Notlarım…
Active Directory Certificate Services i kurduğumuzda ortamda 1 tane sertifika yetkilisi kurulmuş olur. Bu kurulan CA internal da çalışan bir CA dir. Bir de external da çalışan CA vardır.GlobalSign, VerySing gibi. Sertifika yetkilisi ile dağıtılan sertifikalarla 2 bilgisayar, kullanıcı ve ya sunucu-client arasında kimlik denetimini güvenli olarak sağlar. Bilgisayar, kişi ve ya servislere verilebilir. 2008 ile birlikta Network cihazlarına da verilebilir. Şu an aktif olarak SCOM, SCCM, OCS ve Exchange gibi uygulamalar ile VPN, RDP ve IpSeq gibi uygulamalarla kullanmaktayım. CA Domain ortamında kullanılabildiği gibi local de de kullanılabilir. Kurulumu ise;
Server Manager dan Active Directory Certificate Services i seçiyorum.
CA Web Enrollment ı seçtiğimde ISS ve ISS ile gerekli olan bileşenler gerekli olduğundan çıkan ekranı Ok leyip kurulmasını sağlıyorum. CA Web Enrollment web üzeinden CA den sertifika istememizi sağlar.
Kurulacak CA in türünü seçmem gerek. Enterprise için domain ortamı gerekirken Standalone CA için domaine gerek kalmadan kullanılabilir. Enterprise deyip devam ediyorum.
Kendisinin bir Root CA mi olacağı yoksa var olan bir CA e mi katılacağı sorulmakta. Root CA deyip devam ediyorum.
Yeni bir private key oluşturacağım.
Bu key ile ilgili özellikleri, şfreleme türlerini, kaç bit olacağı gibi seçip devam ediyorum.
Bu CA in ismini verip devam ediyorum. Default ismi de bırakabiliriz.
Dağıtılan sertifikaların kaç yıl geçerli olacağını belirliyorum.
Sertifika DB ve loglarının yerini belirliyorum.
YÜklenecek olan ISS ve geçerli bileşenler listelenmekte.
CA in kurulacağı sunucunun sunucu adının değişmemesi ve domain dğişikliğinin yapılmaması gerektiği bilgisi ve CA için yapılan ayarların bir listesi görülmektedir. Bu aşamadan sonra CA imiz kurulmuştur.
Kurulumu tamamladım. Sertifika isteğinde bulunmak için IE a http://CAsunucuismi/certsrv diyerek sertifika talebinde bulunabiliyorum. Burada IE ayarlarında kaynaklanan bir kaç nedenden dolayı eğer sertifika isterken sorun yaşandığında IE ayarlarında securty ayarlarından trusted sites a http://CAsunucuismi ni girip trusted sites ın altında bulunan custom level den aşağıdaki activex ayarı yapıp sertifikamızı alabiliriz.
IE a http://CASunucusuismi/certsrv yazıp sertifika istiyorum. Request a certificate deyip sertifikamızı istiyoruz.
User Certificate dedikten sonra User sertifikamızı alıyoruz.
Sertifikamız yüklenmiştir.
Yüklenen sertifikayı çalıştıra MMC yazıp Certificates e gelip oradan user certifikates i seçtiğimizde ise
Sertifikamızı görebilmekteyiz.
CA da ise administrative tools dan certificates e geldiğimizde CA in arayüzünü görebilmekteyiz. Burada dağıtılan sertifikaların iptalini, Yayınlanan sertifikaları, bekleyen sertifika isteklerini, hatalı sertifika isteklerini ve yayınlanabilecek sertifikaları görebilmekteyiz.
Certificates templates i sağ tıklayıp new certificate template to issue dediğimizde yayınlayabileceğimiz sertifikaları görebilmekteyiz. Bu ve diğer yayınlanmış sertifikaları ise;
Sertifika isterken advanced certificate request deyip yayınlanmış olan sertifikaları isteyebiliriz.
Aşağıda ise bizim yayınlamış olduğumuz sertifikaları görebilmekteyiz.
2008 ile gelen yeni bir özellik ise Network Device Enrollment Service ile Router ve diğer nnetwork cihazlarına sertifika dağıtabiliriz.