Dışarıya aktar (0) Yazdır
Tümünü Genişlet

Ağ erişimi kimlik doğrulaması ve sertifikalar

Ağ erişimi kimlik doğrulaması ve sertifikalar

Genel Bakış

Sertifikalar, kullanıcı ve bilgisayar kimliklerini doğrulamada çok güçlü güvenlik sağladıkları ve daha az güvenli olan, parolaya dayalı kimlik doğrulama yöntemlerine olan gereksinimi ortadan kaldırdıkları için, ağ erişimi kimlik doğrulaması için kullanılır. Bu konuda, Internet Kimlik Doğrulama Hizmeti (IAS) ve sanal özel ağ (VPN) sunucularının, VPN ve kablosuz bağlantılar dahil olmak üzere çeşitli ağ erişim türleri için sertifika tabanlı kimlik doğrulaması gerçekleştirmek amacıyla Genişletilebilir Kimlik Doğrulama Protokolü Aktarım Katmanı Güvenliği'ni (EAP-TLS), Korumalı Genişletilmiş Kimlik Doğrulama Protokolü'nü (PEAP) veya Internet Protokolü güvenliğini (IPSec) kullanma şekilleri açıklanmaktadır. Bu konuda ayrıca, sizin için en iyi sertifika kayıt yöntemini belirlemenize yardımcı olan sertifika kayıt yöntemleri anlatılmaktadır.

Kimlik doğrulaması açıklanırken, bir sunucu VPN veya TLS uç noktası olan bir IAS sunucusu olarak tanımlanır. Ağ erişimi kimlik doğrulamasını IAS olmaksızın gerçekleştirmek için VPN sunucularını yapılandırabilir veya ağınızda birden çok Uzaktan Erişim İçeri Arama Kullanıcı Hizmeti (RADIUS) istemcisi (VPN sunucuları ve kablosuz erişim noktaları gibi) bulunduğunda, kimlik doğrulaması için IAS'yi kullanabilirsiniz.

İki kimlik doğrulama yöntemi sertifika kullanır: Genişletilebilir Kimlik Doğrulama Protokolü Aktarım Katmanı Güvenliği (EAP-TLS) ve Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP). Her iki yöntem de, sunucu kimlik doğrulaması için her zaman sertifika kullanır. Kimlik doğrulama yöntemiyle birlikte yapılandırılan kimlik doğrulama türüne bağlı olarak, kullanıcı ve istemci kimlik doğrulaması için sertifika kullanılabilir. Daha fazla bilgi için, bkz: EAP ve PEAP.

VPN bağlantılarının kimlik doğrulamasında sertifika kullanılması, Windows Server 2003 ailesinde kullanılabilen en güçlü kimlik doğrulama biçimidir. Internet Protokolü güvenliği üzerinden Katman İki Tünel Protokolü'ne (L2TP/IPSec) dayanan VPN bağlantılarında, sertifika tabanlı kimlik doğrulaması kullanmanız gerekir. Noktadan Noktaya Tünel Protokolü (PPTP) bağlantıları sertifika gerektirmez, ancak kimlik doğrulama yöntemi olarak EAP-TLS kullanırken, PPTP bağlantılarını bilgisayar kimlik doğrulaması için sertifika kullanacak şekilde yapılandırabilirsiniz. Kablosuz istemciler (taşınabilir bilgisayar veya kişisel dijital yardımcı gibi kablosuz ağ bağdaştırıcılarına sahip bilgisayar aygıtları) için önerilen kimlik doğrulama yöntemi, EAP-TLS ve akıllı kartlar içeren PEAP veya sertifikalardır. Daha fazla bilgi için bkz: Katman İki Tünel Protokolü, Noktadan Noktaya Tünel Protokolü ve Kablosuz Ağlar.

Notlar

  • PPTP bağlantıları için kimlik doğrulama girişimleri sırasında, bilgisayar kimlik doğrulaması yapılmaz. PPTP bağlantılarında kimlik doğrulama yöntemi olarak EAP-TLS kullanıldığında, kullanıcı kimlik doğrulaması, yerel bilgisayardaki sertifika deposundan veya bir akıllı karttan alınan bir sertifika ile gerçekleştirilir.
  • Windows Server 2003 Web Edition ve Windows Server 2003 Standard Edition’da, en fazla 1.000 Noktadan Noktaya Tünel Protokolü (PPTP) bağlantı noktası ve en fazla 1.000 Katman İki Tünel Protokolü (L2TP) bağlantı noktası oluşturabilirsiniz. Ancak, Windows Server 2003 Web Edition belirli bir anda yalnızca bir sanal özel ağ (VPN) bağlantısı kabul edebilir. Windows Server 2003 Standard Edition, en çok 1.000 eş zamanlı VPN bağlantısı kabul edebilir. 1.000 VPN istemcisi bağlıysa, yeni bağlantı istekleri bağlantı sayısı 1.000'in altına düşene kadar reddedilir.
  • Windows Server 2003 Standard Edition'da IAS'yi, en çok 50 RADIUS istemcisi ve 2 uzak RADIUS sunucu grubuyla yapılandırabilirsiniz. Tam etki alanı adı veya bir IP adresiyle bir RADIUS istemcisi tanımlayabilirsiniz, ancak IP adres aralığı belirleyerek RADIUS istemci grupları tanımlayamazsınız. RADIUS istemcisinin tam etki alanı adı birden çok IP adresi olarak çözümlenirse, IAS sunucusu DNS sorgusundan dönen ilk IP adresini kullanır. Windows Server 2003 Enterprise Edition ve Windows Server 2003 Datacenter Edition'da IAS kullanarak sınırsız sayıda RADIUS istemcisi ve uzak RADIUS sunucu grubu yapılandırabilirsiniz. Buna ek olarak, RADIUS istemcilerini IP adres aralığı kullanarak yapılandırabilirsiniz.

