Aracılığıyla paylaş

Çekirdek Ağ Yardımcı Kılavuzu: Sunucu Sertifikası Dağıtımı

  • Makale

 

Uygulama Alanı: Windows Server 2012

Windows Server 2012 Çekirdek Ağ Kılavuzu, yeni bir orman içindeki yeni bir Active Directory® etki alanı ve tam olarak işlevsel bir ağ için gereken temel bileşenleri planlama ve dağıtmayla ilgili yönergeler sunar.

Bu kılavuz Çekirdek Ağ üzerinde ağ ilkesi sunucusu (NPS), Yönlendirme ve Uzaktan Erişim hizmeti (RRAS) veya her ikisini de çalıştıran bilgisayarlar için sunucu sertifikaları dağıtmak için yönergeler sağlayarak nasıl oluşturulacağını açıklar.

İpucu

Bu kılavuzda Microsoft Download Center Word biçiminde kullanılabilir (https://go.microsoft.com/fwlink/p/?linkid=255200).

Bu kılavuz aşağıdaki bölümlerden oluşur.

Bu kılavuzu kullanmak için önkoşullar

Bu, Windows Server 2012 Çekirdek Ağ Kılavuzuna yardımcı bir kılavuzdur. Bu kılavuz ile sunucu sertifikaları dağıtmak için önce aşağıdakileri yapmanız gerekir.

  • Çekirdek Ağ Kılavuzu kullanarak Çekirdek Ağ dağıtabilir veya zaten yüklü ve ağınızdaki düzgün Çekirdek Ağ Kılavuzu'nda teknolojiler sağlamış. Bu teknolojiler TCP/IP v4, DHCP, Active Directory Etki Alanı Hizmetleri (AD DS), DNS, NPS ve Web Sunucusu’nu (IIS) içerir.

    Not

    Windows Server 2012 Çekirdek Ağ Kılavuzu kullanılabilir Windows Server 2012 Teknik Kitaplığı (https://go.microsoft.com/fwlink/?LinkId=154884).

    Çekirdek Ağ Kılavuzu da Microsoft Download Center Word biçiminde kullanılabilir (https://go.microsoft.com/fwlink/?LinkId=157742).

Bu kılavuz hakkında

Bu kılavuz, NPS, RRAS veya her ikisini de AD CS kullanarak çalıştıran sunucular için sunucu sertifikaları dağıtmak için yönergeler sağlar Windows Server 2012.

Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ile birlikte sertifika tabanlı kimlik doğrulama yöntemleri ve ağ erişimi kimlik doğrulaması için Korunan EAP (PEAP) dağıtımı yaparken sunucu sertifikalarına sahip olmanız gerekir.

EAP ve PEAP sertifika tabanlı kimlik doğrulama yöntemleri için Active Directory Sertifika Hizmetleri (AD CS) ile sunucu sertifikalarını dağıtma aşağıdaki faydaları sağlar:

  • Bir özel anahtar NPS veya RRAS sunucusunu çalıştıran sunucu kimliğini bağlama

  • Etki alanı üyesi NPS ve RRAS sunucular için sertifikalar otomatik olarak kaydetmek için düşük maliyetli ve güvenli bir yöntemi

  • Sertifikaları ve sertifika yetkilisi (CA) yönetmek için verimli bir yöntemi

  • Sertifika tabanlı kimlik doğrulaması ile sağlanan güvenlik

  • Sertifikaların kullanımını ek amaçlar için genişletme özelliği

Bu kılavuz, bir çekirdek ağı dağıtmak için Windows Server 2012 Çekirdek Ağ Kılavuzu’ndaki yönergeleri izleyen ağ ve sistem yöneticileri veya Çekirdek Ağ Kılavuzu’nda yer alan, Active Directory Etki Alanı Hizmetleri (AD DS), Etki Alanı Adı Hizmeti (DNS), Dinamik Ana Bilgisayar Yapılandırması Protokolü (DHCP), TCP/IP, Web Sunucusu (IIS) ve Ağ İlkesi Sunucusu (NPS) gibi teknolojileri daha önce dağıtmış olanlar için tasarlanmıştır.

Önemli

Çevrimiçi bir kuruluş kök sertifika yetkilisi (CA) kullanarak sunucu sertifikaları dağıtmak için yönergeler sağlar, bu kılavuz, bilgi işlem kaynaklarına sınırlı küçük kuruluşlar için tasarlanmıştır. Kuruluşunuzun bilgi işlem kaynaklarına - varsa güvenlik nedenleriyle - bir iki katman ortak anahtar altyapısı (PKI) çevrimdışı bir kuruluş kök CA dağıtmanız önerilir. Daha fazla bilgi için bkz. Ek Kaynaklar.

Bu dağıtım senaryosunda kullanılan teknolojilerin her biri için tasarım ve dağıtım kılavuzlarını gözden geçirmeniz önerilir. Bu kılavuzlar, bu dağıtım senaryosunun, kuruluşunuzun ağı için gereksiniminiz olan hizmetleri ve yapılandırmayı sağlayıp sağlamadığını belirlemenize yardımcı olabilir.

Sunucu sertifikaları dağıtmak için gereksinimler

Sertifikaları kullanmaya ilişkin gereksinimleri şunlardır:

  • Otomatik kayıt kullanarak sunucu sertifikaları dağıtmak için AD CS gerektirir Windows Server 2012 Standard, Enterprise veya Datacenter işletim sistemleri. AD DS, AD CS yüklemeden önce yüklenmelidir. AD CS tek bir sunucu üzerinde dağıtılabilir olsa da, çoğu dağıtımda CA olarak yapılandırılmış birden fazla sunucu içerir.

  • Bilgisayarların yetki bilgisi erişimi (AIA) ve sertifika yetkiliniz tarafından oluşturulan sertifika iptal listesini (CRL) ile erişim sağlamak için yönergeler bu kılavuzda düzgün şekilde yapılandırılmış bir Web sunucusu olmalıdır.

  • Sanal özel ağları (VPN'ler) PEAP veya EAP dağıtmak için bir VPN sunucusu olarak yapılandırılmış RRAS dağıtmanız gerekir. NPS kullanımı isteğe bağlıdır; birden fazla VPN sunucusu varsa, ancak, NPS kullanarak NPS sağlayan RADIUS Hesap Hizmetleri ve yönetim kolaylığı için önerilir.

  • Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) PEAP veya EAP dağıtmak için RD Ağ geçidi ve NPS dağıtmanız gerekir.

    Not

    Windows Server önceki sürümlerinde, Uzak Masaüstü Hizmetleri Terminal Hizmetleri olarak biliniyordu.

  • 802.1 X güvenli PEAP veya EAP dağıtmak için kablolu veya kablosuz, NPS ve 802.1 X özellikli anahtarlar ve kablosuz erişim noktaları gibi ek donanım dağıtmanız gerekir.

  • Aktarım Katmanı Güvenliği (EAP-TLS) veya PEAP-TLS, EAP gibi sunucu kimlik doğrulaması için sertifika gerektiren yanı sıra kullanıcı ve bilgisayar kimlik doğrulaması için sertifika gerektiren sertifika tabanlı kimlik doğrulama yöntemlerini dağıtmak için kullanıcı veya bilgisayar sertifikalarını otomatik kayıt yoluyla veya akıllı kart kullanarak dağıtmanız gerekir.

Bu kılavuzda sunulmayanlar

Bu kılavuz tasarlama ve ortak anahtar altyapısı (PKI), AD CS kullanarak dağıtmak için kapsamlı yönergeleri sağlamaz. AD CS belgeleri ve bu kılavuzdaki teknolojileri dağıtmadan önce PKI tasarım belgeleri gözden geçirmeniz önerilir. Daha fazla bilgi için bkz: Ek Kaynaklar Bu belgenin sonraki kısımlarında bölümü.

Bu kılavuz, ağ ilkesi sunucusu teknolojileri ya da Web sunucusu (IIS) sunucu bilgisayarlarına yükleme hakkında yönergeler sağlamaz; Bu yönergeler Çekirdek Ağ Kılavuzu'nda sağlanmıştır.

Bu kılavuz, ayrıca sunucu sertifikalarını kullanılabilir ağ erişim teknolojileri dağıtmak için ayrıntılı yönergeler sağlamaz.

