Sertifika Yetkilisi Kılavuzu

 

Uygulama Alanı: Windows Server 2012 R2, Windows Server 2012

Sertifika yetkilisi (CA) kullanıcı, bilgisayar ve kuruluşların kimliklerini doğrulama işleminden sorumludur. CA varlığın kimliğini doğrular ve onaylamak üzere dijital olarak imzalanmış bir sertifika verir. CA ayrıca sertifikaları yönetebilir, iptal edebilir ve yenileyebilir.

Sertifika yetkilisi aşağıdakilere başvurabilir:

  • Son kullanıcı kimliğini onaylayan bir kuruluş

  • Kuruluş tarafından sertifika vermek ve yönetmek üzere kullanılan bir sunucu

Active Directory Sertifika Hizmetleri’nin (AD CS) Sertifika Yetkilisi rolü hizmetini yükleyerek Windows sunucunuzu bir CA olarak çalışacak şekilde yapılandırabilirsiniz.

CA rolü hizmetini yüklemeden önce şunları yapmalısınız:

  1. Kuruluşunuz için uygun olan bir ortak anahtar altyapısı planlayın.

  2. Kullanmayı planlıyorsanız Donanım Güvenlik Modülü’nü (HSM), HSM satıcısı yönergelerine göre yükleyin ve yapılandırın.

  3. Varsayılan yükleme ayarlarını değiştirmek istiyorsanız uygun bir CAPolicy.inf dosyası oluşturun.

PKI planı yapın

Kuruluşunuzun Active Directory Sertifika Hizmetleri (AD CS) yüklemenizden tam olarak yararlanması için PKI dağıtımını uygun şekilde planlamanız gerekir. Yüklemeden önce kaç tane CA yükleyeceğinizi ve hangi yapılandırmayı kullanacağınızı belirleyin. Uygun bir PKI tasarımı oluşturmak zaman alabilir ancak bu süreç, PKI’nızın başarısı için önemlidir.

Daha fazla bilgi ve kaynaklar için Microsoft TechNet sitesindeki PKI Tasarım Kılavuzu’na bakın.

HSM kullanın

Bir donanım güvenlik modülü (HSM) kullanarak CA ve PKI güvenliğini artırabilirsiniz.

HSM, işletim sisteminden ayrı olarak yönetilen ayrılmış bir donanım cihazıdır. Bu modüller, CA anahtarları için güvenli bir donanım deposunun yanı sıra oturum açma ve şifreleme işlemlerinin hızını artıran ayrılmış bir şifreleme işlemcisi sunar. İşletim sistemleri HSM’den CryptoAPI arabirimleri aracılığıyla faydalanırlar ve HSM, bir şifreleme hizmeti sağlayıcısı (CSP) cihazı gibi çalışır.

HSM’ler genellikle PCI adaptörleridir, ancak ağ tabanlı araçlar, seri cihazlar ve USB cihazlar olarak da kullanılabilirler. Kuruluşunuzda iki veya daha fazla CA uygulamayı planlıyorsanız tek bir ağ tabanlı HSM yükleyerek birden fazla CA arasında paylaşabilirsiniz.

CA’yı HSM kullanarak ayarlamanız için HSM’nin, HSM’de depolanacak anahtarlarla CA’ları yapılandırmadan önce yüklenmesi ve yapılandırılması gerekir.

CAPolicy.inf dosyasını kullanmayı göz önünde bulunun

CAPolicy.inf dosyası AD CS yüklemesi için gerekli değildir, ancak CA ayarlarını özelleştirmek üzere kullanılabilir. CAPolicy.inf dosyası CA yüklenirken veya CA sertifikası yenilenirken kullanılan çeşitli ayarları içerir. CAPolicy.inf dosyasının kullanılması için oluşturulduktan sonra %systemroot% dizininde (genellikle C:\Windows) depolanması gerekir.

CAPolicy.inf dosyasında bulunan ayarlar çoğunlukla oluşturmak istediğiniz dağıtım türüne bağlıdır. Örneğin, bir kök CA’sı şuna benzeyen bir CAPolicy.inf dosyasına sahip olabilir:

[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
LoadDefaultTemplates=0

Ancak CA veren bir kuruluşun CAPolicy.inf dosyası şuna benzeyebilir:

[Version]
Signature= "$Windows NT$"
[PolicyStatementExtension]
Policies = LegalPolicy, LimitedUsePolicy
[LegalPolicy]
OID = 1.1.1.1.1.1.1.1.1
URL = "https://www.contoso.com/pki/Policy/USLegalPolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLegalPolicy.txt"
[LimitedUsePolicy]
OID = 2.2.2.2.2.2.2.2.2
URL = "https://www.contoso.com/pki/Policy/USLimitedUsePolicy.asp"
URL = "ftp://ftp.contoso.com/pki/Policy/USLimitedUsePolicy.txt"
LoadDefaultTemplates=0

Not

  1. CAPolicy.inf dosyasında gösterilen OID’ler yalnızca örnektir. Ayrı kuruluşların kendi OID’lerini edinmeleri gerekir. OID’ler hakkında daha fazla bilgi edinmek için ISO Adı Kayıt Yetkilisi’nden Kök OID Alma konusuna bakın.

  2. Daha fazla bilgi için CAPolicy.inf Söz Dizimi konusuna bakın.

CA yapılandırma ayarlarını seçme

Aşağıdaki bölümlerde, CA ikili yükleme dosyalarını yükledikten sonra belirleyeceğiniz yapılandırma seçenekleri açıklanmaktadır.