Sertifikaları kullanıcı ve bilgisayarlara dağıtabilmek için, öncelikle aşağıdakileri yapmanız gerekir:

  • Bir ortak anahtar altyapısı (PKI) tasarlayın.
  • Sertifika Hizmetleri'ni kullanarak bir sertifika yetkilisi (CA) dağıtın.
  • Sertifika Hizmetleri ile birlikte yüklenen Sertifika Şablonları'nı kullanarak, bir veya daha çok sertifika tasarlayın ve yayımlayın.
  • Sertifikaları bilgisayarlara yüklemek ve kullanıcılara dağıtmak için bir veya daha çok dağıtım yöntemi (sertifika kayıt yöntemi olarak da bilinir) seçin.

Notlar

Örnek sertifika dağıtımları

  • Uzaktan erişim VPN bağlantıları
    VPN sunucusu ile VPN istemcisi arasında, EAP-TLS kimlik doğrulama yöntemi kullanılarak kurulan L2TP/IPSec veya PPTP bağlantılarıdır. IPSec, kimlik doğrulaması için istemci ile sunucu arasındaki bilgisayar sertifikalarını kullanır ve EAP-TLS, kullanıcı kimlik doğrulaması için bir sertifika (akıllı karttan veya kullanıcının yerel sertifika deposundan alınan) kullanır. IAS veya VPN sunucu sertifikası, Sunucu Kimlik Doğrulaması amacını içermeli ve istemci bilgisayar veya kullanıcı sertifikası ise, sertifikanın Gelişmiş Anahtar Kullanımı (EKU) uzantılarında İstemci Kimlik Doğrulaması amacını içermelidir.
    Daha fazla bilgi için, bkz: L2TP tabanlı uzaktan erişim VPN dağıtımı ve PPTP tabanlı uzaktan erişim VPN dağıtımı.
  • Yönlendiriciden yönlendiriciye VPN bağlantıları
    EAP-TLS kimlik doğrulaması kullanılarak sunucular arasında kurulan, ayrılmış ve isteğe bağlı arama bağlantıları için L2TP/IPSec bağlantılarıdır. Her iki sunucu da, EKU uzantılarında Sunucu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması amaçlarını içeren sertifikalara sahip olmalıdır.
    Daha fazla bilgi için bkz: Yönlendiriciden Yönlendiriciye VPN Dağıtma.
  • IEEE 802.1X kablosuz veya geçiş istemcileri
    PEAP-EAP-MS-CHAPv2 kimlik doğrulama yöntemi olarak yapılandırılır ve Sunucu sertifikasını doğrula seçeneği istemci bilgisayarlarında etkindir. IAS sunucu sertifikası EKU uzantıları sunucu Kimlik Doğrulaması amacını içerir ve sertifika sunucuyu istemciye tanıtmak için kullanılır. Kullanıcı kimlik doğrulaması, kullanıcı adı ve parolayla gerçekleştirilir.
    Daha fazla bilgi için bkz: Akıllı kart veya diğer sertifika kimlik doğrulamasını etkinleştirme ve İstemci bilgisayarlarda kablosuz ağ ayarlarını yapılandırma.
  • IEEE 802.1X kablosuz veya geçiş istemcileri
    L2TP/IPSec kullanılır ve kimlik doğrulama yöntemi olarak sertifikalarla birlikte EAP-TLS yapılandırılır. IAS sunucu sertifikası, kendisini istemciye tanıtmak için EKU uzantılarında Sunucu Kimlik Doğrulaması amacını içerir ve istemci kendisini IAS sunucusuna tanıtmak için bir sertifika (akıllı karttan veya kullanıcının yerel sertifika deposundan alınan) kullanır. (Kablosuz erişim noktaları, EAP kimlik doğrulayıcısı olan IAS sunucusunda RADIUS istemcileri olarak yapılandırılır).

Not

  • Kullanıcı kimlik doğrulaması ve ağ erişimi yetkilendirmesi, VPN sunucusu veya Internet Kimlik Doğrulama Hizmeti (IAS) gibi bir RADIUS sunucusu tarafından, VPN ağ geçidinde yapılandırıldığı gibi gerçekleştirilir. Daha fazla bilgi için bkz. RADIUS kimlik doğrulamasını kullanma.

EAP için sertifika gereksinimleri

Güçlü bir EAP türüyle (akıllı kartlarla veya sertifikalarla TLS gibi) EAP kullandığınızda, hem istemci, hem de sunucu, kimliklerini birbirlerine doğrulamak için sertifikaları kullanır. Sertifikaların, sunucu ve istemci tarafından başarılı kimlik doğrulamasında kullanılabilmek için belirli gereksinimleri karşılaması gerekir.

Bu koşullardan biri, sertifikanın, EKU uzantılarında bulunan ve sertifika kullanımıyla ilgili olan amaçlardan biri veya birkaçıyla yapılandırılmasıdır. Örneğin, bir istemcinin kimliği sunucu için doğrulanırken kullanılan sertifika, İstemci Kimlik Doğrulaması amacı ile yapılandırılmalıdır. Benzer şekilde, bir sunucunun kimliği doğrulanırken kullanılan sertifika, Sunucu Kimlik Doğrulaması amacı ile yapılandırılmalıdır. Kimlik doğrulaması için sertifikalar kullanıldığında, kimlik doğrulayıcısı sertifikayı inceler ve EKU uzantılarında doğru amaç nesnesi tanımlayıcısını arar. Örneğin, İstemci Kimlik Doğrulaması amacının nesne tanımlayıcısı 1.3.6.1.5.5.7.3.2'dir.

