TechNet
Products
IT Resources
Downloads
Training
Support
Products
Windows
Windows Server
System Center
Microsoft Edge
Office
Office 365
Exchange Server
SQL Server
SharePoint Products
Skype for Business
See all products »
Resources
Channel 9 Video
Evaluation Center
Learning Resources
Microsoft Tech Companion App
Microsoft Technical Communities
Microsoft Virtual Academy
Script Center
Server and Tools Blogs
TechNet Blogs
TechNet Flash Newsletter
TechNet Gallery
TechNet Library
TechNet Magazine
TechNet Wiki
Windows Sysinternals
Virtual Labs
Solutions
Networking
Cloud and Datacenter
Security
Virtualization
Updates
Service Packs
Security Bulletins
Windows Update
Trials
Windows Server 2016
System Center 2016
Windows 10 Enterprise
SQL Server 2016
See all trials »
Related Sites
Microsoft Download Center
Microsoft Evaluation Center
Drivers
Windows Sysinternals
TechNet Gallery
Training
Expert-led, virtual classes
Training Catalog
Class Locator
Microsoft Virtual Academy
Free Windows Server 2012 courses
Free Windows 8 courses
SQL Server training
Microsoft Official Courses On-Demand
Certifications
Certification overview
Special offers
MCSE Cloud Platform and Infrastructure
MCSE: Mobility
MCSE: Data Management and Analytics
MCSE Productivity
Other resources
Microsoft Events
Exam Replay
Born To Learn blog
Find technical communities in your area
Azure training
Official Practice Tests
Support options
For business
For developers
For IT professionals
For technical support
Support offerings
More support
Microsoft Premier Online
TechNet Forums
MSDN Forums
Security Bulletins & Advisories
Not an IT pro?
Microsoft Customer Support
Microsoft Community Forums
Sign in
Home
Library
Wiki
Learn
Gallery
Downloads
Support
Forums
Blogs
Resources For IT Professionals
United States (English)
Россия (Pусский)
中国(简体中文)
Brasil (Português)
Skip to locale bar
Post an article
Translate this page
Powered by
Microsoft® Translator
Wikis - Page Details
First published by
Baris Aydogmusoglu
(eMicrosoft Partne)
When:
22 Jan 2012 5:50 AM
Last revision by
Richard Mueller
(cMVP, Microsoft Community Contributo)
When:
17 Sep 2013 7:59 AM
Revisions:
2
Comments:
0
Options
Subscribe to Article (RSS)
Share this
Can You Improve This Article?
Positively!
Click Sign In to add the tip, solution, correction or comment that will help other users.
Report inappropriate content using
these instructions
.
Wiki
>
TechNet Articles
>
Active Directory Sertifika Servisleri - 2 (tr-TR)
Active Directory Sertifika Servisleri - 2 (tr-TR)
Article
History
Active Directory Sertifika Servisleri - 2 (tr-TR)
Bir önceki yazmızda sertifika servisleri , sertifikalar ve genel kullanımlarını örneklerle açıklamıştık. Bu yazımızda , sertifikaların kullanımları ile devam edeceğiz ve farklı kullanım alanlarını inceleyeceğiz.
Yazıda örneklekdireceğimiz uygulamalar ,
- Cisco router’a , windows server 2008 R2 enterprise üzerine kurulu bir sertifika otoritesinden sertifika alınması
- Kullanıcının , pdf dökümanını sertifikası ile şifrelemesi konularını inceleyeceğiz.
Öncelikle lab ortamımız hakkında bilgi verelim.
Domain : nwtraders.msft
CA : NW-CA CA’in kurulu olduğu sunucu : bs-dc.nwtraders.msft
Router : IOS versiyonu , 7200 Software (C7200-ADVENTERPRISEK9-M), Version 12.4(4)T1
DC’in ip adresi : 172.26.1.1 / 16
Router’ın ip adresi : gigabitethernet 1/0 'a 172.26.100.100 /16
Kullanacağım kısaltmalar :
NDE : Network Device Enrollment
Öncelikle , NW-CA otoritesine Network Device Enrollment rol servisini ekleyelim. Server manager’da
add role service
link’inden bunu yapabiliriz.
Sonraki ekranda, bu rol servisinin kullanacağı hesabı belirlememizi istiyor. Nwtraders\nde isimli hesabı kullanıyorum.NDE isimli hesabın herhangi bir özelliği yoktur. IUSRS grubuna üyedir.
Üstteki kullanıcı , IIS_IUSRS grubunada üyedir.Sonraki menümüzde ,
NDE servisinin sertifika yönetiminde kullanacağı otoriteyi yapılandırıyoruz. Optional bilgileri yazmıyorum. Otorite ismi olarak’ta BS-RA seçtim. Ardından , kullanılacak olan tedarikçileri ve key uzunluklarını belirliyoruz. Resmetmeye gerek duymadım. Varsayılan tedarikçiyi kullanıyorum. Sihirbazın son kısmında , özet mevcut.
Özet kısmında altını taradığım URL’yi ileride kullanacağız. Bu sırada router’ı yapılandıralım. Router’ın yapılandırılması; - Domain Suffix’i - DNS adresi - NW-CA tanımı - Router’a sertifika alımı şeklinde olacaktır. Router’ın ilgili interface’ine IP ataması yapılmıştır.
DNS suffix’i ve DNS ip’sinin belirlenmesi üstteki gibidir.Router’ın ismininde çözülmesini istersek DC üzerinde kurulu olan DNS server’da router adına bir kayıt açabiliriz.
Üstte görüleceği üzere , router’ın isminide çözümledik. Router’ı komut arayüzünden yapılandırıyoruz (console). Security Device Manager ile rotuer’a bağlanmak istersek , bazı aşamalarda bizden yetkili bir kulalnıcı ve SSH ile güvenli bir bağlantı isteyecektir. Bu duruma karşılık , router’ı ssh ile bağlantı kabul edecek şekilde yapılandıralım. SSH için router’a bir adet sertifika üretelim.
Üstte gürüldüğü gibi , genel amaçlı bir sertifika ürettik. Şimdi SSH için bir kullanıcı oluşturalım ve SSH’i yapılandıralım.
SSH hazırlandı.Aşağıdaki resimden görüleceği üzere ,
yetkili kullanıcıyıda hazırladık. Bu işlemler birer zorunluluk değildir , SDM kullanmak isterseniz ihtiyacınız olacağından yazıya ekliyorum. Router’a sertifika alımı ile devam edebiliriz. Öncelikle , router’ın NW-CA’ya güvenmesini sağlayalım. Bunun için router’da
trustpoint
belirliyoruz ve
enrollment için kullanacağı URL’yi
tanıtıyoruz.
Komutları tab tuşu ile tamamladığımdan , komutun tam halini farklı renkte tarıyorum. Burada yaşadığım bir problemi yazıya eklemek istiyorum. NW-CA otoritesi kurulurken , private key uzunluğunu , 4096 bit seçilmişti. Henüz resmetmediğim router’a otoriteyi tanıtma sırasında , router 4096 bit’lik NW-CA’nın sertifikasını okuyamadı(IOS versiyonundan olduğunu düşünüyorum). Ondan dolayı NW-CA otoritesini kaldırdım (remove role). Yeniden bir otorite kurdum. Private Key uzunluğu 2048 bit’liktir. Yeni otoritenin ismide CA-BS ’dir. Üstteki resimde görüldüğü gibi , trustpoint belirlerken , NW-CA’yı seçmiştim şimdi trustpoint’i CA-BS şeklinde değiştiriyorum.
Enrollment URL’sinde bir değişim yoktur. Şimdi , eklediğimiz trustpoint’i router tarafında yetkilendirelim (authenticate, sonrasında router’a sertifika alacağız). Bu arada , router’da hata denetimi için , debugging’i de açtığımdan ondan dolayı aralarda farklı mesajlar görülüyor. BS-CA ‘yi yetklilendirme yöntemimiz alttaki resminde görüldüğü gibidir.
Şimdi router ‘a sertifikasını alabiliriz. Yine gerekli komut aşağıdaki resimde görüldüğü gibidir. Router’a sertifika talebinde bulunduğumuzda , talebin tamamlanması için bizden bir password isteyecek. Gerekli olan password’e
http://ca.nwtraders.msft/certsrv/mscep_admin
link’inden ulaşabiliriz. Her talep için yeni bir parola üretilecektir!!
Üstte görüldüğü gibi , talebimizi gerçekleştirdik.Bizden istediği bilgileri doğru şekilde doldurmaya dikkat etmeliyiz ki , ileride sertifika ismi yada kullanım amacı konularında sorun yaşamayalım. CA-BS yönetim konsolundaki , onaylanmış ve alınmış sertifikalara bakarsak , r1-nw isimli router’a alınmış belgeyi görebiliriz.
Üstte görüldüğü gibi router , istediğimiz isimde ve kriterlerde sertifikasını almıştır. Router’in running-config ‘iği açıp yine aldığı belgeyi oradan da görebiliriz. Bunun için ; show running-config komutunu çalıştırmak yeterlidir. Yada router üzerindeki sertifikaları görmek isterseniz,
üstteki gibi
show crypto ca certificates verbose
komutu da kullanılabilir. Şimdi de , Adobe Acrobat 9 Pro ile pdf dökümanı hazırlayalım ve dökümanı , bir user sertifikası ile şifreleyelim. Burada , administrator kullanıcısına alınmış bir user sertifikasını kullanacağım. Domain Controller üzerine Adobe Acrobat yazılımını kurdum. Administrator kullanıcısının DC üzerinde yüklü olan sertifikalarına bakacak olursak ,
sahip olduğu user belgesini görebiliriz (personel isimli klasöre bakmayı da unutmayınız!). Bu belge ile oluşturacağımız pdf’i şifreleyelim. Acrobat 9 Pro yazılımı açıyorum.
PDF dökümanını kaydetmeden önce , sertifika ile şifreleme opsiyonunu seçiyorum. İlk ekranı next ile geçtiğimde , Acrobat 9 , şifreleme için kullanılabilecek olan sertifikaları gösteriyor.
Seçili olan , sertifika ile pdf’i şifreliyorum. PDF dökümanını , masaüstüne kaydedebiliriz. Deneme amacıyla , pdf dökümanını başka bir pc’ye alıp açmaya çalışırsak ,
resimde görüldüğü gibi hata alıyoruz , çünkü , pdf’i şifrelemek için kullandığımız belge test için kullandığım pc’de kurulu değil. Şifrelemek için kullandığımız sertifikayı test için kullandığımız pc’ye de kurarsak , pdf açılmaktadır. Bu yazımızda da yine sertifikaların kullanımına dair örnekler verdik. Sonraki yazılarımızda yine otoritelerin yönetimi ve sertifikaların kullanımına dair uygulamalara devam edeceğiz.
Kaynak :
Technet Library , Cisco Offical Web Site
Active Directory
,
active directory Servifika Servisleri
,
AD CS
,
Network Device Enrollment
,
tr-TR
[Edit tags]
Leave a Comment
Please add 5 and 7 and type the answer here:
Post
Wiki - Revision Comment List(Revision Comment)
Wikis - Comment List