Kurulum türünü seçme

Kuruluş sertifika yetkilileri Active Directory Etki Alanı Hizmetleri’yle (AD DS) tümleşiktir. Sertifikaları ve sertifika iptal listelerini (CRL’ler) AD DS’de yayımlarlar. Kuruluş sertifika yetkilileri sertifika isteklerini onaylamak veya reddetmek için AD DS’de depolanan kullanıcı bilgileri ve güvenlik grupları gibi bilgileri kullanır. Kuruluş sertifika yetkilileri sertifika şablonlarını kullanır. Bir sertifika verildiğinde Kuruluş sertifika yetkilisi, sertifika şablonundaki bilgileri kullanarak söz konusu sertifika türü için uygun özniteliklere sahip bir sertifika oluşturur.

Otomatik sertifika onayı ve otomatik kullanıcı sertifikası kaydını etkinleştirmek istiyorsanız sertifika vermek için Kuruluş sertifika yetkilisini kullanın. Bu özellikler yalnızca CA altyapısı Active Directory ile tümleştirildiğinde kullanılır. Ek olarak yalnızca Kuruluş sertifika yetkilileri akıllı kartla oturum açmayı etkinleştiren sertifika verebilir. Bunun nedeni akıllı kart sertifikalarının Active Directory’deki kullanıcı hesaplarına otomatik olarak eşlenmesini gerektirmesidir.

Not

Varsayılan olarak bir Kuruluş sertifika yetkilisi yüklemek ve yapılandırmak için Kuruluş Yöneticileri grubunun bir üyesi olmanız gerekir. Kuruluş sertifika yetkilisini düşük öncelikli bir etki alanı yöneticisinin yüklemesini ve yapılandırmasını istiyorsanız bkz. Kuruluş Sertifika Yetkilisi için Temsilcili Yükleme.

Tek Başına CA’lar AD DS gerektirmez ve sertifika şablonu kullanmazlar. Tek başına CA’ları kullanırsanız istenen sertifika türü hakkındaki tüm bilgilerin sertifika isteğinde bulunması gerekir. Varsayılan olarak tek başına CA’lara gönderilen tüm sertifika istekleri, bir CA yöneticisi onaylayana kadar bir bekleme kuyruğunda tutulur. Tek başına CA’ları istendiğinde sertifikaları otomatik olarak verecek şekilde yapılandırabilirsiniz, ancak bu daha az güvenlidir ve isteklerde kimlik doğrulaması yapılmadığından genellikle önerilmez.

Performans açısından bakılırsa tek başına CA’ları otomatik sertifika verecek şekilde kullandığınızda, kuruluş sertifika yetkilileri kullanılırken verebileceğinizden daha hızlı sertifika verebilirsiniz. Ancak otomatik verme kullanmıyorsanız, büyük hacimli sertifikaları vermek için tek başına CA kullandığınızda, yöneticinin her sertifika isteğini el ile gözden geçirdikten sonra onaylaması veya reddetmesi gerektiğinden bu yüksek yönetim maliyetlerine neden olur. Bu nedenle tek başına CA’ların en iyi kullanımı, kullanıcıların kullanıcı hesabı yoksa ve verilecek ve yönetilecek sertifika hacmi oldukça düşükse ekstranet ve İnternet’teki ortak anahtar güvenlik uygulamalarıyla birlikte kullanılmasıdır.

Microsoft dışındaki bir dizin hizmeti kullanıyorsanız veya AD DS kullanılamıyorsa sertifika vermek için tek başına CA’ları kullanmanız gerekir. Aşağıdaki tabloda açıklandığı gibi kuruluşunuzda hem kuruluş hem de tek başına sertifika yetkilileri bulunabilir.

Seçenek

Kuruluş Sertifika Yetkilisi (CA)

Tek Başına Sertifika Yetkilisi (CA)

Sertifikaları Active Directory’de yayımlayın ve sertifika isteklerini doğrulamak için Active Directory kullanın.

Evet

Hayır

CA’yı çevrimdışı duruma getirin.

Önerilmez.

Evet

CA’yı sertifikaları otomatik olarak verecek şekilde yapılandırın.

Evet

Önerilmez.

Yöneticilerin sertifika isteklerini el ile onaylamalarına izin verin.

Evet

Evet

Sertifika şablonu kullanımına izin verin.

Evet

Hayır

Active Directory isteklerine kimlik doğrulaması yapın

Evet

Hayır

CA türü seçme

Kuruluş ve tek başına CA’lar, kök CA veya alt CA olarak yapılandırılabilir. Alt CA’lar ayrıca ara CA (ilke CA’sı olarak da bilinir) veya veren CA olarak da yapılandırılabilir

Kök CA belirleme

Kök CA, sertifika hiyerarşisinin en üstünde bulunan CA’dır. Kuruluşunuzdaki istemciler tarafından koşulsuz olarak güvenilmesi gerekir. Tüm sertifika zincirleri kök CA’da sonlanır. İster kuruluş CA’sı, ister tek başına CA kullanın, bir kök CA’sı belirlemeniz gerekir.

Kök CA, sertifika hiyerarşisinin en üstünde bulunduğundan kök CA tarafından verilen bir sertifikanın Konu alanı, sertifikanın Veren alanıyla aynı değere sahip olur. Benzer şekilde, sertifika zinciri kendi tarafından imzalanmış bir CA’ya ulaştığında sona erdiğinden kendi imzaları bulunan tüm CA’lar kök CA’dır. CA’yı güvenilir bir kök CA olarak belirleme kararı, belirli bir BT yöneticisi tarafından kuruluş düzeyinde veya yerel olarak alınabilir.

