ایجاد Revocation Configuration برای CA

همیشه پس از نصب هر سرویس، تنظیمات دیگری نیز برای پیکربندی و یا نگهداری بهتر از آن نیاز است. Revocation یکی از روش هایی کنترلیست که می توانید با استفاده از آن، certificate هایی که غیرقابل استفاده شدند و یا نیاز به کنسل کردن آن ها دارید را کنترل کنید. این مورد، یکی از دلایلی ست که شما قبل از صدور certificate، می بایست revocation را پیکربندی کنید (revocation در لغت به معنای لغو کردن است). برای ایجاد revocation، موارد زیر بایستی اجرا شوند:

• تعیین نقاط توزیع Certificate Revocation List (CRL)
• تنظیمات مربوط به CRL و Delta CRL
• زمانبندی انتشار CRL ها

برای آشنایی با مفاهیم بالا، به مطلب مربوط به معرفی و مفهوم Certificate Revocation List مراجعه کنید.

• برای تعیین CRL distribution point به CA وارد شده و کنسول Certification Authority را از Administrative Tools اجرا کنید.

• در صفحه Properties، به سربرگ Extensions رفته و از لیست Select Extensions گزینه CRL Distribution Point (CDP) را انتخاب کنید. مطمئن شوید که گزینه های Publish CRLs To This Location و Publish Delta CRLs To This Location تیک خورده باشند. سپس OK کنید.

توجه! درصورت هرگونه تغییر در تنظیمات CA، سرویس AD CS را می بایست ریست کنید. اگر پیغامی بر همین اساس دریافت کردید OK کنید.

• حال می بایست دوره همپوشانی CRL و Delta CRL را تنظیم کنید. شما می توانید با تنظیم یک دوره همپوشانی بین این دو، تعادل ایجاد کنید. این تنظیمات زمانی مفید است که انتشار delta CRL به تاخیر افتاده و یا کلاینت، در زمان مشخص شده برای انتشار، قادر به تهیه CRL و Delta CRL جدید نیست. در واقع دوره همپوشانی (overlap period) برای CRL، میزان زمانیست که در پایان طول عمر یک CRL منتشر شده وجود دارد و کلاینت می تواند قبل از اینکه CRL قبلی غیرقابل استفاده شود، CRL جدید را دریافت کند. بصورت پیشفرض، این میزان زمان، 10% از طول عمر CRL تعیین شده است. به دلیل اینکه در برخی محیط ها طمان بیشتری مورد نیاز است، این تنظیم بصورت دستی نیز قابل تغییر خواهد بود. اگر هیچ مقداری بصورت خودکار وارد نکنید، دروه همپوشانی حداکثر 12 ساعت خواهد بود. برای تنظیم آنها، در CA یک cmd باز کرده و به ترتیب دستورهای زیر را وارد کنید:

certutil -setreg ca\CRLOverlapUnits value

certutil -setreg ca\CRLOverlapPeriod units

certutil -setreg ca\CRLDeltaOverlapUnits value

certutil -setreg ca\CRLDeltaOverlapPeriod units

در دستورهای بالا، به جای عبارت value میزانی که قصد دارید برای دوره همپوشانی تنظیم کنید را وارد کنید. به جای units دقیقه، ساعت و یا روز وارد کنید. برای مثال، می توانید دروه همپوشانی CRL را برای 24 ساعت و دوره انتشار Delta CRL را برای 12 ساعت تنظیم کنید. بصورت زیر:

certutil -setreg ca\CRLOverlapUnits 24

certutil -setreg ca\CRLOverlapPeriod hours

certutil -setreg ca\CRLDeltaOverlapUnits 12

certutil -setreg ca\CRLDeltaOverlapPeriod hours

• حال به کنسول Certification Authority رفته و روی issuing CA راست کلیک کرده و سرویس را stop و سپس start کنید.

در پایان، می بایست انتشار CRL ها را پیکربندی کنید.

• در کنسول Certification Authority، علامت + کنار نام سرور issuing CA را زده و روی Revoked Certificates راست کلیک کرده و Properties را انتخاب کنید.

• در سربرگ CRL Publishing Parameters، دوره انتشار CRL و Delta CRL تنظیم کنید. بصورت پیشفرض، هر دو مقدار روی یک هفته و یک روز تنظیم شده اند. اگر شما خروجی و کارایی بالا از certificate انتظار داشته و قصد دارید CRL ها در بالاترین سطح دسترسی باشند، مقدار هر دو را کاهش دهید. در غیر اینصورت، همان مقادیر پیشفرض را بدون تغییر رها کنید.

برای دیدن CRL ها به سربرگ View CRLs بروید.

• در همینجا پیکربندی revocation به اتمام رسید.