Sertifika Şablonları, Sertifika Hizmetleri tarafından verilen sertifikaların veriliş biçimlerini ve içeriklerini (amaçlar gibi) özelleştirme olanağı sağlar. Sertifika Şablonları'nda, CA'nın bilgisayarlara sertifika atamak için kullandığı şablonu tanımlamak üzere Bilgisayar şablonu gibi varsayılan bir şablon kullanabilirsiniz. Ayrıca, bir sertifika şablonu oluşturabilir ve EKU uzantılarında sertifikaya amaçlar atayabilirsiniz. Bilgisayar şablonu varsayılan olarak, EKU uzantılarında İstemci Kimlik Doğrulaması amacını ve sunucu Kimlik Doğrulaması amacını içerir.

Oluşturduğunuz sertifika şablonu, sertifikanın kullanılacağı herhangi bir amacı içerebilir. Örneğin, kimlik doğrulaması için akıllı kartlar kullanıyorsanız, İstemci Kimlik Doğrulaması amacına ek olarak Akıllı Kartla Oturum Açma amacını da ekleyebilirsiniz.

IAS kullanırken, IAS'yi, ağ yetkisi vermeden önce sertifika amaçlarını denetleyecek şekilde yapılandırabilirsiniz. IAS, ek EKU'ları ve Verme İlkesi amaçlarını (Sertifika İlkeleri olarak da bilinir) denetleyebilir.

Microsoft dışı bazı CA yazılımları, tüm olası amaçları içeren, Tümü adlı bir amaç içerebilir. Bu, boş (veya değersiz) bir EKU uzantısıyla belirtilir. Tümü seçeneği tüm olası amaçlar anlamına gelse de, Tümü amaç öğesi İstemci Kimlik Doğrulaması amacının, sunucu kimlik doğrulaması amacının veya ağ erişimi kimlik doğrulamasıyla ilgili başka bir amacın yerine kullanılamaz.

Daha fazla bilgi için bkz: Sertifika Şablonları ve Kuruluş Sertifika Yetkilisinin Sertifika Şablonlarını Yönetme.

Sertifikalar konsolu ile sertifika deposunu açarak, sertifikaları ve amaçlarını görüntüleyebilirsiniz. Sertifika depoları, Mantıksal Depo modunda veya Amaç modunda görüntülenebilir. Sertifika amaçlarını görüntüleme hakkında bilgi için bkz: Sertifika depolarını Amaç modunda görüntüleme.

En az sertifika koşulları

Ağ erişimi kimlik doğrulaması için kullanılan tüm sertifikalar, X.509 sertifikalarının koşullarını karşılamalı ve Güvenli Yuva Katmanı Aktarım Katmanı Güvenliği (SSL/TLS) kullanan bağlantılar için çalışmalıdır. Gereksinim alt sınırı karşılandıktan sonra, istemci ve sunucu sertifikaları ile belirlenen ek koşullar vardır.

En az istemci koşulları

Sertifika aşağıdaki koşulları karşıladığında, sunucu, EAP-TLS veya PEAP-EAP-TLS ile istemci kimlik doğrulaması girişimini kabul eder:

  • İstemci sertifikası bir kuruluş CA'sı tarafından verilir veya Active Directory'deki bir kullanıcı veya bilgisayar hesabıyla eşlenir.
  • Güvenilir bir kök CA'ya bağlı istemcideki kullanıcı veya bilgisayar sertifikası, EKU uzantılarında İstemci Kimlik Doğrulaması amacını içerir (İstemci Kimlik Doğrulaması'nın nesne tanımlayıcısı 1.3.6.1.5.5.7.3.2'dir) ve CryptoAPI tarafından gerçekleştirilen ve uzak erişim ilkesinde belirtilen denetlemelerde veya IAS uzaktan erişim ilkesinde belirtilen Sertifika nesnesi tanımlayıcı denetlemelerinde başarısız olmaz.
  • 802.1X istemcisi, akıllı kartla oturum açılan veya parola korumalı sertifikalar olan, kayıt defteri tabanlı sertifikaları kullanmaz.
  • Kullanıcı sertifikalarındaki Konu Diğer Adı (SubjectAltName) uzantısı, kullanıcı asıl adı (UPN) değerini içerir. Sertifika şablonundaki UPN adını yapılandırmak için:
  1. Sertifika Şablonları’nı açın.
  2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. Konu Adı sekmesinde Bu Active Directory bilgisinden oluştur'u tıklatın.
  4. Diğer ilgili adı için bu bilgiyi içer: alanında Kullanıcı asıl adı (UPN) seçeneğini seçin.
  • Bilgisayar sertifikalarındaki Konu Diğer Adı (SubjectAltName) uzantısı, istemciye ait DNS adı da denilen Tam etki alanı adını (FQDN) içermelidir. Bu adı sertifika şablonunda yapılandırmak için:
  1. Sertifika Şablonları’nı açın.
  2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. Konu Adı sekmesinde Bu Active Directory bilgisinden oluştur'u tıklatın.
  4. Diğer konu adı için bu bilgileri içer alanında DNS adı'nı seçin.

PEAP-EAP-TLS ve EAP-TLS'de, istemciler, Sertifikalar ek bileşeninde yüklü olan tüm sertifikaların (aşağıdakiler dışında) listesini görüntüler:

  • Kablosuz istemciler, kayıt defteri tabanlı sertifikaları ve akıllı kartla oturum açma sertifikalarını görüntülemez.
  • Kablosuz istemciler ve VPN istemcileri, parola korumalı sertifikaları görüntülemez.
  • EKU uzantılarında İstemci Kimlik Doğrulaması amacını içermeyen sertifikalar görüntülenmez.

Sunucu sertifika koşulları

İstemciler, Sunucu sertifikasını doğrula seçeneğini kullanarak sunucu sertifikalarını doğrulayacak şekilde yapılandırılabilir. İstemci, kimlik doğrulama yöntemi olarak PEAP-EAP-MS-CHAPv2, PEAP-EAP-TLS veya EAP-TLS kullanarak, sertifika aşağıdaki koşulları karşıladığında sunucunun kimlik doğrulama girişimini kabul eder:

  • Konu adı bir değer içerir. IAS sunucunuza Konu alanı boş olan bir sertifika verdiyseniz, bu sertifika IAS sunucunuzun kimliğini doğrulamak için kullanılmaz. Sertifika şablonunu bir Konu adıyla yapılandırmak için:
  1. Sertifika Şablonları’nı açın.
  2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. Konu Adı sekmesinde Bu Active Directory bilgisinden oluştur'u tıklatın.
  4. İlgili adı biçimi alanında Yok dışında bir değer seçin.
  • Sunucudaki bilgisayar sertifikası güvenilir bir kök CA'ya bağlanır ve CryptoAPI tarafından yapılan ve uzaktan erişim ilkesinde belirtilen denetimlerin hiçbirinde başarısız olmaz.
  • IAS veya VPN sunucu bilgisayarı sertifikası, EKU uzantılarındaki Sunucu Kimlik Doğrulaması amacı ile yapılandırılır (Sunucu Kimlik Doğrulaması'nın nesne tanımlayıcısı 1.3.6.1.5.5.7.3.1'dir).
  • Sunucu sertifikası, gerekli bir şifreleme hizmeti sağlayıcısı (CSP) değeri olan Microsoft RSA SChannel Şifreleme sağlayıcısı ile yapılandırılır. Gerekli CSP'yi yapılandırmak için:
  1. Sertifika Şablonları’nı açın.
  2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. İstek İşleme sekmesinde CSP'ler öğesini tıklatın.
  4. CSP Seçimi alanında İstekler aşağıdaki CSP'lerden birini kullanmalıdır öğesini seçin.
  5. CSP'ler alanında Microsoft RSA SChannel Şifreleme Sağlayıcısı onay kutusunu işaretleyin. CSP'ler alanındaki diğer tüm kutuların işaretlerini kaldırın.
  • Konu Diğer Adı (SubjectAltName) uzantısı kullanılıyorsa, sunucunun DNS adını içermelidir. Sertifika şablonunu, kaydolan sunucunun DNS adıyla yapılandırmak için:
  1. Sertifika Şablonları’nı açın.
  2. Ayrıntılar bölmesinde, değiştirmek istediğiniz sertifika şablonunu sağ tıklatın ve sonra Özellikler'i tıklatın.
  3. Konu Adı sekmesinde Bu Active Directory bilgisinden oluştur'u tıklatın.
  4. Diğer konu adı için bu bilgileri içer alanında DNS adı'nı seçin.

PEAP ve EAP-TLS'de, sunucular, bilgisayarın sertifika deposunda yüklü olan tüm sertifikaların (aşağıdakiler dışında) listesini görüntüler:

  • EKU uzantılarında Sunucu Kimlik Doğrulaması amacını içermeyen sertifikalar görüntülenmez.
  • Konu adı içermeyen sertifikalar görüntülenemez.
  • Sunucular, kayıt defteri tabanlı sertifikaları ve akıllı kartla oturum açma sertifikalarını görüntülemez.

Not

  • IAS veya VPN sunucusu tarafından kullanılmasını istediğiniz sertifikayı, uzaktan erişim ilkesi profilinde belirtebilirsiniz. Sunucu kimlik doğrulaması için sertifika gerektiren EAP ve PEAP kimlik doğrulaması yöntemleri yapılandırdığınızda ve Akıllı Kart veya Diğer Sertifika (TLS) Özellikleri iletişim kutusunda belirli bir sertifika seçmediğinizde, IAS veya VPN sunucusu bilgisayar sertifika deposundan otomatik olarak bir sertifika seçer. Sunucu daha yeni bir sertifika alırsa, bunu kullanır. Bu durum, IAS veya VPN sunucusunun, kimlik doğrulama için doğru yapılandırılmamış sertifikayı kullanmasına yol açabilir, bu durumda kimlik doğrulaması başarısız olur. Bunu önlemek için, sertifika gerektiren PEAP ve EAP kimlik doğrulama yöntemlerini yapılandırırken her zaman bir sunucu sertifikası seçin. Daha fazla bilgi için bkz: PEAP ve EAP yöntemlerini yapılandırma.

IPSec ile bilgisayar kimlik doğrulaması

Bilgisayar kimlik doğrulaması, öncelikle uzaktan erişim istemcisiyle sunucu arasındaki L2TP/IPSec bağlantısı girişimlerinde yapılır. İstemciyle sunucu arasında güvenli bir kanal oluşturulduğunda, kullanıcı kimlik doğrulaması ve yetkilendirme girişimleri devam eder.