Kök CA sunucuları, sertifika yetkilisi güven modelinizin tabanını oluşturan temel olarak görev yapar. Konunun ortak anahtarının, verdiği sertifikanın konu alanında gösterilen kimlik bilgileriyle eşleşmesini sağlar. Farklı CA’lar farklı standartlar kullanarak bu ilişkiyi doğrulayabilir; bu nedenle herhangi bir yetkilinin ortak anahtarı doğrulamasına güvenmeden önce kök sertifika yetkilisi ilkelerini ve yordamlarını anlamış olmanız önemlidir.

Kök CA, hiyerarşinizdeki en önemli CA’dır. Kök CA’nız gizliliği bozulursa, hiyerarşideki tüm CA’lar ve söz konusu kök CA’nın verdiği tüm CA’ların gizliliği bozulur. Kök CA’nızın ağınızla bağlantısını keserek ve diğer alt CA’lara ya da son kullanıcılara sertifika vermek için alt CA’lar kullanarak güvenliğini en üst düzeye çıkarabilirsiniz.

Alt CA’lar

Kök olmayan CA’lar alt CA olarak kabul edilir. Hiyerarşideki ilk alt CA, CA sertifikasını kök CA’dan alır. Bu ilk alt CA, başka bir alt CA’nın bütünlüğünü doğrulayan sertifikaları vermek için söz konusu anahtarı kullanır. Bu daha üst düzeydeki alt CA’lara ara CA denir. Ara CA, kök CA’nın alt düzeyindedir, ancak bir veya birden fazla alt CA için sertifika yetkilisi olarak çalışır.

Ara CA genellikle ilkeler tarafından ayrıt edilebilen sertifikaların sınıflarını ayırmak üzere kullanıldığından ilke CA’sı olarak da adlandırılır. Örneğin, ilke ayırma farklı son varlık popülasyonlarını ayırmak için CA’nın sunduğu güvence düzeyini veya CA’nın coğrafi konumunu içerir. İlke CA’sı çevrimiçi veya çevrimdışı olabilir.

Uyarı

Bir kök CA, alt CA’ya veya bir alt CA, kök CA’ya dönüştürülemez.

Özel anahtar depolama

Özel anahtar, CA kimliğinin bir parçasıdır ve gizliliği bozulmayacak şekilde korunmalıdır. Çoğu kuruluş CA özel anahtarlarını bir donanım güvenlik modülüyle (HSM) korur. HSM’nin kullanılmadığı durumda özel anahtar CA bilgisayarında depolanır. Daha fazla bilgi için Microsoft TechNet’teki Donanım Güvenlik Modülü (HSM) konusuna bakın.

Çevrimdışı CA’lar güvenli konumlarda depolanmalıdır ve ağa bağlı olmamalıdır. Veren CA’lar, sertifika verirken özel anahtarlarını kullanır; bu nedenle özel anahtarın CA çalışırken erişilebilir (çevrimiçi) olması gerekir. Her durumda CA ve CA’daki özel anahtarının fiziksel olarak korunmaları gerekir.

Mevcut bir anahtarı bulma

Yükleme sırasında kullanmak istediğiniz özel bir anahtarınız zaten varsa anahtarı bulmak için Mevcut Anahtar ekranını kullanabilirsiniz. Şifreleme sağlayıcısını ve isteğe bağlı olarak mevcut bir anahtarı aramak istediğiniz CA’yı değiştirmek için Değiştir düğmesini kullanabilirsiniz.

Mevcut bir sertifikayı bulma

CA için özel anahtarı içeren bir sertifikanız zaten varsa sertifikayı bulmak için Mevcut Sertifika ekranını kullanabilirsiniz.Mevcut Sertifikayı İçeri Aktar iletişim kutusunu açmak için İçeri Aktar düğmesini kullanabilirsiniz, sonra da mevcut PKCS #12 dosyanızı bulabilirsiniz.

Şifreleme seçeneklerini belirleme

Sertifika yetkilisi (CA) için şifreleme seçenekleri belirlediğinizde söz konusu CA’nın güvenlik, performans ve uyumluluk etkileri önemli ölçüde artabilir. Çoğu CA için varsayılan şifreleme seçenekleri uygun olsa da yöneticiler ve uygulama geliştiricileri özel seçenekler belirleyerek şifrelemeyi ve bu esnekliğin gereksinimini daha iyi kavrayabilir. Şifreleme seçenekleri, şifreleme hizmeti sağlayıcıları (CSP’ler) veya anahtar depolama sağlayıcıları (KSP’ler) kullanılarak uygulanabilir.

Önemli

CA için RSA sertifikası kullanırken anahtar uzunluğunun en az 2048 bit olduğundan emin olun. CA için 1024 bitin altındaki bir RSA sertifikası kullanmamanız gerekir. 1024 bitten az bir RSA anahtarı yüklenirse CA hizmeti (certsvc) başlatılmaz.

CSP’ler Windows işletim sistemlerindeki genel şifreleme işlevleri sağlayan donanım ve yazılım bileşenleridir. CSP’ler çeşitli şifreleme ve imza algoritmaları sağlamak üzere yazılabilir.

KSP’ler en düşük Windows Server 2008 R2 sunucu sürümü ve en düşük Windows Vista istemci sürümü çalıştıran bilgisayarlara güçlü anahtar koruması sağlayabilir.

Önemli

Sağlayıcı, karma algoritması ve anahtar uzunluğunu seçerken kullanmak istediğiniz uygulama ve cihazların destekleyebileceği şifreleme seçeneklerini dikkatle göz önünde bulundurun. En güçlü güvenlik seçeneklerini belirlemek en iyi yöntem olsa da bu seçenekleri tüm uygulama ve cihazlar desteklemeyebilir.

Destek gereksinimlerini değişirse ve KSP’ye geçiş yapma ve daha güçlü bir karma algoritması gibi daha üst düzey güvenlik seçeneklerini kullanabilirseniz Sertifika Yetkilisi Anahtarını Şifreleme Hizmeti Sağlayıcısı’ndan (CSP) Anahtar Depolama Alanı Sağlayıcısı’na (KSP) Geçirme başlığına bakın.

