AD CS – قسمت سوم

CA های Stand-alone و Enterprise

آ. Stand-alone CA : یک CA که لزوما به با AD DS یکپارچه نشده را می گویند. Stand-alone CA ها در معمولا روی یک Stand-alone Server نصب می شوند و  CA Client ها الزاما عضو دامین نیستند. صدور مجوز ها به صورت دستی باید تایید شوند. قالب امنیتی آن ها Standard Security Template است و غیر قابل تغییر است.  در ویرایش Standard ویندوز سرور هم در دسترس است.

ب. Enterprise CA : یک CA که با AD DS یکپارچه شده را می گویند. Enterprise CA ها روی Member-Server ها نصب می شوند و صدور مجوز ها از آنجا که CA با Active Directory Domain Service یکپارچه است، خودکار صورت می گیرد. قالب های امنیتی قابل ویرایش اند و بسیار پیشرفته تر از Stand-alone CA ها است. در ویرایش Standard ویندوز سرور در دسترس نیست و در ویرایش Enterprise یا Data Center موجود است.

ویژگی Stand-alone Enterprise
انتشار تنظیمات CA در اکتیودایرکتوری اختیاری اجباری
یکپارچه شدن اطلاعات CA در جنگل اختیاری و دستی اجباری و خودکار
انتشار CRL در اکتیودایرکتوری اختیاری و دستی اجباری و خودکار همچنین شامل Cross Certificate ها و Delta CRL می شود
Web Enrollment پشتیبانی می شود پشتیبانی می شود
درخواست مجوز از طریق HTTPS پشتیبانی می شود پشتیبانی می شود
متد درخواست مجوز درخواست و انتظار تا تایید دستی خودکار یا درخواست و انتظار تا تایید دستی
متد تایید مجوز دستی دستی یا خودکار با استفاده از Authentication اکتیودایرکتوری
نوع سرور CA Stand-alone یا Member Server یا Server (دامین کنترلر) DC یا Member Server فقط
نسخ سیستم عامل ویندوز سرور Standard، Enterprise ، Data Center  Enterprise ، Data Center

همان طور مشاهده می کنید، تفاوت های این دو نوع سرور بسیار است و تصمیم گیری صحیح در طراحی بسیار اهمیت دارد. معمولا Enterprise در شبکه های داخلی که تعداد کاربران آن ها بسیار زیاد است استفاده می شود و فرآیند صدور مجوز بسیار آسان تر می شود اما این به معنای برتری Enterprise بر Stand-Alone نیست چرا که در برخی سناریو ها شرایط حکم می کند از Stand-Alone استفاده شود. در مرحله طراحی CA اولین فاکتوری که باید در نظر گرفته شود این مورد است. البته گام هایی که پیش از این در طراحی برداشته اید همانند Volume و… در این مرحله در انتخاب گزینه مناسب نقش کلیدی دارند. همچنین ممکن است در سناریو هایی به ترکیبی از این انواع دست بزنیم.

سلسه مراتب CA

در مرحله طراحی اولیه، فاکتور بعدی که باید در نظر گرفته شود، امنیت با استفاده از سلسله مراتب است. این امر بسیار اهمیت دارد و کلید حل شدن بسیاری از مشکلات آینده است. از آنجا که ساختار CA سلسله مراتبی است، هر خطری که برای ROOT پیش آید، خطر تمام CA های زیر دست و به عبارت بهتر خطر تمام مجوز ها است. یکی از کارهای متداول یک معماری چندین مرتبه ای است و پس از پیاده سازی، سرورهای پر اهمیت خاموش می شوند یا از شبکه خارج می شوند سپس در برنامه های زمان بندی شده نا منظم، سرور را روشن یا به شبکه متصل می کنند تا به وظایف مدیریتی بپردازد. در این معماری، هر یک یا چند مرتبه را یک لایه تصور می کنیم و سپس ابتدا تعداد لایه ها را مشخص و سپس تعداد مرتبه های موجود در هر لایه را معین می کنیم. وسعت جغرافیایی، روابط Trust بین CA ها ، استفاده از کارت های هوشمند (Smart cards)، شبکه های بیسیم، تراکنش با افرادی خارج از شبکه محلی، IPSec و SSTP مواردی هستند که در این مرحله باید معین شوند چرا که در طراحی سلسله مراتب CA بسیار تاثیرگذارند.

– استفاده از یک CA که آن را گاها Single Root CA می خوانند، درموارد اندکی کاربرد دارد. زمانی که یک Single Root CA قصد دارید در نظر بگیرید، مهم ترین مسئله آن است که آن است که احتمال به خطر افتادن CA کم باشد و چنانچه مشکلی به وجود آید تاثیر بسیار مهمی نداشته باشد. با توجه به این دو شرط، در سناریوهای اندکی کاربرد دارد.

– ساختار دو لایه ای.  در لایه یک، Root CA وجود دارد که پس از راه اندازی و اقدامات مدیریتی اولیه خارج می شود و در بازه های زمانی نا منظم جهت مدیریت روشن می شود یا به شبکه متصل می شود. در لایه دو، تعدادی CA دیگر به دادن مجوز ها می پردازد. در اکثر کمپانی ها از این مدل استفاده می شود، چرا که وسعت و امکانات موجود اجازه ی افزایش لایه ها را نمی دهد.

– ساختار سه لایه ای. در لایه یک، Root CA وجود دارد که پس از راه اندازی و اقدامات مدیریتی اولیه خارج می شود و در بازه های زمانی نا منظم جهت مدیریت روشن می شود یا به شبکه متصل می شود. در لایه دوم، تعدادی CA را شامل می شود که آن ها نیز مشابه لایه یک خارج می شوند و در لایه سوم CA هایی موجود اند که مجوز ها را می دهند. معمولا در سازمان هایی که وسعت جغرافیایی قابل توجهی دارند و هزینه های این ساختار قابل توجیه است به کار می رود.

– ساختار های بیش از سه لایه.  ساختار های بیش از سه لایه ساختار های پیچیده ای هستند که در سناریو های خاص که تعداد کاربران بسیار زیاد، و اهمیت امنیت CA ها بسیار زیاد است کاربرد دارد.

همانطور که توجه می کنید با افزایش هر لایه عملیات مدیریتی چندین برابر می شود و فشار قابل توجهی به تیم فناوری اطلاعات کمپانی یا سازمان وارد می کند بنابراین انتخاب صحیح یا ساختار می تواند هم هزینه های نگه داری و هم هزینه های پیاده سازی را کاهش دهد. ضمن آنکه در نظر نگرفتن لایه های کافی ریسک به خطر افتادن زیرساخت CA را به مقدار قابل توجهی افزایش می دهد. در تصویر زیر به نوع و وضعیت online یا offline بودن CA ها توجه کنید.

ca

نکات قابل توجه

– تا جایی که ممکن است از ساختار تک لایه ای پرهیز کنید.

– Root CA که در لایه اول جای می گیرد باید به سرعت خاموش شوند، یک راه مناسب برای کاهش هزینه های پیاده سازی استفاده از تکنولوژِی Hyper-v در ویندوز سرور ۲۰۰۸ است که پس از انجام عملیات مدیریتی می توان کامپیوتر مجازی را خاموش کرد. جهت مسائل امنیتی حتما فایل های VM مربوط به کامپیوتر مجازی را از کامپیوتر حقیقی پاک کنید و آن ها را در یک محل ایمن نگه داری کنید.

– امنیت فیزیکی برای تمام CA ها بسیار اهمیت دارد.

– توجه کنید که مدیران CA ها افراد قابل اطمینانی باشند.

– امکان تغییر نام سروری که روی آن AD CS نصب می شود وجود ندارد.

– هر چند امکان پذیر است اما توصیه می شود، AD CS را روی DC نصب نکنید.

– علاوه بر مسائل فوق، مواردی که باید در مرحله طراحی اولیه در نظر گرفته شوند، زمان اعتبار مجوزها، نحوه درخواست مجوز، وجود کارت های هوشمند و… دیگری است که در ادامه مورد بررسی قرار می دهیم.

6 دیدگاه در AD CS – قسمت سوم

  1. سلام سايت شما خيلي قشنگه و مطالب بسيار خوب و ارزشمنديي هم داري اگر مايل به تبادل لينک هستي بعد از لينک کردن هر کدام از وبلاگ هاي من که خواستي در بخش نظرات همان وبلاگ به من خبر بدهيد تا شما را لينک کنم . متشکرم

    #خانواده آموزش عکس کتاب ايراني ازدواج#
    http://patogpc.blogsky.com

    #آموزش ازدواج عکس بهداشت سلامتي#
    http://patogpc.persianblog.ir

    #گالري عکس بازيگران و خواننده خارجي و ايراني#
    http://100pc.webphoto.ir

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *