آموزش راه اندازی ca server Certificate Authority

آموزش راه اندازی ca server Certificate Authority

Certificate Authority

برای وارد شدن به گروه تخصصی شبکه لینک زیر را کلیک کنید

گروه تخصصی امنیت شبکه

https://t.me/joinchat/JrNxcE-Os-Byjwto3A8UqQ

ca server مخفف certificate Authority هست و این سرویس فقط در مایکروسافت وجود دارد cs سرویس به معنی صادر کردن گواهینامه میباشد

مبحث ca server یکی از پیچیده ترین سرویس های مایکروسافت هست و فقط مختص به مایکروسافت هست یعنی ca server نه در لینوکس هست و نه در سیسکو و نه در میکروتیک و نه جای دیگه فقط مختص به مایکروسافت هست

ca server مسئول صدور گواهینامه به کامپیوتر ها و کاربران سرویس های نرم افزار و سخت افزار شبکه می باشند


نصب و کانفیگ CA server

کلا نصب ca server توی دوتا فاز هست active direstory certificate authority که ما در این مقاله بهش می پردازیم خوب میریم سراغ نصب ca server مون

توی قسمت roleand feature addگزینه server managment قسمت role base و انتخاب رول active directory certificae


pki مخفف Public Key Infrastructure هست

public key و private key

ما یک کلید publik key داریم و یک کلید private key

دیتای ما با public key رمز نگاری میشود و با private key از رمز نگاری در میاد

مفهوم pki |public key and private key
مفهوم pki |public key and private key

کاربرد pki

1- میتوانیم برای مقاصد امنیتی استفاده کنیم که شامل EFS میشود Encription

Https ssh ,ssl 2-

3- dihital signinig

4-software signing

5-smart card

این مثال های بود برای استفاده از pki


یه مثال راحت میزنم برای اینکه بهتر متوجه شوییم

من میخواهم به سرور بانک وصل شوم یعنی درخواست میکنم کلید publik kay بانک را

بانک میفرسته public key را اگر اون وسط یه هکر این public key را عوض کنه و برای من public key خودش را برای من بفرسته چی

اون موقعه هست که باید ca server باشد که جلو این هکر ها را بگیرد
کانال تلگرامی شبکه 

مفهوم ca سرور
مفهوم ca سرور

نصب و کانفیگ CA server

کلا نصب ca server توی دوتا فاز هست active direstory certificate authority که ما در این مقاله بهش می پردازیم خوب میریم سراغ نصب ca server مون

توی سرور منیجمنت گزینه add role and features رول active directory certificate autority را انخاب میکنیم

نصب ca server
نصب ca server

قسمت certificate autority را انتخاب میکنیم

کانفیگ ca server
کانفیگ ca server

و گزینه install رو میزنیم

کانفیگ ca server

گزینه configure active directory certificate web service را انتخاب میکنیم

کانفیگ ca server
کانفیگ ca server

و با اعتبار administrator

کانفیگ ca server
کانفیگ ca server

میخواهیم certificate autority را کانفیگ کنیم


میگه میخواهی enterprise ca داشته باشی یا stand alone چون اکتیو دایرکتوری نداریم stand alone میسازیم

standalone ca
standalone ca

میگه میخواهی enterprise ca داشته باشی یا stand alone چون اکتیو دایرکتوری نداریم stand alone میسازیم

میگه root-ca باشه یا subordinate

ما root-ca را انتخاب میکنیم

root-ca
root-ca
private key  ca
private key ca

میگه یک private key بساز و اگر موجوده انتخاب کن


طول کلید نباید بیشتر از 768 باشد و ما 1024 انتخاب میکنیم و یک hash algoritm انخاب میکنیم

hash
hash

و یک نام برای ca server مون انتخاب میکنیم من گذاشتم root-ca

یک نام برای CA SERVER
یک نام برای CA SERVER

تاریخ اعتبار CA CERVER

میگه این CERTIFICATE تا چند سال اعتبار داشته باشه

تاریخ اعتبار CA SERVER
تاریخ اعتبار CA SERVER

و مسیر دیتابیس را انتخاب میکنیم

مسیر دیتابیس CA SERVER
مسیر دیتابیس CA SERVER
کانفیگ CA SERVER
کانفیگ CA SERVER

حالا توی administrative tools کنسول Certification Authority را باز میکنیم

certificate autority
certificate autority

extention

ما روی root کلیک راست میزنیم قسمت extention میگه crl destinistion pont cdp

همه رو remove میکنیم و میگیم مسیرم کجا قرار بگیره

extention
extention

و من گفتم توی درایو c:/crl/a.crl و اسم فایل را a.crl بزار و بعد تیک publish crl to this location میزنیم