CA tarafından özel anahtara erişildiğinde yönetici etkileşimine izin ver seçeneği genellikle donanım güvenlik modülleri (HSM’ler) tarafından kullanılır. Bu, şifreleme sağlayıcısının CA özel anahtarına erişildiğinde kullanıcıdan ek kimlik doğrulama bilgileri istemesini sağlar. Bu seçenek her şifreleme işleminden önce yöneticinin bir parola girmesini gerektirdiğinden CA’nın ve özel anahtarının onaylanmamış kullanımlarının önlenmesine yardımcı olur.

Yerleşik şifreleme sağlayıcıları aşağıdaki tabloda açıklanan belirli anahtar uzunluklarını ve karma algoritmaları destekler.

Şifreleme sağlayıcısı

Anahtar uzunlukları

Karma algoritması

Microsoft Temel Şifreleme Sağlayıcısı v1.0

  • 512

  • 1024

  • 2048

  • 4096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Temel DSS Şifreleme Sağlayıcısı

  • 512

  • 1024

SHA1

Microsoft Temel Akıllı Kart Şifreleme Sağlayıcısı

  • 1024

  • 2048

  • 4096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Gelişmiş Şifreleme Sağlayıcısı v1.0

  • 512

  • 1024

  • 2048

  • 4096

  • SHA1

  • MD2

  • MD4

  • MD5

Microsoft Güçlü Şifreleme Sağlayıcısı

  • 512

  • 1024

  • 2048

  • 4096

  • SHA1

  • MD2

  • MD4

  • MD5

RSA#Microsoft Yazılım Anahtarı Depolama Alanı Sağlayıcısı

  • 512

  • 1024

  • 2048

  • 4096

  • SHA1

  • SHA256

  • SHA384

  • SHA512

  • MD2

  • MD4

  • MD5

DSA#Microsoft Yazılım Anahtarı Depolama Alanı Sağlayıcısı

  • 512

  • 1024

  • 2048

SHA1

ECDSA_P256#Microsoft Yazılım Anahtarı Depolama Alanı Sağlayıcısı

256

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P384#Microsoft Yazılım Anahtarı Depolama Alanı Sağlayıcısı

384

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P521#Microsoft Yazılım Anahtarı Depolama Alanı Sağlayıcısı

521

  • SHA1

  • SHA256

  • SHA384

  • SHA512

RSA#Microsoft Akıllı Kart Anahtar Depolama Alanı Sağlayıcısı

  • 1024

  • 2048

  • 4096

  • SHA1

  • SHA256

  • SHA384

  • SHA512

  • MD2

  • MD4

  • MD5

ECDSA_P256#Microsoft Akıllı Kart Anahtar Depolama Alanı Sağlayıcısı

256

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P384#Microsoft Akıllı Kart Anahtar Depolama Alanı Sağlayıcısı

384

  • SHA1

  • SHA256

  • SHA384

  • SHA512

ECDSA_P521#Microsoft Akıllı Kart Anahtar Depolama Alanı Sağlayıcısı

521

  • SHA1

  • SHA256

  • SHA384

  • SHA512

CA adı oluşturma

Kuruluşunuzdaki sertifika yetkililerini (CA) yapılandırmadan önce bir CA adlandırma kuralı oluşturmanız gerekir.

Adı herhangi bir Unicode karakter kullanarak oluşturabilirsiniz, ancak birlikte çalışabilirlikle ilgili kaygılarınız varsa ANSI karakter kullanmanızı öneririz. Örneğin belirli yönlendirici türleri, CA adı alt çizgi gibi özel karakterler içeriyorsa sertifikalara kaydolmak üzere Ağ Cihazı Kayıt Sistemi’ni kullanamazlar.

Önemli

Latin olmayan karakterler (örneğin Kiril, Arapça veya Çince karakter) kullanırsanız, CA adınız 64 karakterden kısa olmalıdır. Yalnızca Latin olmayan karakterler kullanırsanız CA adınız 37 karakterden uzun olamaz.

Active Directory Etki Alanı Hizmetleri (AD DS), bir sunucuyu CA olarak yapılandırdığınızda CA’nın genel adı olan addır. Bu ad CA’nın verdiği tüm sertifikalarda yer alır. Bu nedenle CA’nın ortak adı için tam etki alanı adı kullanmamanız gerekir. Bu şekilde sertifikanın bir kopyasını elde eden kötü amaçlı kullanıcılar CA’nın tam etki alanı adını olası bir güvenlik açığı oluşturmak üzere tanımlayamaz veya kullanamaz.

Uyarı

CA adı, bilgisayar adıyla aynı olmamalıdır (NetBIOS veya DNS adı). Ayrıca Active Directory Certificate Services (AD CS) yüklendikten sonra sunucunun adını, CA’nın verdiği tüm sertifikaları iptal etmeden değiştiremezsiniz. CA adlarıyla ilgili ek hususlar için TechNet Wiki makalesine göz atın: Sertifika Yetkilisi (CA) Adlarıyla İlgili Genel Hususlar.

Sunucu adını AD CS yüklendikten sonra değiştirmek için CA’yı kaldırmalı, sunucu adını değiştirmeli, aynı anahtarları kullanarak CA’yı yeniden yüklemeli ve kayıt defterini mevcut CA anahtarlarını ve veritabanını kullanacak şekilde değiştirmelisiniz. Etki alanını yeniden adlandırdığınızda CA’yı yeniden yüklemeniz gerekmez ancak, CA’yı ad değişikliğini destekleyecek şekilde yeniden yapılandırmanız gerekir.