IPSec tarafından yapılan bilgisayar kimlik doğrulaması, önceden paylaşılmış anahtarlar veya bilgisayar sertifikaları kullanılarak yapılır. Önerilen kimlik doğrulama yönteminde, PKI ve sertifika kullanılır. Sertifika kullanılıyorsa, L2TP/IPSec tabanlı VPN bağlantılarındaki Internet Anahtar Değişimi (IKE) anlaşması sırasında IPSec güveninin oluşturulabilmesi için, bir bilgisayar sertifikası gereklidir.

Windows Server 2003 çalıştıran bir VPN sunucusu ile Windows 2000 veya Windows XP çalıştıran bir VPN istemcisinin bir L2TP/IPSec VPN bağlantısına yönelik güven oluşturabilmesi için, her iki bilgisayarın da, aynı güvenilen kuruluş kök CA'sı tarafından verilen bir bilgisayar sertifikası olması gerekir. İki bilgisayar da güvenilen kök CA tarafından verilen birer sertifikaya sahip olup bunları IPSec anlaşması sırasında birbirlerine gönderdiklerinde, birbirlerine güvenmiş olurlar ve güvenlik ilişkilendirmesi yapılır.

VPN sunucularının sertifika kullanma biçimi

VPN istemcisiyle sunucu arasında bir L2TP/IPSec VPN bağlantısı yapılmaya çalışıldığında, akıllı karttan veya yerel bilgisayardaki bir sertifika deposundan alınan VPN istemci sertifikası, EKU uzantılarındaki İstemci Kimlik Doğrulaması amacıyla yapılandırılmamışsa ve VPN sunucu sertifikası, EKU uzantılarındaki Sunucu Kimlik Doğrulaması amacıyla yapılandırılmamışsa, bilgisayar kimlik doğrulaması başarısız olur. IPSec, İstemci Kimlik Doğrulaması amacı nesne tanımlayıcısının bulunup bulunmadığını belirlemek için, EKU uzantılarında istemci sertifikasını denetler. EKU uzantısında İstemci Kimlik Doğrulaması amacı nesne tanımlayıcısı bulunduğunda, IPSec, sertifikayı kimlik doğrulama için kullanabilir. Benzer şekilde, istemci, Sunucu Kimlik Doğrulaması amacı nesne tanımlayıcısının bulunup bulunmadığını belirlemek için, EKU uzantılarında VPN sunucu sertifikasını denetler.

Uzak kullanıcılar için bağlantıları sonlandıran VPN sunucuları, yalnızca EKU uzantılarındaki Sunucu Kimlik Doğrulaması amacıyla yapılandırılmış bir sertifikaya gereksinim duysa da, başka bir VPN sunucusuyla olan bağlantısının uç noktası olarak kullanılan bir VPN sunucusu, VPN bağlantılarını başlatır (istemci olarak) ve sonlandırır (sunucu olarak). Bu nedenle, bu sunuculardaki sertifikanın, EKU uzantılarında hem Sunucu Kimlik Doğrulaması amacını, hem de İstemci Kimlik Doğrulaması amacını içermesi gerekir. Ayrıca, otomatik sertifika seçiminin çalışma biçimi nedeniyle, her iki amaç da (Sunucu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması) aynı sertifikanın içinde bulunmalıdır.

Otomatik sertifika seçimi, sertifikanın içindeki amaçlara bakmaksızın, güvenilen kuruluş kök CA'sına bağlı olan bir sertifika deposundaki herhangi bir sertifikayı IPSec'e sağlayabilir. Sunucuda iki sertifika yüklüyse (İstemci Kimlik Doğrulaması amacını içeren ve Sunucu Kimlik Doğrulaması amacını içeren), otomatik sertifika seçiminin kimlik doğrulaması için yanlış sertifikayı kullanma olasılığı yüksektir. Örneğin, İstemci Kimlik Doğrulaması amacını içeren sertifika gerekli olmasına rağmen, otomatik sertifika seçimi yoluyla sağlanan sertifika, Sunucu Kimlik Doğrulaması amacını içerebilir. Bu ve benzeri örneklerde, bilgisayar kimlik doğrulaması başarısız olur.

Sertifika tabanlı kimlik doğrulama ve kablosuz istemciler

IEEE 802.1x kimlik doğrulaması, 802.11 kablosuz ağlara ve Ethernet kablolu ağlara kimliği doğrulanmış erişim sağlar. 802.1X, akıllı kartlarla veya sertifikalarla TLS gibi güvenli EAP türleri için destek sağlar. 802.1X'i, EAP-TLS'yle çok değişik şekillerde yapılandırabilirsiniz. Windows XP Professional istemcisindeki Sunucu sertifikasını doğrula seçeneği yapılandırılırsa, istemci, sunucunun kimliğini sertifikayı kullanarak doğrular. İstemci bilgisayar ve kullanıcı kimlik doğrulaması, istemci sertifika deposundaki veya akıllı kartlardaki sertifikalar kullanılarak gerçekleştirilebilir; böylece karşılıklı kimlik doğrulaması sağlanır.

Kablosuz istemcilerde, kimlik doğrulaması yöntemi olarak PEAP-EAP-MS-CHAPv2 kullanılabilir. PEAP-EAP-MS-CHAPv2, sunucu sertifikaları ile birlikte TLS kullanan, parola tabanlı bir kimlik doğrulama yöntemidir. PEAP-EAP-MS-CHAPv2 kimlik doğrulaması sırasında IAS veya RADIUS sunucusu, kimliğini istemciye tanıtmak için (Windows XP Professional istemcisindeki Sunucu sertifikasını doğrula seçeneği yapılandırılmışsa) bir sertifika sağlar. İstemci bilgisayar ve kullanıcı kimlik doğrulamaları parolalarla yapılır, böylece kablosuz istemci bilgisayarlara sertifika dağıtmanın bazı zorlukları aşılmış olur.

