AD CS SErver role ile aşağıda ki kabiliyetleri kazanırız.
- CA olabiliriz ve bu Certificate Servislerimizin kalbi olacaktır.
- CA Web Enrollment : bunu eklersek network ve domainimizin dışındaki kişileride enroll edebiliriz. (enroll kaydetmek gibi)
- Online Reponder: bunu eklersek clientlar CRL (Certificate Revocation List) i sorgulayabilirler.
- NDES : böylece router vs gibi hardwareler için certifika alabiliriz.
- CES : Certificate Enrollment Webservice : böylece kullanıcılarımız CA’e erişebilirler.
- CEP : CES ile CEP (Certificate Enrollment Policy Web Service) ile beraber çalışır. Böylece domain ve ntwork dışındaki Clientlar CA ile temas kurabilir.
Cross Certification Hierarchy
2 tipte yapılabilir.
- Bizim organizasyonumuzun ROOT CA’i diğer organizasyona güvenir.
- Bizim organizasyonumuzun ALT (Sub) CA’leri diğer organizasyonun ROOT CA’ine güvenir.
Böylece clientlar CA sorgusunu ya SubCA yada RootCa ile yapabilirler.
CA hiyerarşisi oluştururken çeşitli opsiyonlar mevcuttur. Aslında opsiyonlar organizasyonun boyutları ile alakalıdır. Organizasyon büyüdükçe CA sayısı artıyor.
Normalde tek RootCA en çok kullanılandır.
Sonra gelen ise 2 seviyeli (two-tier) hiyerarşidir. Bir RootCa ike SubCA (issuingCA)’e yetki verir ve bunlar clientlara certifika oluşturur.
Daha sonra ise Multi-tier hiyerarşidir. RootCA altında PolicyCA’leri ve PolicyCA’lere bağlı IssuingCA’ler mevcuttur. Askeri emir komuta yapısı gibi. Her komutana bir kaç asker bağlı. En tepede tek komutan.
- Single Root Hiyerarşisi dışında RootCA offline yapılıyor güvenlik önlemi olarak? Tam neden anlamadım
Standalone CA
- StandaloneCA Domaine katılmaz.
- Kullanıcılar istedikleri sertifika tipini ve identifiying bilgilerini sağlamak zorundadırlar.
- Templateleri desteklemez.
- Tüm sertifika istekleri admin onaylayanakadar pendingdir.
Enterprise CA
- AD DS ihtiyacı vardır.
- AD DS’te cetificate Stores a ihtiyacı vardır.
- GPO ile TrustedRoot CA storeına sertifika gönderebilir.
- Kullanıcı sertifikalarını ve CRL’leri AD DS’de publish edebilir.
- Sertifikaları template göre oluşturabilir.
- Sertifika oluşturmak için autoenrollment yapabilir.
Root CA oluşturma
- Oluşturulacak ilk CA’dir.
- Standalone
- Enterprise olabilir.
- Coğu tek CA aynı zamanda EnterpriseRootCA’dir.
- Domain ve Computername verildikten sonra değiştirilemez.
- Private Key Cryptographic Service Provider (CSP) ile RSA defaulttur.
- Genellikle Key 2048 defulttur ancak 4096 daha güvenlidir.
- Default hash algoritması SHA-256’dır. Serfikaların imzalanması için kullanılır.
RootCa olarak
- bir isim ve Configuration optionlarına
- Certificate DB ve log ları için lokasyona
- Root Certifikate için geçerlilik süresine karar vermemiz gerekir. (genellikle 5 Yıl)
SubordinateCA’leri ise
- Lokasyona göre
- Amacına göre (SMIME,RAS,EFS sertifikaları için ayrı ayrı)
- Load-Balancing ve/veya High-Availibility için birbirinin aynısı olacak şekilde
- Kurum içi görev yapılarına göre
Oluşturabiliriz.