Sertifika isteği alma

Çoğu kuruluş kök sertifika yetkilisi (CA) yüklendikten sonra ortak anahtar altyapısında (PKI) ilke kısıtlamaları uygulamak ve son istemcilere sertifika vermek üzere bir veya birden fazla alt CA yükler. En az bir alt CA kullanarak kök CA’nızı gereksiz ihlallerden koruyabilirsiniz. Alt CA’yı yüklerken üst CA’dan sertifika almanız gerekir.

Üst CA çevrimiçiyse Üst CA’ya sertifika isteği gönder seçeneğini kullanabilir ve CA adına veya bilgisayar adına göre üst CA’yı seçebilirsiniz.

Üst CA çevrimdışıysa Sertifika isteğini hedef makinede bir dosyaya kaydet seçeneğini kullanmanız gerekir. Bu işlemin yordamı üst CA’ya özel olur. Hiç olmazsa üst CA’nın, alt CA’nın yeni verdiği sertifikayı içeren bir dosya, tercihen dosyanın tam sertifika yolunu sağlaması gerekir.

Tam sertifika yolunu içermeyen bir alt CA sertifikası alırsanız yüklediğiniz yeni alt CA’nın başlatıldığında geçerli bir CA zinciri oluşturabiliyor olması gerekir. Geçerli bir sertifika yolu oluşturmak için şu adımları izleyin:

  • Üst CA, bir kök CA değilse üst CA’nın sertifikasını bilgisayarın Ara Sertifika Yetkilileri sertifika deposuna yükleyin.

  • Diğer tüm ara CA’ların sertifikalarını zincire yükleyin.

  • Kök CA’nın sertifikasını Güvenilen Kök Sertifika Yetkilileri’ne yükleyin.

Not

CA sertifikasını ayarladığınız alt CA’ya yüklemeden önce bu sertifikaların, sertifika deposuna yüklenmesi gerekir.

Geçerlilik süresini doğrulama

Sertifika tabanlı şifreleme, verileri korumak ve imzalamak için ortak anahtar şifrelemesi kullanır. Zaman içinde saldırganlar ortak anahtarla korunan verileri elde ederek verilerden ortak anahtarı çıkarmaya çalışabilir. Yeterli süre ve kaynak tanınırsa bu ortak anahtarın gizliliği bozulabilir ve bu durum sonuç olarak tüm korunan verileri korumasız hale getirebilir. Ayrıca sertifika tarafından korunan adların zaman içinde değişmesi gerekebilir. Sertifika, ad ve ortak anahtar arasındaki bağ olduğundan bunlardan biri değiştiğinde sertifikanın yenilenmesi gerekir.

Her sertifikanın bir geçerlilik süresi vardır. Geçerlilik süresinin sonunda sertifika artık kabul edilebilir veya kullanılabilir bir kimlik bilgisi olarak kabul edilmez.

CA’lar, kendi geçerlilik sürelerinin dışında bulunan tarihler için sertifika veremez. En iyi uygulama, geçerlilik süresinin yarısına geldiğinde CA sertifikasını yenilemektir. CA yüklerken bu tarihi planlamanız ve ileriye yönelik bir görev olarak kaydetmeniz gerekir.

CA veritabanı seçme

Çoğu veritabanındaki gibi sertifika yetkilisinin veritabanı da sabit sürücü üzerindeki bir dosyadır. Bu dosyaya ek olarak diğer dosyalar işlem günlükleri olarak kullanılırlar ve değişiklikler yapılmadan önce veritabanında yapılan bütün değişiklikleri alırlar. Bu dosyalara sıklıkla ve aynı anda erişilebileceğinden veritabanını ve işlem günlüklerini ayrı sabit sürücülerde veya şeritli birim gibi yüksek performanslı disk yapılandırmalarında tutmanızı öneririz.

Sertifika veritabanının ve günlük dosyalarının konumu aşağıdaki kayıt defteri konumunda tutulur:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Kayıt defteri aşağıdaki değerleri içerir:

  • DBDirectory

  • DBLogDirectory

  • DBSystemDirectory

  • DBTempDirectory

Not

Yükleme işleminden sonra sertifika veritabanını ve günlük dosyalarını taşıyabilirsiniz. Daha fazla bilgi için, Microsoft Bilgi Bankası'nda 283193 numaralı makaleye bakın.

CA’yı yapılandırma

Kök veya alt CA yüklendikten sonra, CA herhangi bir sertifika vermeden önce Yetkili Bilgileri Erişimi (AIA) ve CRL dağıtım noktası (CDP) uzantılarını yapılandırmanız gerekir. AIA uzantısı, CA’nın güncel sertifikaları nerede bulabileceğini belirtir. CDP uzantısı, CA tarafından imzalanan güncel CRL’lerin konumunu belirtir. Bu uzantılar, söz konusu CA tarafından verilen tüm sertifikalara uygulanır.

Bu uzantıları yapılandırarak bu bilgilerin CA’nın verdiği her sertifikada bulunmasını sağlayabilirsiniz; bu sayede sertifika tüm istemciler tarafından kullanılabilir. Bu sayede PKI istemcileri, onaylanmamış sertifika zincirleri veya sertifika iptalleri nedeniyle olabildiğince az sayıda hatayla karşılaşır. Bu hatalar başarısız VPN bağlantılarına veya akıllı kart oturum açma denemelerine ya da onaylanmamış e-posta imzalarına neden olabilir.

CA yöneticisi olarak CRL dağıtım noktaları ve CDP ve AIA sertifikası verme konumları ekleyebilir, kaldırabilir veya düzenleyebilirsiniz. CRL dağıtım noktasının URL’sini değiştirdiğinizde yalnızca yeni verilen sertifikalar etkilenir. Önceden verilen sertifikalar özgün konuma başvurmaya devam eder, bu nedenle CA’nız herhangi bir sertifika dağıtmadan önce bu konumları ayarlamanız gerekir.