802.1X kablosuz ve anahtar istemcileri, güçlü güvenlik sağlayan PEAP-EAP-TLS kimlik doğrulamasını da kullanabilirler. PEAP-EAP-TLS kimlik doğrulaması, sunucu kimlik doğrulaması için kullanılan sertifikalarda bir ortak anahtar altyapısı, istemci bilgisayar ve kullanıcı kimlik doğrulaması için ise akıllı kartlar veya sertifikalar kullanır. Daha fazla bilgi için, bkz: PEAP.

802.1x kimlik doğrulaması hakkında daha fazla bilgi için, bkz: Kablosuz ağlar için 802.1X kimlik doğrulamasını anlama.

Sertifika kayıt yöntemleri ve etki alanı üyeliği

Sertifikaları kaydetmek istediğiniz bilgisayarların etki alanı üyeliği, seçebileceğiniz sertifika kayıt yöntemini etkiler. Etki alanına üye olan bilgisayarların sertifikaları otomatik olarak kaydedilebilir (otomatik kayıt olarak da bilinir), ancak yöneticilerin, etki alanı üyesi olmayan bilgisayarlar için sertifikaları Internet veya disket kullanarak kaydetmeleri gerekir. Etki alanı üyesi olmayan bilgisayarların sertifika kayıt yöntemi, ortak güven sağlamak amacıyla sertifikaların oluşturulduğu ve daha sonra el ile istenerek yöneticiler tarafından güvenli bir şekilde dağıtıldığı bir güven önyükleme işlemi olarak bilinir.

Etki alanı üyesi sertifika kaydı

VPN sunucunuz, IAS sunucunuz veya Windows 2000 ya da Windows XP çalıştıran istemciniz Windows Server 2003 ve Active Directory çalıştıran bir etki alanına üyeyse, bilgisayar ve kullanıcı sertifikalarının otomatik kaydını yapılandırabilirsiniz. Otomatik kayıt yapılandırılıp etkinleştirildikten sonra Grup İlkesi'nin ilk yenilenmesinde (yenilemenin gpupdate komutu kullanılarak el ile veya etki alanında oturum açılarak tetiklenmesine bakılmaksızın), etki alanına üye olan tüm bilgisayarlara sertifikalar gönderilir.

Bilgisayarınız, Active Directory'nin yüklü olmadığı bir etki alanının üyesiyse, bilgisayar sertifikalarını Sertifikalar yoluyla isteyerek el ile yükleyebilirsiniz.

Daha fazla bilgi için bkz: L2TP/IPSec VPN bağlantıları için bilgisayar sertifikaları.

Not

  • Windows 2000 çalıştıran bilgisayarlar, yalnızca bilgisayar sertifikalarını otomatik olarak kaydedebilir.

Etki alanı üyesi olmayan sertifika kaydı

Etki alanı üyesi olmayan bilgisayarların sertifika kaydı, otomatik kayıt olmadan yapılamaz. Bilgisayar bir etki alanına katıldığında, yöneticinin devreye girmesine gerek kalmadan otomatik kayıt yapılmasına olanak tanıyan bir güven oluşturulur. Bilgisayar bir etki alanına katılmadığında, güven oluşturulmaz ve sertifika verilmez. Güven, aşağıdaki yöntemlerden biri kullanılarak oluşturulmalıdır:

  • Yönetici (tanım olarak güvenilen), CA Web kayıt aracını kullanarak bir bilgisayar veya kullanıcı sertifikası istemelidir.
  • Yönetici, bilgisayar veya kullanıcı sertifikasını bir diskete kaydetmeli ve etki alanı üyesi olmayan bilgisayara yüklemelidir. Diğer bir yöntemse, bilgisayara yönetici tarafından erişilemediğinde (örneğin, L2TP/IPSec VPN bağlantısı kullanılarak bir kuruluş ağına bağlanan bir ev bilgisayarı), yöneticinin güvendiği bir etki alanı kullanıcısının sertifikayı yüklemesidir.
  • Bir yönetici, sertifikayı bir akıllı karta dağıtabilir (bilgisayar sertifikaları akıllı kartlara dağıtılmaz).

Pek çok ağ altyapısında, etki alanı üyesi olmayan VPN ve IAS sunucuları bulunur. Örneğin, bir çevre ağdaki VPN sunucusu, güvenlik nedeniyle bir etki alanı üyesi olmayabilir. Bu durumda, etki alanı üyesi olmayan VPN sunucusunun istemcilerle başarılı, L2TP/IPSec tabanlı VPN bağlantıları kurabilmesi için, sunucuya, EKU uzantılarında bir Sunucu Kimlik Doğrulaması amacı bulunan bir bilgisayar sertifikası yüklenmelidir. Etki alanı üyesi olmayan VPN sunucusu başka bir VPN sunucusuyla kurulan VPN bağlantısının uç noktası olarak kullanılıyorsa, EKU uzantıları hem Sunucu Kimlik Doğrulaması amacını, hem de İstemci Kimlik Doğrulaması amacını içermelidir.

Sertifika kayıt yöntemi seçme

Windows Server 2003 Standard Edition kullanan bir bilgisayarda bir kuruluş sertifika yetkilisi (CA) çalıştırıyorsanız, gereksinimlerinize en uygun sertifika kayıt yöntemini belirlemek için aşağıdaki tabloyu kullanabilirsiniz:

 

Nesne ve etki alanı üyeliği Sertifika şablonu Sertifika amaçları Tercih edilen sertifika kayıt yöntemi Diğer sertifika kayıt yöntemi

VPN veya IAS sunucusu, etki alanı üyesi

Bilgisayar

Sunucu Kimlik Doğrulaması

Otomatik kayıt

Sertifikalar ek bileşeniyle bir sertifika isteme

Siteler arası bağlantısı olan VPN sunucusu, etki alanı üyesi

Bilgisayar

Sunucu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması

Otomatik kayıt

Sertifikalar ek bileşeniyle bir sertifika isteme

Windows XP istemcisi, etki alanı üyesi

Bilgisayar

İstemci Kimlik Doğrulaması

Otomatik kayıt

Sertifikalar ek bileşeniyle bir sertifika isteme

VPN veya IAS sunucusu, etki alanı üyesi değil

Bilgisayar

Sunucu Kimlik Doğrulaması

CA Web kayıt aracı

Disketten yükleme

Siteler arası bağlantısı olan VPN sunucusu, etki alanı üyesi değil

Bilgisayar

Sunucu Kimlik Doğrulaması ve İstemci Kimlik Doğrulaması

CA Web kayıt aracı

Disketten yükleme

Windows XP istemcisi, etki alanı üyesi değil

Bilgisayar

İstemci Kimlik Doğrulaması

CA Web kayıt aracı

Disketten yükleme

Kullanıcı, etki alanı kullanıcısı

Kullanıcı

İstemci Kimlik Doğrulaması

Otomatik kayıt

Akıllı kart veya CA Web kayıt aracı kullanma

Sertifika yetkiliniz aşağıdaki işletim sistemlerinden birini çalıştıran bir bilgisayarda ise, RAS ve IAS sunucuları ile İş İstasyonu Kimlik Doğrulaması şablonları kullanılabilir:

  • Windows Server 2003, Enterprise Edition
  • Windows Server 2003, Datacenter Edition
  • Itanium tabanlı Sistemler için Windows Server 2003, Enterprise Edition
  • Itanium tabanlı Sistemler için Windows Server 2003, Datacenter Edition
  • Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2003, Datacenter x64 Edition

Bu şablonların ne zaman kullanılacağını öğrenmek için aşağıdaki tabloyu kullanın.

 

Nesne ve etki alanı üyeliği Sertifika şablonu Sertifika amacı Tercih edilen sertifika kayıt yöntemi Diğer sertifika kayıt yöntemi

VPN veya IAS sunucusu, etki alanı üyesi

RAS ve IAS sunucusu

Sunucu Kimlik Doğrulaması

Otomatik kayıt

Sertifikalar ek bileşeniyle bir sertifika isteme

Windows XP istemcisi, etki alanı üyesi

İş İstasyonu Kimlik Doğrulaması

İstemci Kimlik Doğrulaması

Otomatik kayıt

Sertifikalar ek bileşeniyle bir sertifika isteme

VPN veya IAS sunucusu, etki alanı üyesi değil

RAS ve IAS sunucusu

Sunucu Kimlik Doğrulaması

CA Web kayıt aracı

Disketten yükleme

Windows XP istemcisi, etki alanı üyesi değil

İş İstasyonu Kimlik Doğrulaması

İstemci Kimlik Doğrulaması

CA Web kayıt aracı

Disketten yükleme

Önemli

IAS çalıştıran sunucunuz bir etki alanı denetleyicisi değil, Windows 2000 karma işlev düzeyine sahip bir etki alanının üyesiyse, sunucuyu, RAS ve IAS Sunucusu sertifika şablonunun erişim denetim listesine (ACL) eklemeniz gerekir. Ayrıca otomatik kayıt için doğru izinleri yapılandırmanız gerekir. Tek sunucuları ve sunucu gruplarını ACL'ye eklemek için çeşitli yordamlar vardır.

RAS ve IAS sunucusu sertifika şablonuna ait EDL'ye tek bir sunucu eklemek için:

Sertifika Şablonları'nda şablon RAS ve IAS sunucusu'nu seçin ve IAS sunucusunu şablon Güvenlik özelliklerine ekleyin. Daha fazla bilgi için bkz: Şablona dayalı sertifika istenmesine izin verme. IAS sunucunuzu ACL'ye ekledikten sonra, Oku, Kaydet ve Otomatik Kayıt izinleri verebilirsiniz.

Sunucu gruplarını yönetmek için, sunucuları yeni veya evrensel bir gruba ekleyin ve daha sonra grubu sertifika şablonunun ACL'sine ekleyin:

  1. Active Directory Kullanıcıları ve Bilgisayarları'nda, IAS sunucuları için yeni bir genel veya evrensel grup oluşturun. Daha fazla bilgi için, bkz: Yeni grup oluşturma. Daha sonra, IAS sunucusu olan, etki alanı denetleyicisi olmayan ve Windows 2000 karma işlev düzeyine sahip bir etki alanına üye olan tüm bilgisayarları gruba ekleyin. Daha fazla bilgi için bkz: Bir gruba üye ekleme.
  2. Sertifika Şablonları'nda, RAS ve IAS Sunucusu şablonunu seçin ve Şablona dayalı sertifika istenmesine izin verme seçeneğindeki adımları tamamlayarak, oluşturduğunuz grubu şablon Güvenlik özelliklerine ekleyin. Yeni grubunuzu ekledikten sonra, Oku, Kaydet ve Otomatik Kayıt izinleri verebilirsiniz.

Daha fazla bilgi için bkz: Etki alanı ve orman işlevselliği.

CA Web kayıt hizmetleri

Windows Server 2003 ailesindeki Sertifika Hizmetleri'yle birlikte bir CA Web sayfaları kümesi sağlanır. Bu Web kayıt sayfaları, bir Web tarayıcısı aracılığıyla CA'ya bağlanmanıza ve CA'dan sertifika istemek gibi genel görevleri gerçekleştirmenize olanak verir.

Daha fazla bilgi için bkz: Sertifika yetkilisi Web kayıt hizmetleri ve Sertifika yetkilisi Web kayıt desteğini kurma.

PKI'nız tasarlanıp dağıtıldıktan ve size sertifika şablonları için gerekli olan izinler verildikten sonra, CA Web kayıt sertifikalarını kullanarak bilgisayarlar için sertifika isteyebilirsiniz. Aşağıdaki adımları tamamlayarak, etki alanı üyesi olmayan bir bilgisayar için CA Web kayıt aracını kullanarak bir sertifika isteyebilirsiniz. Bu adımları tamamlayabilmek için yerel bilgisayarda yönetici olmanız gerekir.

Yerel bilgisayara bilgisayar sertifikası yükleme

  1. Web tarayıcınızı kullanarak http://sunucuAdı/certsrv adresindeki Web kayıt aracında oturum açın; burada sunucuAdı CA'yı, CA Web sayfalarını veya her ikisini birden içeren sunucunun adıdır. Sertifika iste'yi tıklatın.
  2. Sertifika iste alanında Gelişmiş Sertifika İsteği'ni tıklatın.
  3. Gelişmiş Sertifika İsteği alanında Bu CA için bir istek oluşturun ve gönderin öğesini tıklatın. Sertifika Şablonu, Anahtar Seçenekleri ve Ek Seçenekler bölümlerini içeren bir Web formu kullanılabilir duruma gelir. Aşağıdakileri seçin:
    • Sertifika şablonu: Yönetici
    • Anahtar seçenekleri: Yeni anahtar kümesi oluştur
    • CSP: Microsoft Gelişmiş Şifreleme sağlayıcısı sürüm 1.0
    • Anahtar kullanımı: Değişim
    • Anahtar boyutu: 1024
    • Otomatik anahtar kapsayıcısı adı: Seçili
    • Anahtarları verilebilir olarak işaretleme: Seçili
    • Yerel makinenin deposunu kullanma. Seçili
    • İstek biçimi: PKCS 10
    • Karma: SHA-1
    • Kolay ad:VPN sunucusu adı
  4. Gönder'i tıklatın.
  5. Bu sertifikayı yükle’yi tıklatın.
    İstediğiniz sertifika yerel bilgisayarınızda yüklü.

Bilgisayar sertifikasını diskete kaydetme

  1. Web tarayıcınızı kullanarak http://sunucuAdı/certsrv adresindeki Web kayıt aracında oturum açın; burada sunucuAdı CA'yı, CA Web sayfalarını veya her ikisini birden içeren sunucunun adıdır. Sertifika iste'yi tıklatın.
  2. Sertifika iste alanında Gelişmiş Sertifika İsteği'ni tıklatın.
  3. Gelişmiş Sertifika İsteği alanında Bu CA için bir istek oluşturun ve gönderin öğesini tıklatın. Sertifika Şablonu, Anahtar Seçenekleri ve Ek Seçenekler bölümlerini içeren bir Web formu kullanılabilir duruma gelir. Aşağıdakileri seçin:
    • Sertifika şablonu: Yönetici
    • Anahtar seçenekleri: Yeni anahtar kümesi oluştur
    • CSP: Microsoft Gelişmiş Şifreleme sağlayıcısı sürüm 1.0
    • Anahtar kullanımı: Değişim
    • Anahtar boyutu: 1024
    • Otomatik anahtar kapsayıcısı adı: Seçili
    • Anahtarları verilebilir olarak işaretleme: Seçili
    • Dosyaya anahtar verme: Seçili
    • Tam yol adı: Dosyayı ve dosya adını kaydetmek istediğiniz konumun yolu (örneğin, \\SunucuAdı\PaylaşımAdı\DosyaAdı.pvk.).
    • İstek biçimi: PKCS 10
    • Karma: SHA-1
    • Kolay ad:VPN sunucusu adı
  4. Gönder'i tıklatın.
  5. Özel anahtar parolanızı oluşturun ve onaylayın.
  6. Verilen Sertifika’da DER kodlanmış ve Sertifika zincirini yükle’yi seçin.
  7. Disket sürücünüze bir disket yerleştirin.
  8. Tarayıcınız tarafından istendiğinde, Bu dosyayı diske kaydet öğesini seçin ve Tamam’ı tıklatın.
  9. Disket sürücünüzü tıklatın ve sonra Tamam’ı tıklatın.
    İstediğiniz sertifika yüklenir ve diskete kaydedilir.

Daha fazla bilgi için bkz: Web yoluyla gelişmiş sertifika isteği gönderme.

Diskette bulunan bir sertifikayı yerel bilgisayarın sertifika deposuna yükleme hakkında bilgi için bkz: Sertifika alma.

Not

  • IAS sunucunuza Konu alanı boş olan bir sertifika verdiyseniz, bu sertifika IAS sunucunuzun kimliğini doğrulamak için kullanılmaz. Bunu değiştirmek için, IAS sunucunuzda kayıt işleminde kullanılacak yeni bir sertifika oluşturmak üzere Sertifika Şablonları'nı kullanabilirsiniz. Sertifika özelliklerinde, Konu Adı sekmesinde, Konu adı biçimi kutusunda, Hiçbiri dışında bir değer seçin.
Bunu faydalı buldunuz mu?
(1500 karakter kaldı)
Geri bildiriminiz için teşekkür ederiz

Topluluk İçeriği

Show:
© 2014 Microsoft