Teknolojiye genel bakışlar

Teknoloji genel bakış için EAP, PEAP ve AD CS verilmiştir.

EAP

Genişletilebilir Kimlik Doğrulama Protokolü (EAP), rastgele uzunlukta kimlik bilgisi ve bilgi alışverişleri kullanan rastgele kimlik doğrulama yöntemlerine olanak sağlayarak Noktadan Noktaya Protokolü (PPP) genişletir. EAP yanıt artan talebi karşılamak için akıllı kartlar, belirteç kartları ve şifre hesaplayıcılar gibi güvenlik aygıtlarını kullanan kimlik doğrulama yöntemleri olarak geliştirilmiştir. EAP, PPP içinde ek kimlik doğrulama yöntemlerini desteklemek için sektör standardı bir mimari sağlar.

EAP ile bir rasgele bir kimlik doğrulama mekanizmasını istemci ve sunucu bir ağ erişim bağlantı kurmasını kimliklerini doğrulamak için kullanılır. Kullanılacak kesin kimlik doğrulama şeması erişim istemcisiyle - ağ erişim sunucusu veya uzak kimlik doğrulama arama kullanıcı hizmeti (RADIUS) sunucusu tarafından belirlenir.

EAP kimlik doğrulaması ile gerçekleşmesi için aynı EAP türü için başarılı kimlik doğrulama hem ağ erişim istemcisiyle (örneğin, NPS sunucusunu) desteklemesi gerekir.

Önemli

Sertifika tabanlı olanlar gibi güçlü EAP türleri, CHAP veya MS-CHAP sürüm 1 gibi parola tabanlı kimlik doğrulama protokolleri yanılma saldırılarına, sözlük saldırıları ve parola tahminine saldırılarına karşı daha iyi güvenlik sağlar.

EAP içinde Windows Server 2012

Windows Server 2012 bir EAP altyapısı, EAP türleri ve NPS gibi bir RADIUS sunucusuna (EAP-RADIUS) EAP iletilerini aktarma özelliğini içerir.

EAP kullanarak EAP türleri olarak bilinen ek kimlik doğrulama düzenlerini destekleyebilirsiniz. Tarafından desteklenen EAP türleri Windows Server 2012 şunlardır:

  • Aktarım Katmanı Güvenliği (TLS). EAP-TLS bilgisayar sertifikalarını veya NPS çalıştıran bilgisayarlar için kaydedilen sunucu sertifikalarını yanı sıra kullanıcı sertifikaları kullanılmasını gerektirir.

  • Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2). Bu EAP türü bir parola tabanlı kimlik doğrulama protokolüdür. Kullanıcılar bir kullanıcı adı ve parola ile kanıtlamak sağlarken içinde EAP kimlik doğrulama yöntemi olarak EAP-MS-CHAP v2 kullanıldığında, NPS ve RRAS sunucuları bir sunucu sertifikası istemci bilgisayarlara, kimlik kanıtı olarak sağlar.

  • Aktarım Katmanı Güvenliği (TTLS) tünel. EAP-TTLS yenidir Windows Server 2012 ve diğer Windows Server'ın sürümlerinde kullanılabilir değildir. EAP-TTLS, karşılıklı kimlik doğrulamayı destekleyen, standartlara dayalı bir EAP tünelleme yöntemidir. EAP-TTLS; EAP yöntemlerini ve diğer eski protokolleri kullanarak istemci kimlik doğrulaması için güvenli bir tünel sağlar. EAP-TTLS ayrıca, kimlik doğrulama için EAP-TTLS'yi destekleyen Microsoft Dışı Uzak Kimlik Denetimi İçeri Arama Kullanıcı Hizmeti (RADIUS) sunucularının kullanıldığı ağ erişim çözümleri için istemci bilgisayarlarda EAP-TTLS'yi yapılandırmanıza da olanak sağlar.

Ayrıca, diğer Microsoft EAP modülleri diğer EAP kimlik doğrulama türlerini sağlamak için NPS veya Yönlendirme ve Uzaktan Erişim çalıştıran sunucuda yükleyebilirsiniz. Ek EAP türleri sunucularında yüklerseniz, böylece istemci ve sunucu bağlantı istekleri için kullanılacak bir kimlik doğrulama yöntemi başarıyla anlaşabileceği çoğu durumda, ayrıca eşleşen EAP istemci kimlik doğrulaması bileşenleri istemci bilgisayarlarda yüklemeniz gerekir.

PEAP

PEAP TLS kablosuz bir bilgisayar ve NPS veya başka bir RADIUS sunucusuna çalıştıran bir sunucu gibi bir PEAP doğrulayıcısı gibi bir kimlik doğrulama PEAP istemci arasında şifrelenmiş bir kanal oluşturmak için kullanır.

PEAP kimlik doğrulama yöntemi belirtmez, ancak PEAP tarafından sağlanan TLS şifreli kanalı üzerinden çalışabilir (EAP-MSCHAP v2 gibi) diğer EAP kimlik doğrulama protokolleri için ek güvenlik sağlar. PEAP kimlik doğrulama yöntemi aşağıdaki ağ erişim sunucuları türleri ile kuruluşunuzun ağa bağlanan erişim istemcileri için kullanılır:

  • 802.1 X özellikli kablosuz erişim noktaları

  • 802.1 X özellikli kimlik doğrulama anahtarı

  • Çalıştıran bilgisayarlar Windows Server 2012 veya Windows Server 2008 R2 ve VPN sunucuları olarak yapılandırılmış RRAS

  • Çalıştıran bilgisayarlar Windows Server 2012 veya Windows Server 2008 R2 ve RD Ağ Geçidi

PEAP özellikleri

EAP protokolleri ve ağ güvenliği geliştirmek için PEAP sağlar:

  • İstemci ve sunucu arasında oluşan EAP yöntemi görüşmesi için koruma sağlayan bir TLS kanalı. Bu TLS kanalı daha az güvenli bir EAP türünün anlaşma neden için istemci ve ağ erişim sunucusu arasında paketleri ekleme öğesinden bir saldırganın önlemeye yardımcı olur. Şifrelenmiş TLS kanalı NPS sunucusunu karşı hizmet saldırısı reddi önlemeye yardımcı olur.

  • Parçalanmasına ve bu işlevselliği sağlamaz EAP türleri kullanımına izin verir, iletileri yeniden için destek.

  • NPS veya başka bir RADIUS sunucusuna kimlik doğrulama yeteneği istemciler. Sunucu ayrıca istemcinin kimliğini doğruladığından, karşılıklı kimlik doğrulaması gerçekleşir.

  • Yetkisiz bir kablosuz erişim dağıtımı karşı koruma noktası şu anda ne zaman NPS çalıştıran sunucu tarafından sağlanan sertifika EAP istemci kimlik doğrulamasını yapar. Ayrıca, PEAP doğrulayıcısı ve istemci tarafından oluşturulan TLS ana sırrı erişim noktası ile paylaşılmaz. Bu nedenle, erişim noktası PEAP tarafından korunan iletilerin şifresini çözemez.

  • PEAP hızlı yeniden bağlanma, istemci tarafından bir kimlik doğrulama isteği ve yanıt NPS veya başka bir RADIUS sunucusuna arasındaki gecikme; azalır. Hızlı yeniden bağlanma ayrıca kablosuz istemcilerin RADIUS istemcileri kimlik doğrulaması için yinelenen istekleri olmadan aynı RADIUS sunucusu olarak yapılandırılmış olan erişim noktaları arasında taşımasına olanak sağlar. Bu istemci ve sunucu için kaynak gereksinimlerini azaltır ve sayısı, kullanıcılardan kimlik bilgilerini en aza indirir.

Active Directory Sertifika Hizmetleri

AD CS içinde Windows Server 2012 oluşturmak ve genel anahtar teknolojisi uygulayan yazılım güvenliği sistemlerinde kullanılan X.509 sertifikaları yönetmek için özelleştirilebilir hizmetler sağlar. Kuruluşlar, AD CS karşılık gelen bir ortak anahtar için bir kişi, aygıt ya da hizmet kimliğini bağlayarak güvenliği geliştirmek için kullanabilir. AD CS Ayrıca, sertifika kayıt ve iptal ölçeklenebilir ortamları çeşitli yönetmenizi sağlayan özellikler içerir.