حالا روی ریوک کلیک راست all task گزینه publish و new crl میزنیم و فایل ما با نامcrl در پوشه crl ساخنه میشه

publish crl
publish crl

الان فایل a.crl من ساخته شد حالا این فایل را باز میکنم این فایل لیست فایل های certificate های باطل شده هست

revoke crl
revoke crl

حالا برای اینکه کلاینت ها از هر جای دنیا بیان این لیست certificate های باطل شده را بگیرن باید از یه وب سایت دریافت کنن حالا ما یه iis نصب میکنیم و این فایل را داخل این وب سایت قرار میدهیم

وب سایت ca
وب سایتی که قراره لیست certificate

IIs

توی IIS یک سایت با نام crl میسازیم و اون مسیر را داخلش قرار میدهیم که بتونن دانلود کنند

وب سایت برای دانلود
وب سایت برای دانلود
include crl and cdp
include crl and cdp

include crl و include cdp

حتما باید این دو تا گزینه را تیکشون را بزنیم include in crls client use this to find data crl location

توی IIS یک سایت با نام crl میسازیم و اون مسیر را داخلش قرار میدهیم که بتونن دانلود کنند

حالا برگردیم توی قسمت extention و ما گفتیم cdp کجا باشه توی مسیر c و پوشه crl حالا یه بار دیگه add میکنم و وب سایتی را که قرار دانلود کنه میزنیم http://192.168.10.1/a.crl را

و میگم این مسیر را قرار بده داخل certificate هایی که صادر میکنی ،که کلاینتی که میخواداین certificate را بگیره این مسیر را برداره و دانلود کنه و نگاه کنه ببینه شما جز این certificate باطل شده نباشید

حتما باید این دو تا گزینه را تیکشون را بزنیم include in crls client use this to find data crl location

include all crls species where to publish in the active directory

کلا من یه وب سروری داریم با وب سایت که یک کلاینتی داریم میخواد این وب سایت را با https ببینه پس پای یه certificate سروری وسط هست ما میایم certificate رو توی مد stand alone و توی حالت root-ca کانفیگ کردم هست

حالا باید cdp را کانفیگ کنم که اومدم توی درایو c یه فولدری بساختیم به نام crl و به cdp گفتم برو توی درایو تو این پوشه بشه cdp ات

یعنی هر وقت خواستی لیست certificate های باطل شده را publish کنی توی این فایله بزار

حالا ما یه مسیری باید بگم که کلاینت های کل دنیا بدون یوزر و پسورد به این وصل بشن و این لیست را دانلود کنن اگر شبکه دومین بود میتونستم ldp کنم و یا شیر کنم و چون ما standalone هستیم و در سطح اینترنت مورد استفاده شاید قرار بگیره بهترین راحل مسیر url هست پس ما کانفیک کردم پد را path مسیر را

گرفتن certificate

حالا مراحل بعدی مرحله ای هست که وب سرور من پابلیک کی و پرایوت کی جنریت کنه و ارسال کنه به ca server و ما import کنیم توی ca و ما issue کنیم certificate را و اکسپورت بگیریم certificate را و بفرستیم برای وب سرور ما و import کنیم certificate را داخل وب سایت کل کار ما این هاست یعنی 7 مرحله هست

مراحل دریا فت certificate

1- genrate publik key and private key

2- send publik key to ca

3-import publik key to ca

4-issue to ca

5- export certificate

6- send export to web server

7-import to web service

میریم سراغ وب سرور این وب سرو یه سایتی داره به عنوان mcseha.ir که میخواد یه ثرتیفیکیتی certificate بگیره یعنی میخواد یه publik key و private key جنریت کنه , public key را بده ca server که اون را امضا کنه و برگردونه میایم توی یک سیستم دیگه که وب سرور مون هست قسمت server certificate

web server certificat
web server certificat

آموزش راه اندازی ca server Certificate Authority

مرحله 1

 

قسمت creat certificate request

creat certificate reques
request certificate
request certificate

درخواست یه ثرتیفیکیت میدیم بعد در پنجره ای که باز میشه قسمت comon name میگه این ثرتیفیکیت برای کی باشه من اسم سایت را زدم یعنی میخواهم مجوز برای این وب سایت بگیرم
یک مسیر برای ذخیره درخواست انتخاب میکنی
حالا در خواست ارسال شده را باید بفرستی برای ca server
این درخواست را من share کردم
و ارسال به ca server از طریق share
برای ca server فرستادم  حالا توی ca server باید این درخواست را سابمیت  submit کنم  کلیک راست روی root-ca
و گزینه all task و گزینه submit new request

submit new request
submit new request

pending request

بعد از اینکه submit کردیم یعنی درخواست های ارسال شده توی pending قرار میگیره


issue

issue
issue

 

