آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / مدیریت و شخصی سازی Certificate templates

مدیریت و شخصی سازی Certificate templates

Certificate templates برای ایجاد certificate هایی که شما در تنظیمات AD CS بکار می برید، استفاده می شود. Enterprise CA ها از نمونه های ورژن ۲ و ۳ استفاده می کنند. شما می توانید این نمونه ها را پیکربندی کرده و با توجه به نیاز شبکه خود، آنها را تغییر دهید. برای آماده سازی نمونه ها جهت کاربردهای مختلف، ابتدا می بایست هر نمونه را برای کاری که قصد انجام آن را دارید پیکربندی کرده و پس از تنظیم، هر کدام را در CA های موجود در شبکه منتشر کنید. پس از انتشار و اضافه شدن نمونه به CA، شما می توانید آنها را صادر کنید. در واقعا، شما certificate های مورد نیاز خود را شخصی سازی کرده و Certificate templates به آنها اجازه می دهد تا توسط CA صادر شوند. برای پیکربندی به issuing CA لاگین کرده و مراحل زیر را انجام دهید:

  • از Server Manager و از قسمت Roles به Active Directory Certificate Services رفته و Certificate Templates را انتخاب کنید. توجه داشته باشید که تمامی نمونه های موجود در بخش جزییات لیست شده اند.

certificate services 49

  • توجه داشته باشید که بطور پیشفرض، شما به DC متصل هستید و برای کار با template ها، می بایست به DC متصل بوده تا template ها بتوانند در AD DS منتشر شوند. تا اینجا، شما آماده شده اید که نمونه مورد نیاز خود را ایجاد کنید.
  • حال از لیست template ها، نوع مورد نظر خود را انتخاب و روی آن راست کلیک کنید. از منوی پیش رو Duplicate Template را کلیک کنید.

certificate services 50

  • در صفحه Duplicate Template، ورژن ویندوز سروری که قرار است پشتیبانی کند را انتخاب کنید. این ورژن می بایست همیشه ویندوز سرور ۲۰۰۸ باشد، مگر اینکه در یک سلسله مراتبی از PKI پیچیده باشید.

certificate services 51

  • حال می بایست برای این نمونه نامی را انتخاب کرده و آن را شخصی سازی کنید. برای مثال، برای ساخت یک EFS template، ابتدا روی نمونه Basic EFS راست کلیک کرده و همانطور که توضیح داده شد، آن را برای ویندوز سرور ۲۰۰۸ آماده و duplicate کرده و نامی برای آن مشخص کنید. سعی کنید نام معتبری برای آن انتخاب کرده و به سربرگ های مختلف آن بروید و تنظیمات را تغییر دهید. برای مثال می توانید Basic EFS WS08 نامگذاری کنید.

certificate services 52

  • سربرگ Request Handling، یکی از مهمترین بخش تنظیمات است. این سربرگ هدف certificate template را تعریف کرده و cryptographic service providers (CSPs)، حداقل طول کلید، قابلیت export شدن، تنظیمات autoenrollment را پشتیبانی می کند.  در این قسمت، حتما تیک گزینه Archive Subject’s Encryption Private Key را انتخاب کنید. این گزینه به شما اجازه می دهد که در صورت گم شدن کلید خصوصی کاربر، از آن محافظت شود. همچنین از encryption استفاده کنید تا کلید به CA ارسال شود. گزینه های این سربرگ شامل موارد زیر است:
  • Certificate purpose در این قسمت هدف اصلی استفاده از certificate را مشخص میکنید:
  1. Encryption شامل کلیدهای مورد نیاز برای رمزنگاری و رمزگشایی
  2. Signature کلیدهای لازم برای امضای منحصرا اطلاعات
  3. Signature and encryption تمامی استفاده های اصلی کلید رمزنگاری certificate ها را پوشش می دهد که شامل رمزنگاری و رمزگشایی اطلاعات، آماده سازی برای لاگین شد و یا امضای دیجیتالی اطلاعات می شود.
  4. Signature and smart card logon به آماده سازی لاگین شدن توسط کارتهای هوشمند کمک کرده و بطور دیجیتالی، اطلاعات را امضا می کند؛ این مورد برای رمزنگاری اطلاعات کاربرد ندارد.

certificate services 53

  • موارد زیر، مثال هاییست که شما اگر قصد ایجاد یک certificate را داشته باشید، بایستی اینگونه عمل کنید.
  • اگر قصد دارید که از EFS استفاده کنید، شما می بایست EFS Recovery Agent را ایجاد کنید. همانند مراحل بالا، از لیست template های موجود روی EFS Recovery Agent راست کلیک کرده و آن را برای سرور ۲۰۰۸ آماده duplicate کنید. نامی برای آن انتخاب کرده و با زدن تیک گزینه Publish Certificate In Active Directory این certificate را در Active Directory منتشر کنید.
  • اگر می خواهید برای شبکه های وایرلس استفاده کنید، نمونه Network Policy Server (NPS) را انتخاب نمایید. پس انجام کارهای مشابه بالا، از سربرگ Security، به گروه RAS and IAS Servers اجازه و دسترسی Autoenroll and Enroll permissions را بدهید.
  • اگر قصد دارید وب سرورها و یا DC ها محافظت کنید، نمونه Web Server and Domain Controller Authentication را انتخاب و duplicate کنید. توجه داشته باشید که از نمونه Domain Controller استفاده نکید، زیرا مربوط به ورژن های قبلی ویندوز است.
  • پس از اینکه template خود را ایجاد کردید، می بایست آن را صادر کرده تا CA بتواند certificate ها را براساس نمونه شما certificate را صادر کند.

در واقع شما template را با توجه به نیاز شبکه خود شخصی سازی کرده و به CA می گویید که اگر می خواهی برای این منظور certificate صادر کنی، براساس این نمونه ای که من ساخته ام certificate های خود را صادر کن!!

  • حال برای اینکار، از Server Manager (با توجه به شکل زیر) به سرور issuing CA رفته و روی Certificate Templates راست کلیک کنید. حال از New گزینه Certificate Template To Issue را انتخاب کنید.

certificate services 54

  • با این کار صفحه Enable Certificate Templates پیش رو شما باز خواهد شد. در اینجا تمامی template هایی که می توانید آنها را فعال کنید تا CA از آنها استفاده کند، مشاهده می کنید. می توانید از صفحه کلید خود، کلید Ctrl را نگه داشته و هر تعداد نمونه می خواهید را انتخاب کنید. اگر دقت کنید، در لیست زیر، template ای که ایجاد کرده ایم (Basic EFS WS08) را نیز مشاهده می کنید.

certificate services 55

  • تا اینجا شما به CA فهماندید که از نمونه های شما در موارد مشخص استفاده کرده و certificate ها را بر آن اساس صادر کند. اگر بخاطر داشته باشید، بعد از این کار، می بایست این نمونه ها را در دامین ثبت کنید. برای پیکربندی enrollment آنها، می توانید از طریق Group Policy اقدام کنید. بنابراین به Group Policy رفته یا یک پالیسی ایجاد کنید، و یا پالیسی که به به همه اعضای دامین اعمال می شود را ویرایش کنید؛ که برای اینکار، Default Domain Policy بهترین انتخاب بوده و می توانید enrollment را از این طریق به دامین اعمال کنید. بنابراین، به DC رفته و Group Policy Management را از Administrative Tools اجرا کنید. حال روی پالیسی مورد نظر خود راست کلیک کرده و Edit کنید.

certificate services 56

  • از مسیر Computer Configuration\Policies\Windows Settings\Security Settings رفته و Public Key Policies را انتخاب کنید. در لیست موجود، روی Certificate Services Client – Auto-Enrollment دابل کلیک کنید.

certificate services 57

  • پالیسی را فعال کرده و گزینه Renew Expired Certificates, Update Pending Certificates, And Remove Revoked Certificates را تیک بزنید. اگر شما قبلا، بصورت دستی، certificate هایی را صادر کرده اید، می توانید گزینه Update Certificates That Use Certificate Templates را انتخاب کنید. اگر قصد دارید این autoenrollment به کاربران اعمال شود، همین تغییرات را در همین مسیر در User Configuration انجام دهید. توجه کنید که گزینه Expiration Notification زمانی فعال می شود که این پالیسی را کاربران اعمال شود! با OK کردن آن، این پالیسی اعمال خواهد شد.

certificate services 58

  • حال دوباره به سرور issuing CA رفته و با راست کلیک روی نام سرور issuing CA، از آن properties بگیرید.

certificate services 59

  • از سربرگ Policy Module، روی properties کلیک کنید.

certificate services 60

  • برای اینکه certificate ها بطور خودکار صادر شود، گزینه Follow The Settings In The Certificate Template, If Applicable. Otherwise, Automatically Issue The Certificate را انتخاب کنید.

certificate services 61

  • هم اکنون سرور issuing CA شما آماده استفاده بوده می تواند بطور خودکار certificate ها صادر کند.