CDP uzantısı URL’lerini yapılandırırken bu yönergeleri göz önünde bulundurun:

  • Çevrimdışı CA’larda delta CRL’leri yayımlamaktan kaçının. Çevrimdışı kök CA’da çok sayıda sertifika iptal etmeyeceğiniz için delta CRL’ye büyük ihtimalle ihtiyacınız olmaz.

  • Özellikler Uzantısı sekmesinin Uzantılar sekmesindeki varsayılan LDAP:/// ve HTTP:// URL konumlarını ihtiyaçlarınıza göre ayarlayın.

  • Kuruluşunuzun dışındaki kullanıcı ve uygulamaların sertifika doğrulaması gerçekleştirebilmeleri için bir HTTP İnternet veya ekstranet konumunda CRL yayımlayın. İstemcilerin HTTP ve LDAP ile CRL verilerini almalarını sağlamak üzere CDP konumları için LDAP ve HTTP URL’leri yayımlayabilirsiniz.

  • Windows istemcilerinin URL listesini her zaman geçerli bir CRL alınana dek sırayla aldığını unutmayın.

  • Windows olmayan işletim sistemi çalıştıran istemciler için erişilebilir CRL konumları sağlayan HTTP CDP konumları kullanın.

Not

CRL’ler ve delta CRL’ler hakkında daha fazla bilgi edinmek için Sertifika İptalini Yapılandırma konusuna bakın.

Windows PowerShell ve certutil, CDP ve AIA konumlarında yayımlamaya yardımcı olmak üzere değişken sayıları ((%) işaretinden önce gelen) destekler. CA’ların Özellikler Uzantısı sekmesi köşeli ayraçları destekler. Aşağıdaki tabloda uzantılarla değişkenler eşleştirilerek anlamları açıklanmaktadır.

Değişken

Uzantı sekmesi adı

Açıklama

%1

<ServerDNSName>

CA bilgisayarının DNS adı. DNS etki alanına bağlıysa tam etki alanı adıdır; aksi takdirde bilgisayarın ana bilgisayar adıdır.

%2

<ServerShortName>

CA sunucusunun NetBIOS adı

%3

<CaName>

CA adı

%4

<CertificateName>

Sertifikanın her revizyonunun benzersiz bir son eke sahip olmasını sağlar.

%4

Yok

Kullanılmayan

%6

<ConfigurationContainer>

Active Directory Etki Alanı Hizmetleri’ndeki (AD DS) yapılandırma kapsayıcısının konumu

%7

<CATruncatedName>

CA’nın sonunda bir karma ile 32 karaktere kadar kesilmiş adı

%8

<CRLNameSuffix>

CRL’yi bir dosya veya URL konumunda yayımlarken dosya adının sonuna bir son ek ekler.

%9

<DeltaCRLAllowed>

Bir delta CRL yayımlandığında bu alan, delta CRL’nin CRL’den ayırt edilebilmesi için CRLNameSuffix değişkenini ayrı bir son ekle değiştirir.

%10

<CDPObjectClass>

LDAP URL’sinde yayımlama sırasında kullanılan CRL dağıtım noktaları için nesne sınıf tanımlayıcısı.

%11

<CAObjectClass>

LDAP URL’sinde yayımlama sırasında kullanılan CA için nesne sınıf tanımlayıcısı.

AIA uzantısını yayımlama

AIA uzantısı, istemci bilgisayarlara doğrulanacak sertifikayı nerede bulabileceklerini belirtir. Bu sayede istemci, sertifikanın güvenilir olup olmadığını onaylayabilir.

AIA uzantısını Sertifika Yetkilisi arabirimi, Windows PowerShell veya certutil komutuyla yapılandırabilirsiniz. Aşağıdaki tabloda bu yöntemleri kullanarak AIA uzantısıyla kullanabileceğiniz seçenekler açıklanmaktadır.

Arabirim onay kutusu adı

Windows PowerShell parametresi

Certutil değeri

Verilen sertifikanın AIA uzantısına dahil etme

-AddToCertificateAia

2

Çevrimiçi sertifika durumu protokolü (OCSP) uzantısına dahil etme

-AddToCertificateOcsp

32

Bu bölümdeki AIA uzantısını yayımlama örnekleri aşağıdaki senaryoyu temsil eder:

  • Etki alanı adı corp.contoso.com’dur.

  • Etki alanında App1 adlı bir web sunucusu adı vardır.

  • App1’in PKI adlı CA Okuma ve Yazma izinlerine sahip paylaşılan bir klasörü vardır.

  • App1’in www ile başlayan bir DNS CNAME değeri ve PKI adlı paylaşılan bir sanal dizini vardır.

  • İstemci bilgisayarlarının AIA bilgileri için kullanması gereken ilk protokol HTTP’dir.

  • İstemci bilgisayarlarının AIA bilgileri için kullanması gereken ikinci protokol LDAP’dir.

  • Yapılandırılan CA, çevrimiçi bir veren CA’dır.

  • OCSP kullanımda değildir.

AIA uzantısı yayımlamak için arabirimini kullanma

Arabirim, önceki tablolarda açıklanan değişkenleri ve onay kutusu adlarını kullanır. Arabirime Sertifika Yetkilisi arabiriminden erişebilirsiniz. İçerik bölmesinden CA’ya sağ tıklayın, Özellikler ve sonra da Uzantılar’a tıklayın.Uzantı seçin alanında Yetkili Bilgileri Erişimi (AIA) seçeneğine tıklayın.