در خواستی که توی pending قرار داره میفرستیم توی مرحله issue ما توی issue ثرتیفیکت درخواست شده برای اون وب سایت امضا میشود و بعد این ثرتیفیکیت را میفرستیم برای وب سرویسی که درخواست ثرتیفیکیت داد

issue cert
issue cert

در تب certificate path میگه root-ca یک ثرتیفیکیت
certificate صادر کرده برای www.mcseha.ir

certification path
certification path

اطلاعاتی که برای ما مهم هست توی تصویر گذاشتم

certificate
certificate

export

حالا این ثرتیفیکیت را امضا کردیم و از مرحله ایشو issu میخواهیم اکسپورت export کنیم و برای وب سرویسی بفرستیم که تقاضای ثرتیفیکیت کرد توی مرحله ایشو issu ثرتیفیکیت را باز کرده و از تب details قسمت copy to که در شکل بالایی هست مسیر انتخاب میکنیم و اکسپورت میکنیم

بعد از اینکه اکسپورت کردیم میفرستیم برای وب سرویس ثرتیفیکیت اکسپورت شده را


حالا در وب سرویس iis ثرتیفیکیت خود را وارد میکنیم گزینه complete request certificate را میزنیم

complate certificate request
complate certificate request

بعد توی قسمت وب سرویس گزینه bindings و http را میتونین حذف کنید و https را اضافه کنید بورت https 443 میباشد وسمت freaindly name هم همونی که قبلا گذاشتیم خودش میاد

BINDINGS
BINDINGS

وارد کردن certificate ca به certificate های تراست شده در کلاینت

یعنی ما بخواهیم سایت را باز کنیم در یک کلاینت یک خطایی به ما نشان میدهد

There is a problem with this website’s security certificate

there is a problem with this website
there is a problem with this website

و این پیام خیلی خطرناک هست بیشتر فشینگ ها این روشی هستند و شما تحت هیچ شرایطی نباید دکمه continue را بزنین اگر زدین یعنی هک میشین

این پیام یعنی سایت امن نیست پس باید ca server خودمون را بهش تراست کنیم

در قسمت run دستور MMC را وارد میکنیم . پنجره مربوط به کنسول باز میشود و از منوی فایل add remove snap-in را وارد میکنیم و طبق شکل زیر انجام دهید

mmc
mmc

بعد از وارد کردن ca ما به certificate های تراست شده سایت https://www.mcseha.ir باز میشود و تو جه کنید تصویر یک قفل کنار وب سایت هست و اون پیام دیگر نشان داده نمیشود There is a problem with this website’s security

https site
https site
view certificate
view certificate

code signin

در قسمت run دستور MMC را وارد میکنیم . پنجره مربوط به کنسول باز میشود و از منوی فایل add remove snap-in را وارد میکنیم و طبق شکل زیر انجام دهید

کد ساین این code sign in برای یوزر هست و میتونیم یه متن را امضا دیجیتال کنیم

برای یوزر code sign in و mail sign in و dfs هستن

من اگر یک ثرتیفیکیت یوزر بخواهم بگیرم باید توی MMC گزینه add remove -snap in یه ثرتیفیکیت یوزر میخواستیم

certificate user
certificate user

درخواست certificate code sign in

user certificate
user certificate

گفتیم CODE sign in برای یوزر صادر میشود

user certificate

certificate user code sign in
certificate user code sign in

همان طور که توی شکل گفتم گزینه propertice کلیک کنید و در تب genral یک friendly name انتخاب کنید که من administrator گذاشتم

همان طور که توی شکل گفتم گزینه propertice کلیک کنید و در تب genral یک friendly name انتخاب کنید که من administrator گذاشتم

common name

در تب subject ثرتیفیکیتی که ما میخواییم باید common name اش معادلش اون یوزر باشه و دکمه add را میزنیم

در تب extention میگیم key usage برای چه کاری باشه کلا key usage یک تایپکال typecall کلی هست و extended key usage یعنی فقط یه کار خاص را میتونی انجام بدی و من در قسمت extended usage گزینه code sign in زدم

key option
key option
key
key
base 64
base 64

در این قسمت base 64 را میخواهیم و یه نام برای ثرتیفیکیت میزاریم این ثرتیفیکیت را در یک مسیر ذخیره میکنیم دقیقا این ثرتیفیکت مثل همونی هست که توی وب سرویس درخواست میدادیم

issue و این ثرتیفیکیت را می بریم توی ca server مون سابمیت submit و pending

و امضا کردن مجوز و برگشت ثرتیفیکیت امضا شده

administrator

در واقع ما یک publik key دادیم به ca , ca به ما یه private key داده و موقع که مجوز صادر شده میبین عکس کلید روشه یعنی هم publik key و هم private key به ما داده


