certificate Template ها را فقط روی Enterprise CA ها میتوان مدیریت و استفاده کرد.

به نکات زیر در خصوص Certificate Templateها توجه کنید:

  • Certificate Template های هر Forest فقط در همان Forest معتبر هستند.
  • Certificate Template  ها غیر قابل حذف هستند.
  • بصورت پیش فرض فقط گروه Enterprise Admins و Domain Admins مستقر در نخستین DC در Forest میتوانند Certificate Templateها را مدیریت کنند. یعنی اگر در ساختار شبکه خود چندین Child and Tree  داشته باشیم فقط  اعضای گروههای   Domain Admins and Enterprise  Admins  موجود در نخستین DC آن Forest می توانند Certificate Template ها را مدیریت کند.
  • اگر شما چندین Enterprise CA در ساختار داشته باشید هر تغییری در Certificate Template  ایجاد کنید این تعقیرات بر روی دیگر Enterprise CA ها اعمال می شود.

فرض کنید قصد داریم یک Certificate Template جدید ایجاد کنیم که خودش بر اساس user Template میباشد اما طبعا دارای بعضی خصوصیات متفاوت خواهد بود.

……………………………

هر کاربری که دارای این گواهی باشد ( ساخته شده بر اساس User Certificate Template )، می تواند فایلهای خود را رمزگذاری کند،  Emailهای خود را Secure کند یا Clientها خود را برای بقیه احراز هویت نماید. ما قصد داریم که توانایی File Recovery را نیز بدان اضافه کنیم.

……………………………

روال ذیل را طی میکنیم:

1- در کامپیوتر sub-ca.ITemplateerfection.local که نقش Enterprise Subordinate CA را دارد، کنسول Certification Authority را اجرا کرده و در پنل سمت چپ روی Certificate Template راست کلیک کرده و سپس روی Manage کلیک میکنیم.

2- کنسول Certificate Templates ظاهر میشود.

3- در این کنسول روی User Certificate Template راست کلیک کرده و گزینه Duplicate Template را انتخاب میکنیم. پنجره Properties of new Template ظاهر میشود.

4- در تب General همانطور که در شکل ذیل می بینید در کادر Template display name با یک نام بامعنی برای Certificate Template جدید وارد کنیم. ما نام ITemplate User Template را وارد کرده ایم. این نام عینا در کادر Template Name نیز ظاهر میشود. ( البته میتوان در صورت تمایل Template Name را تغییر داد).

224-4 properties of new template dialog box- general tab

در این تب باید دوره اعتبار گواهی نامه حاصل از این Certificate Template و نیز دوره مجاز برای صدور مجدد آنرا تعیین کرد. ما به ترتیب مقادر یک سال و شش هفته را تعیین کرده ایم. نیز چکباکس Publish certificate in Active Directory را نیز تیک زده ایم تا این Certificate Template در AD DS شبکه ذخیره و Replicate شود.

5- در تب Request Handling که در شکل ذیل مشاهده میکنید باید در منوی افتادنی Purpose مشخص کنیم که گواهی حاصل از این Certificate Template بدرد چه مقصودی میخورد؟ گزینه های ممکن عبارتند از:

Encryption

Signature

Signature and Encryption

Signature and Smart card logon

ما گزینه Signature and Encryption را انتخاب کرده ایم.

224-5 properties of new template dialog box-Request handling tab

در این تب باید تنظیمات enrollment ( ثبت نام برای صدور گواهینامه) را نیز پیکربندی کرد. ما گزینه پیشفرض یعنی Enroll subject without requiring any user input را انتخاب کرده ایم.

6- در تب Security هر گروه گلوبال یا یونیورسال که میخواهید دارای دسترسی خاصی روی گواهینامه های این Certificate Template باشد را وارد کرده و مجوزهای مورد نظرمان را به آنها اختصاص میدهیم. بعنوان مثال برای اینکه همه کاربران بتوانند گواهی نامه های این Certificate Template را Enroll و Enrollment کنند، برای گروه Authenticated users دسترسی های Enroll و AutoEnroll را اختصاص میدهیم. شکل ذیل:

224-6 properties of new template dialog box-security tab

7- در تب Issuance Requirements باید مانند شکل ذیل چکباکس CA certificate manager approval را تیک میزنیم تا تایید کنیم برای صدور گواهینامه هایی از نوع این Certificate Template باید شخص administrator صدور گواهی نامه را تایید کند. اگر پیکربندی دیگری نیز نیاز باشد، آنرا انجام میدهیم:

224-7 properties of new template dialog box-issuance tab

8- در تب Extensions میتوان قابلیت های این Certificate Template ( و طبعا گواهی های که از روی این Certificate Template ایجاد خواهیم کرد) را دستکاری کنیم.

224-8 properties of new template dialog box-extension tab

مثلا با انتخاب گزینه Application Policies روی دکمه edit کلیک میکنیم. پنجره ذیل ظاهر میشود:

224-9 edit application policy extension

در پنجره فوق میتوان قابلیت های فعلی این گواهی نامه را مشاهده کرد که عبارتند از:

  • Client Authentication
  • Encrypting File System
  • Secure Email

یعنی کاربری که دارای این گواهی نامه میباشد قابلیت احراز هویت شدن کلاینتش، رمزنگاری فایل ها و امن بودن ایمیل را دارد. روی دکمه add کلیک میکنیم تا قابلیت file recovery را نیز به این موارد اضافه کنیم. پنجره ذیل ظاهر میشود:

224-10 add application policy

حتی گزینه any purpose را میتوان انتخاب کرد که دارنده این گواهی را به یک ابرقدرت تبدیل خواهد کرد.  اکنون وقتی از این Certificate Template به یک کاربر گواهی بدهیم، کاربر فوق دارای قابلیت File Recovery خواهد شد. نکته ای وجود دارد. میتوان هر لحظه هر Certificate Template را از لحاظ قابلیت هایش ادیت کرد. اما پس از ادیت کردن، قابلیت های جدید این Certificate Template عطف به ماسبق نخواهند شد. یعنی روی گواهینامه هایی که قبلا از روی Certificate Template فوق ساخته شده اند، اعمال نخواهد شد. بلکه روی گواهی نامه هایی که از این لحظه ساخته شوند، اعمال خواهد شد. پس از انتخاب قابلیت های جدید دو بار روی دکمه های OK کلیک میکنیم.

9- در پنجره Properties of New Template نیز روی دکمه OK کلیک میکنیم.

10- اکنون یک Certificate Template بنام ITemplate User Template در کنسول Certificate Manager ظاهر میشود.

11- حال کنسول Certification Authority را اجرا کرده و در پنل سمت چپ روی Certificate Template راست کلیک کرده و گزینه new و سپس گزینه Certificate Template Issue را انتخاب میکنیم.

12- پنجره Enable Certificate Templates ظاهر میشود. در پنجره فوق همان Certificate Template که ساخته ایم را انتخاب میکنیم.

224-11 enable cert template

13- اکنون روی دکمه OK کلیک میکنیم. Certificate Template ایجاد شده در لیست Certificate Template های قابل استفاده توسط این CA قرار می گیرد و این CA میتواند بر اساس Certificate Template فوق اقدام به ساخت گواهینامه برای کاربران متقاضی نماید.

224-12 CA Certificate templates

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار