آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory certificate Services / Online Responder چیست و چگونه کار می کند؟

Online Responder چیست و چگونه کار می کند؟

یک online responder سرور معتبر و trust شده ایست که وقتی کلاینت خاصی اطلاعاتی را درباره وضعیت certificate ها درخواست کند، درخواست را دریافت کرده و به آن پاسخ می دهد. استفاده از online responder یکی از دو روش معمول برای اعتبار سنجی certificate هاست. برخلاف certificate revocation lists (CRLs) که بطور دوره ای اطلاعات تمامی certificate ها را در اختیار شما قرار می دهد (که کدام certificate ها منقضی شده و کدام قابل استفاده نیستند)، online responder فقط به درخواست های خاصی از طرف کلاینت ها (در مورد وضعیت certificate) پاسخ می دهد. میزان اطلاعات دریافتی در هر درخواست ثابت بوده و به اینکه چه تعداد certificate ابطال شده است مربوط نمی شود. همانطور که می دانید، راه دیگر برای دسترسی به لیست certificate های ابطال شده، CRL ها هستند.

در بیشتر موارد، online responder می تواند موثرتر از CRL ها درخواست وضعیت certificate ها را پردازش کند. برای مثال:

  • کلاینت هایی که بصورت remote به شبکه متصل می شوند، برای اینکه بخواهند به لیست CRL ها دسترسی پیدا کنند، یا می بایست ارتباط پر سرعتی با شبکه داشته باشند و یا اینکه نیازی به لیست تمامی certificate ها ندارند.
  • شبکه نیاز دارد که میزان بسیار بالایی از فعالیت های مربوط به بررسی ابطال certificate ها مدیریت کند، مانند زمانی که تعداد زیادی از کاربران بطور همزمان لاگین شده و یا ایمیل ارسال می کنند.
  • یک سازمان به ابزار موثری نیاز دارد تا اطلاعات ابطال certificate هایی که از CA های غیر مایکروسافتی صادر می شوند را منتشر کنند.
  • یک سازمان قصد دارد فقط اطلاعات بررسی ابطال certificate هایی را بدست آورد که مربوط به درخواست های خاصی هستند و نیاز به دریافت همگی آنها ندارد.

اجزای یک Online Responder به شرح زیر است:

  • Online responder service هنگامی که کلاینتی، برای بررسی وضعیت ابطال certificate خاصی، درخواست خود را ارسال می نماید، این سرویس درخواست وضعیت ابطال certificate را رمزگشایی و decode کرده، وضعیت آن را ارزیابی می کند و پاسخ معتبر و امضا شده ای را که شامل اطلاعات وضعیت certificate است، به کلاینت بر می گرداند. دقت کنید که سرویس Online Responder، از سرور CA مجزا بوده و فعالیت آن به CA بستگی ندارد.
  • Online Responder کامپیوتری که هم سرویس Online Responder و هم Online Responder Web proxy روی آن در حال اجرا هستند. می توان CA و Online Responder را روی یک کامپیوتر پیاده سازی کرد، اما بهتر است هر کدام روی یک کامپیوتر مجزا نصب گردند. یک Online Responder، به تنهایی می تواند اطلاعات وضعیت ابطال certificate ها را که توسط یک یا چند CA صادر شده اند، فراهم سازد. اطلاعات ابطال certificate های صادر شده توسط CA، می تواند با بیش از یک Online Responder پشتیبانی شود.

توجه! یک Online Responder می تواند روی ویندوز Server 2008 R2 Enterprise و Server 2008 R2 Enterprise نصب گردد. اطلاعات ابطال certificate ها از certificate revocation list (CRL) های منتشر شده ای خوانده می شود که روی CA هایی با سیستم عامل های ویندوز Server 2008 R2 تا ۲۰۰۰ و CA های غیر مایکروسافتی نصب شده اند.

  • Online Responder Web proxy برای Online Responder به عنوان Internet Server API (ISAPI) extension عمل می کند که روی IIS نصب شده است. Web proxy درخواست ها را دریافت و رمزگشایی کرده و پاسخ ها را برای یک دوره زمانی قابل کانفیگ نگهداری و cache می کند.
  • Revocation configuration شامل همه تنظیماتیست که برای پاسخ به درخواست های ابطال certificate مورد نیاز است. این تنظیمات شامل، CA certificate، امضا و تعیین اعتبار certificate برای Online Responder و انواع revocation provider هستند.
  • Revocation provider یک ماژول نرم افزاریست که به همراه دیگر تنظیمات revocation، یک Online Responder ای را برای بررسی وضعیت certificate ها فراهم می کند. Revocation provider در ویندوز سرور ۲۰۰۸ R2 از اطلاعات موجود در CRL ها استفاده می کند.
  • Online Responder Array شامل یک یا چندین Online Responder است. اضافه کردن چندین Online Responder به یک Online Responder Array می تواند چندین دلیل داشته باشد: شرایط جغرافیایی، مقیاس پذیری، شرایط طراحی شبکه و یا برای زمانی که یکی از سرورها در دسترس نباشد (fault tolerance).
  • Online Responder Array controller هنگامی که چندین Online Responder در یک Array قرار می گیرند، یکی از آنها می بایست به عنوان کنترل کننده آنها عمل کند.

Online Responder چگونه کار می کند؟

بیشتر برنامه هایی که به X.509 certificates وابسته هستند، هنگام عملیات احراز هویت، امضا و یا رمزنگاری، نیاز دارند که وضعیت اعتبار certificate ها را بسنجند. این بررسی ابطال و تعیین اعتبار certificate روی تمامی certificate ها انجام می پذیرد (تا خود root certificate). اگر root certificate معتبر نباشد، بطور زنجیره وار، تمامی certificate ها نامعتبر می شوند. اعتبار سنجی یک certificate شامل موارد زیر است:

  • امضای certificate معتبر باشد.
  • اطلاعات و مدت زمان استفاده از یک certificate معتبر بوده و منقضی نشده باشد.
  • Certificate تخریب نشده و دستکاری نشده باشد.

علاوه بر این، هر certificate در زنجیره تعیین اعتبار، بررسی می شود. بررسی ابطال آنها یا با استفاده از certificate revocation list (CRL) و یا Online Certificate Status Protocol (OCSP) انجام می شود.

OCSP چیست؟

Online Responder شرکت مایکروسافت، برای انجام فعالیت های خود از پروتکل OCSP استفاده می کند که اجازه می دهد تا دریافت کننده certificate (کامپیوترها یا هر دستگاه دیگر)، درخواست وضعیت اعتبار certificate را با استفاده از پروتکل OCSP و از روی پروتکل HTTP ارسال کند. OCSP درخواست وضعیت certificate را بطور کامل و با امضای دیجیتال ارسال می کند.

نحوه کار Online Responder

Online Responder به دو بخش کلاینتی و سروری تقسیم می شود. اجزای بخش کلاینتی در فایل های CryptoAPI 2.0 library ایجاد می شوند، در صورتی که اجزای سروری در یک role به نام Active Directory Certificate Services (AD CS) معرفی می شوند. فرایند زیر نشان می دهد که چگونه اجزای یک کلاینت و سرور (در Online Responder) با هم در ارتباطند:

  • هنگامی که یک برنامه تلاش می کند، یک certificate را بررسی و از اعتبار آن مطمعن شود، اجزای مربوط به سمت کلاینت، ابتدا حافظه و هارد دیسک local سیستم را می گردد تا ببیند آیا اطلاعات مربوط به پاسخ ها OCSP کش (cache) شده است یا خیر.
  • اگر پاسخ قابل قبلی پیدا نکرد، از طریق پروتکل HTTP درخواستی را به Online Responder ارسال می کند.
  • Online Responder Web proxy درخواست ارسال شده را رمزگشایی و بررسی می کند. اگر درخواست معتبر بود، Web proxy cache اطلاعات مربوط به ابطال و اعتبار certificate ها را چک می کند که اگر در cache خود دارد، پاسخ را به کلاینت ارسال نماید. اما اگر پاسخ مناسبی نداشت، درخواست را به سرویس Online Responder می فرستد.
  • سرویس Online Responder درخواست را دریافت کرده و CRL های local ، و اگر دردسترس بود، اطلاعات cache شده CRL هایی که اخیرا توسط CA صادر شده اند، را بررسی می کند.
  • اگر همچنان اطلاعات مناسبی بصورت local نیافت، revocation provider اطلاعات CRL ها را به روز می کند.
  • دوباره Web proxy پاسخ را رمزگذاری کرده و به کلاینت می فرستد که certificate معتبر است.