AIA Özellikleri

Şekil 1   AIA uzantısı menüsü

Kullanıcı arabiriminde yapılandırılan konum ve ayarlar şunlardır:

  • C:\Windows\system32\CertSrv\CertEnroll\<ServerDNSName>_<CaName><CertificateName>.crt

  • https://www.contoso.com/pki/\<ServerDNSName>_<CaName><CertificateName>.crt

    • Verilen sertifikaların AIA uzantısına dahil etme
  • file://\\App1.corp.contoso.com\pki\<ServerDNSName>_<CaName><CertificateName>.crt

  • ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass>

    • Verilen sertifikaların AIA uzantısına dahil etme

AIA uzantısını yayımlamak için Windows PowerShell’i kullanma

Verilen senaryo için AIA uzantısını yapılandırmak üzere aşağıdaki Windows PowerShell komutları kullanılabilir:

$aialist = Get-CAAuthorityInformationAccess; foreach ($aia in $aialist) {Remove-CAAuthorityInformationAccess $aia.uri -Force};
Add-CAAuthorityInformationAccess -AddToCertificateAia https://www.contoso.com/pki/%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia file://\\App1.corp.contoso.com\pki\%1_%3%4.crt
Add-CAAuthorityInformationAccess -AddToCertificateAia "ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Not

  • AIA yollarını eklemek için Windows PowerShell kullanırsanız mevcut yollar değiştirilmez. Örnekteki ilk Windows PowerShell komutu mevcut tüm yolları kaldırır. Windows PowerShell kullanarak AIA yollarını kaldırma hakkında daha fazla bilgi edinmek için bkz. Remove-CAAuthorityInformationAccess

  • Add-CAAuthorityInformationAccess Windows PowerShell cmdlet’ini kullanarak yerel bir yol ekleyemezsiniz. CA sertifikası otomatik olarak %systemroot%\system32\CertSrv\CertEnroll varsayılan konumunda yayımlanır.

AIA uzantısı yayımlamak için certutil kullanma

Verilen senaryo için AIA uzantısını yapılandırmak üzere aşağıdaki certutil komutu kullanılabilir:

certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n2:https://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\App1.corp.contoso.com\pki\%1_%3%4.crt\n2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11"

Not

  • Bu yolları değiştirdikten sonra CertSvc’yi yeniden başlatmayı unutmayın. CertSvc’yi şu Windows PowerShell komutunu çalıştırarak yeniden başlatabilirsiniz: restart-service certsvc

  • certutil komutunda tüm yolları tırnak işaretleri içine sürekli tek bir dize olarak yazın. Her yol bir \n ile ayrılır.

CDP uzantısını yayımlama

CDP uzantısı istemci bilgisayarlarına son CRL’yi nerede bulabileceklerini belirtir; böylece istemci belirli bir sertifikanın iptal edilmediğini doğrulayabilir.

CDP uzantısını Sertifika Yetkilisi arabirimi, Windows PowerShell veya certutil komutuyla yapılandırabilirsiniz. Aşağıdaki tabloda bu yöntemleri kullanarak CDP uzantısıyla kullanabileceğiniz seçenekler açıklanmaktadır.

Arabirim onay kutusu adı

Windows PowerShell parametresi

Certutil değeri

CRL’leri bu konumda yayımlama

-PublishToServer

1

Tüm CRL’lere dahil etme.

(El ile yayımlanırken Active Directory’de hangi konuma yayımlanacağını belirtir.)

-AddToCrlCdp

8

CRL’lere dahil etme.

(İstemciler delta CRL konumlarını bulmak için bunu kullanırlar.)

-AddToFreshestCrl

4

Verilen sertifikaların CDP uzantısına dahil etme.

-AddToCertificateCdp

2

Delta CRL’leri bu konumda yayımlama.

-PublishDeltaToServer

64

Verilen CRL’lerin IDP uzantısına dahil etme.

-AddToCrlIdp

128

Not

Veren Dağıtım Noktası (IDP) uzantısı, Windows dışındaki istemciler tarafından sertifika iptalinin doğrulanması için kullanılır. IDP uzantısı, üçüncü taraf CA’lar kullanılırken bölümlenmiş CRL’lerin dağıtılmasını sağlar. Bölümlenmiş CRL’ler üçüncü taraf bir CA’nın CRL’leri, her bir CRL’de yalnızca belirli bir sertifika türüyle yayımlamasını sağlar. Örneğin, son sertifikalara karşı olarak CA sertifikaları için ayrı CRL’leriniz olabilir. IDP’de aşağıdaki seçenekler ayarlanabilir:

  1. onlyContainUserCerts. IDP’nin bu seçeneği yalnızca Temel Kısıtlama uzantısında CA değeri içermeyen sertifikalara izin vermenizi sağlar. Sertifikanın bir Temel Kısıtlama uzantısı yoksa CA olmadığı varsayılır.

  2. onlyContainsCACerts. IDP’deki bu seçenek CA’yla yalnızca CRL’ye dahil edilmek üzere ayarlanmış Temel Kısıtlama uzantısına sahip sertifikalara izin verir.

Internet Information Services (IIS) web sunucusunda delta CRL yayımlamasına izin veriyorsanız, IIS yapılandırmasının system.web bölümündeki requestFiltering öğesinin allowDoubleEscaping=true ayarını belirleyerek varsayılan IIS yapılandırmasını değiştirmeniz gerekir. Örneğin, IIS’deki varsayılan Web sitesinin PKI sanal dizininde çift kaçışa izin vermek istiyorsanız, IIS web sunucusunda şu komutu çalıştırın. appcmd set config "Default Web Site/pki" -section:system.webServer/security/requestFiltering -allowDoubleEscaping:true. Daha fazla bilgi için bkz. AD CS: Web sunucusu, delta CRL yayımlamayı etkinleştirmek için “+” içeren URI’ye izin vermelidir.

Bu bölümdeki CDP uzantısını yayımlama örnekleri aşağıdaki senaryoyu temsil eder:

  • Etki alanı adı corp.contoso.com’dur.

  • Etki alanında App1 adlı bir web sunucusu adı vardır.

  • App1’in PKI adlı CA Okuma ve Yazma izinlerine sahip paylaşılan bir klasörü vardır.

  • App1’in www ile başlayan bir DNS CNAME değeri ve PKI adlı paylaşılan bir sanal dizini vardır.

  • İstemci bilgisayarlarının CDP bilgileri için kullanması gereken ilk protokol HTTP’dir.

  • İstemci bilgisayarlarının CDP bilgileri için kullanması gereken ikinci protokol LDAP’dir.

  • Yapılandırılan CA, çevrimiçi bir veren CA’dır.

  • IDP kullanımda değildir.

CDP uzantısı yayımlamak için arabirimini kullanma

Arabirim, önceki tablolarda açıklanan değişkenleri ve onay kutusu adlarını kullanır. Arabirime Sertifika Yetkilisi arabiriminden erişebilirsiniz. İçerik bölmesinden CA’ya sağ tıklayın, Özellikler ve sonra da Uzantılar’a tıklayın.Uzantı seçin alanında CRL Dağıtım Noktası (CDP) seçeneğine tıklayın.

CDP Özellikleri

Şekil 2   CDP uzantısı menüsü

Arabirimde yapılandırılan konum ve ayarlar şunlardır:

  • C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • CRL’leri bu konumda yayımlama

    • Delta CRL’leri bu konumda yayımlama

  • https://www.contoso.com/pki/\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • CRL’lere dahil etme. İstemciler delta CRL konumlarını bulmak için bunu kullanırlar.

    • Verilen sertifikaların CDP uzantısına dahil etme

  • file://\\App1.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

    • CRL’leri bu konumda yayımlama

    • Delta CRL’leri bu konumda yayımlama

  • ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>

    • Tüm CRL’lere dahil etme. El ile yayımlanırken Active Directory’de hangi konuma yayımlanacağını belirtir.

    • Sertifikaların CDP uzantısına dahil etme

CDP uzantısını yayımlamak için Windows PowerShell’i kullanma

Verilen senaryo için CDP uzantısını yapılandırmak üzere aşağıdaki Windows PowerShell komutları kullanılabilir:

$crllist = Get-CACrlDistributionPoint; foreach ($crl in $crllist) {Remove-CACrlDistributionPoint $crl.uri -Force};
Add-CACRLDistributionPoint -Uri C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri https://www.contoso.com/pki/%3%8%9.crl -AddToCertificateCDP -AddToFreshestCrl
Add-CACRLDistributionPoint -Uri file://\\App1.corp.contoso.com\pki\%3%8%9.crl -PublishToServer -PublishDeltaToServer
Add-CACRLDistributionPoint -Uri "ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10" -AddToCrlCdp -AddToCertificateCdp

Not

CDP yollarını eklemek için Windows PowerShell kullanırsanız mevcut yollar değiştirilmez. Örnekteki ilk Windows PowerShell komutu mevcut tüm yolları kaldırır. CDP yollarını silmek üzere Windows PowerShell’i kullanma hakkında daha fazla bilgi için bkz. Remove-CACrlDistributionPoint.

CDP uzantısı yayımlamak için certutil kullanma

Aşağıdaki certutil komutu verilen senaryo için CDP uzantısını yapılandırır:

certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n6:https://www.contoso.com/pki/%3%8%9.crl\n65:file://\\App1.corp.contoso.com\pki\%3%8%9.crl\n10:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10"

Not

  • Bu yolları değiştirdikten sonra CA hizmetini başlatmayı unutmayın.Windows PowerShell programından şu komutu çalıştırarak CertSvc’yi yeniden başlatabilirsiniz: restart-service certsvc

  • certutil komutunda tüm yolları tırnak işaretleri içine sürekli tek bir dize olarak yazın, ancak yolları \n ile ayırın.

CRL’yi yayımlamak için certutil -crl programından CA üzerinde Windows PowerShell komutunu veya bir yönetici olarak çalıştır komut istemini çalıştırabilirsiniz. CRL yapılandırması ve yayımlama hakkında daha fazla bilgi için Sertifika İptalini Yapılandırma konusuna bakın.

Yapılandırmayı doğrulama

CA yapılandırmasını doğrulamak için Windows PowerShell’den veya bir Komut İstemi penceresinden aşağıdaki komutları çalıştırabilirsiniz:

Komut

Açıklama

Certutil -CAInfo

CA adlarının durumunu, yereli, nesne tanımlayıcılarını (OID’ler) ve CRL’leri gösterir.

Certutil -getreg

CA kayıt defteri yapılandırmasını gösterir.

Certutil -ADCA

Kuruluş sertifika yetkililerinin yapılandırmasını onaylar.

Kuruluş PKI Görüntüleme (PKIView.msc) aracını kullanarak AIA ve CDP yayını yapılandırmalarınızı kontrol edebilirsiniz. Daha fazla bilgi için bkz. Kuruluş PKI

Sertifika iptal etme işlemlerini kontrol etmek için Çevrimiçi Yanıtlayıcı rol hizmetini de kullanabilirsiniz. Çevrimiçi Yanıtlayıcı hakkında daha fazla bilgi edinmek için Çevrimiçi Yanıtlayıcı için Yükleme, Yapılandırma ve Sorun Giderme Kılavuzu’na göz atın.

İlgili içerik