حالا توی mmc در قسمت ثزتیفیکیت یوزر را import میکنیم

import
import

حالا روی ثرتیفیکیت عکس یه کلید هم هست یعنی هم publik key و هم private key هست

pki
pki

اول توی سیستم وب سرور و در کنسول dns یه رکورد به نام rdp و با ایپی 192.168.10.20 میسازیم حالا بخواهیم از یه کلاینت ریموت دسکتاپ بزنیم به وب سرور باید یه ثرتیفیکت صادر کنیم به ca server و امضا بخور برگرده و کلاینت این ثرتیفیکیت را تراست کنه تا بتونه ریموت کنه

توی mmc قسمت certificate local computer و درخواست request میدین یه نکته مهمی که هست در تب extention

server authenticate

زیر منوی extended key usage را باید server autenticate قرار بدیم

server authenticate
server authenticate

حالا بعد از اینکه certificate درخواست را ایجاد کردم میفرستم برای ca که امضاش کنه و برگردونمش توی وب سرور تو کنسول ثرتیفیکیت computer را import کنم


آموزش راه اندازی ca server Certificate Authority

مراحل ثرتیفیکیت توی 7 مرحله بود که ما انجام میدادیم

دریافت certificate در سه مرحله

یک راحش اینه که در سه مرحله هست به وسیله وب بیس یعنی اون کاربر یا کامپیوتر درخواستش وب بیس یه ca server میدهد و issue میشود و دوباره وب بیس در واقع ثرتیفیکیت تایید شده را بگیریم و نصبش کنیم

سناریو ما این هست که یک وب سرویس را از طریق ca سکیور secure کنیم و این وب سرویس برای اینکه با ca ارتباط برقرار کنه قرار نیست اون هفت مرحله را انجام بده همش در سه مرحله انجام میشه سناریو به این صورت هست یک سیستم به عنوان وب سرویس که dns و iis را نصب میکنیم و یک سیستم به عنوان ca server که certificate autority و دیگری که certificate autority web enrollment را کانفیگ میکنیم و یه سیستم دیگر به عنوان کلاینت استفاده میکنیم

نصب certificate authority web enrollment

certificate autority web enrollment
certificate autority web enrollment
config certificate auothority
config certificate auothority
ca server
ca server

همراه خودش iis را نصب میکند certificate authority web enrollent

در iis یک فولدر certenrollment و یک فولدری به نام cert srve ایجاد کرده این دو تا توی زیر مجموعه defult web site در iis که در web enrollment هست ما توی ca کنسول ca را باز میکنیم و propertice وتب extention که ما حذفشون کردیم اینجا file , ldap را پاک میکنیم و اصلا کاری به c نداریم و http را هم پاک میکنیم و به جاش add میزنیم و اینو قرار میدیم http://192.168.10.30 و ادامه اش اون مسیر را بعد از dns name را کپی میکنیم و دو تا چک مارک include crl و cdp را میزنیم

certenroll
certenroll

و حالا در وب سرور میخواهیم درخواست به صورت وب بیس بدیم پس ایپی ca را میزنیم و ادامه certsrv رو اضافه میکنیم http://192.168.10.30/certsrv میزنیم توی مرورگر

certsrv
certsrv

ما درخواست certificate request میدیم

برای web browse میخوای

اول باید ca برای خودش ثرتیفیکت بگیره ویه دونه قبلا هم برا مجوز کارش گرفته که اون با این فرق میکنه

advance
advance

توی iis سیستم ca را بازمیکنیم و قسم server certificate و درخواست create request میده همون 7 مرحله را انجام میدی بعد توی خود ca سابمیت submit میکنی و پندینگ pendndingو ایشو issue و اکسپورت export میکنی توی مسیر دسکتاپ و توی iis باید complet کنی

داخل تنظیمات وب سایت قسمت binding یک https با ایپی خود اضافه میکنیم که secure باشه و دستور MMC را اجرا میکنیم و certificate را تراست میکنیم

certificate request
certificate request
ISSUE
ISSUE
download certificate
download certificate

مطلب پیشنهادی

پورت های دوربین مداربسته

پورت های دوربین مداربسته پورت هایی که دوربین مداربسته با ان ها سر کار دارد …

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد.