Merhaba arkadaşlar, bu makalemde sizlere Windows Server 2012 R2 işletim sistemi ve active directory kurulu bir ortama sertifika rolu ve sunucusu (Certificated Authority) kurulumunu anlatmaya çalışacağım.
Active directory ortamınıza sertifika rolünü yükledikten sonra neler yapabiliriz genel olarak özetlemek gerekirse; kablolu ve kablosuz ağları, VPN ağlarını, IPSec, NAP (Network Access Protection), EFS (Encrypting file system) ve Smart kart logon işlemlerini sertifikalı olarak çalıştırıp daha güvenli bir active directory ortamı yaratabilirsiniz.
Ben bu makalemde CA rolünü kurmak için Windows Server 2012 R2 Standart işletim sistemi yüklü bir sunucu kullanacağım. Sertifika rolunu yüklemeden önce sunucumu active directory ortamına dahil ettim ve aşağıdaki resimde paylaştığım bazı default ayarları yaptım. Sizlerde sunucunuzu bu şekilde düzenledikten sonra kurulum işlemlerinize başlayabilirsiniz.
Kurulum öncesi yapılması gerekenler;
Sunucu ismini düzenleyelim,
Sunucumuza sabit bir IP adresi verelim,
Time Zone ayarlayalım,
Sunucumuzu active directory domain’e dahil edelim,
Remote Desktop açalım,
Güvenlik sebebi ile önerilmez ama biz test ortamımızda Firewall ve IE Enhance security ayarlarını kapatıyoruz çalışırken sorun yaşamayalım diye.
Not: Bu makalenin hazırlandığı ortamda daha önce kurulmuş bir CA sunucusu yoktu. Kurulumu yapacağınız ortamı iyice inceledikten sonra herhangi bir CA sunucusu olmadığına emin olduktan sonra kurulumu yapmanızı tavsiye ederim. Ortamda herhangi bir CA sunucusu varsa bunun yükseltilmesi yanına ikinci bir CA sunucusunun eklenmesi farklı yöntemler gerektirir. Bu noktaya çok dikkat ederek canlı ortamınıza kurulumu yapmanızı tavsiye ederim aksi takdirde çalışan yapı bozulabilir.
Yapacağımız kurulum işlemi active directory üzerine’de de bazı düzenlemeler, eklemeler yapacağı için sunucumuzu active directory üzerinde yönetici yetkisine sahip (Domain Admin, Enterprise Admin) bir kullanıcı hesabı ile bağlanalım ve sertifika servisinin kurulumuna başlayalım.
Ben test ortamımdaki RECEPYUKSEL isimli AD ortamıma Administrator isimli domain administrator yetkisine sahip (Domain Admin, Enterprise Admin) kullanıcı hesabı ile sunucuma bağlandım ve kurulum işlemlerimi yapacağım.
Server Manager ekranında Manage Add Roles and Features ile kurulum işlemlerine başlayalım.
Next ile ilerleyelim,
Role-based or feature-based installation seçeneğini seçerek devam edelim.
Kurulumu yapacağımız mevcut sunucumuzu seçelim ve Next ile devam edelim.
Karşımıza gelen kurabileceğimiz rollerin bulunduğu ekranda en üstteki Certificate Services seçelim. Bu rolu seçtiğimizde küçük bir pencere açılacaktır, bu servis için gerekli featurların yüklenmesi gerektiğini bildiren penceredir, bu pencerede gerekli feature’lar seçilmiş olacaktır Add Feature butonu ile onaylayarak devam edelim. Her iki ekranda aşağıdaki gibidir.
Add Features butonu ile devam edelim.
Select Features ekranında herhangi bir değişiklik yapmadan devam edelim.
Aşağıdaki ekranda kuracak olduğumuz role ile ilgili yapabileceğimiz işler ve kullanabileceğimiz senaryolar hakkında bilgilendirme yapılıyor okuduktan sonra Next ile geçebiliriz.
CA rolunu yüklerken seçebileceğimiz tüm servisler aşağıdaki gibidir. Bizim bu makalede ihtiyacımızı Certification Authority ve Certification Authority Web Enrollment görecektir. Bu iki servisi seçip kuruluma devam edelim.
Yukarıda web servisini seçtiğimiz için sunucu üzerinde IIS rolunünde yüklenmesi gerekiyor aşağıdaki ekranda bu feature yüklemek için seçebileceğimiz ekranı Next ile geçtiğimizde web servisi içinde gerekli olan seçenekler işaretlenmiş olarak gelecektir. Herhangi bir değişiklik yapmadan devam edelim.
Aşağıdaki bölümde herhangi bir değişiklik yapmadan devam edelim.
Bilgilendirme ekranı aşağıdaki gibidir. Kurulum sonrası otomatik restart etmesi için gerekli olan seçeneği işaretledikten sonra Install ile kurulumu başlatalım.
Kurulum işlemi sorunsuz bitince aşağıdaki ekranı Close ile kapatalım.
CA Rolumuzun sunucumuza kurulumunu bitirdik, şimdi CA servisinin ön yapılandırmasını yapmamız ve servisi çalışır duruma getirmemiz gerekiyor.
Server Manager ekranından bayrağın altında görmüş olduğumuz sarı ünlemli uyarı işaretine basalım ve Configure Active Directory Certificate Services on th… butonuna tıklayarak CA servisini yapılandırmaya başlayalım.
Credentials ekranında işlemleri yapacağımız kullanıcı hesabını seçelim. Makalemin başında da bahsettiğim gibi domain administrator yetkisine sahip bir kullanıcı hesabı ile yapmanızı tavsiye ederim.
Ayarlarını yapacağımız CA servislerin seçimi ekranı, yapılandırmasını yapacağımız kurmuş olduğumuz 2 rolu’de seçip devam edelim. Next ile ilerleyelim.
Sertifika sunucumuz biz bu makalemizde çalışan bir active directory ortamına kurduğumuz için Enterprise CA ile devam edeceğiz, Eğer AD olmayan bir ortama kurulum yapılacak ise Standalone CA seçerek ayarlarını yapabilirsiniz. Next ile ilerleyelim.
CA Server tipi seçim ekranı, kurmuş olduğumuz CA server ortamdaki ilk CA sunucusu olduğu için Root CA seçeneği ile devam edelim.
Private Key seçimi ekranı, bu kurulumda CA kurulumu bir yükseltme olmadığı, sıfırdan bir kurulum yaptığımız için yeni bir private key oluşturmasını isteyeceğiz doğal olarak.
Oluşturulacak olan bu key bizim sertifika ortamımızın en önemli objesi olacaktır iyi bir şekilde korumamız gerekmektedir.
Şifreleme tipini seçeceğimiz ekran, CA ortmamımızda kullanacağımız şifreleme algoritmasının nasıl olacağını seçtiğimiz ekran aşağıdaki gibidir.
Biz Microsoft active directory ortamı kurulumunda karşımıza default olarak gelen Key Length (key uzunluğu) 2048 ve Hash algoritmasını (oluşturulacak keylerin güvenlik tipi) ise SHA1 olarak seçip kuruluma devam ediyoruz. Next ile ilerleyelim.
Sertifika sunucusu ismi seçimi, CA sunucumuza common name kısmında defult verilen AD isminin dışında farklı bir isim vererek verilen sertifikalarda sunucu isminin bu şekilde gözükmesini sağlayabilirsiniz. Ben default gelen ayarlarda herhangi bir değişiklik yapmadan devam ediyorum.
Validity Period, bölümünde oluşturulucak olan yeni sertifikanın geçerlilik süresini belirliyoruz. Bu sertifika CA sunucumuzun çalışıp çalışmayacağını belirliyor, şunu unutmayın sakın buradaki tarih olan 1/25/2019 tarihinde bu sertifikayı yenilemezseniz CA sunucunuz durur. CA ila çalışan hiç bir şey çalışmaz duruma geleceketir, tecrübe ile sabittir. Buradaki tarihi unutmayacağınız bir yere not almanız faydanıza olacaktır.
Sertifika oluşturulduktan sonra bu sürenin sonunda mutlaka yenilenmesi gerekmektedir.
Database kurulum yeri seçimi, CA sunucumuzun dağıttığı sertifikaları tutacağı database ve database log dosyasının oluşturulacağı yerin seçim ekranıdır. Default olarak CA database dosyaları C:\Windows\system32\CertLog isimli folder altında oluşturulur. Herhangi bir değişiklik yapmadan devam ediyorum. Ileride yedekleme işlemlerinde bu adrese ihtiyacınız olacaktır bu default adresi bilmenizde fayda var.
Kontrol ve onaylama ekranı aşağıdaki gibidir, yukarıda bu noktaya gelene kadar seçtiğimiz tüm ayarlar bu ekranda bize bildirilecektir, Configure butonuna bastığımızda CA sunucumuz bu ayarlar ile yapılandırılacaktır ve hizmet vermeye başlayacaktır.
Her iki servisimizde Certification Authority ve Certification Authority Web Enrollment servisi sorunsuz bir şekilde yapılandırıldı. Close ile bu ekranı kapatalım ve sunucunuzu 1 kez restart etmenizi tavsiye ederim.
Sunucumuz terkar açıldıktan sonra Server Manager ekranına aşağıdaki gibi AD CS servisi eklenmiş olacaktır.
CA servisini yönetmek için Server üzerinde sağ tuşa basalım ve Certification Authority tıklayalım.
Sertifika sunucumuzun management ekranı aşağıdaki gibidir. Buradaki alt başlıklar
Revoked Certificates : Eskimiş iptal edilmiş sertifikilar burada görünür
Issued Certificates : Dağıtılmış ve hizmet verilen aktif sertifikalar burada bulunur
Pending Request : Sizden onay bekleyen sertifikalar bu bölümde bulunur
Failed Request : Hatalı sertifika istekleri burada bulunur
Certificate Templates : Sertifika oluşturma templateleri bulunur
Ilk kurulum sonrası Certificate Templates hariç tüm folderlar boş gelecektir doğal olarak. Ortamdaki cihazlar, userlar, sunucular sertifika aldıkça CA sunucusu ortamam sertifika dağıttıkça bu bölümlerin içeriğini görebilirsiniz.
Certificate Templates görünümü aşağıdaki gibidir. Buradaki sertifika tipleri dışında ihtiyacımız olan sertifika tipi için yeni templateler oluşturup bunları kullanarak kullanıcılarımıza sertifika dağıtabiliriz. Daha sonraki makalelerimizde bunlara değiniyor olacağız.
Web Server, Domain Controller, User ve Computer sertifikaları için temlate’ler mevcuttur herhangi ekstra bir işlem yapmadan bu sertifikaları sunucunuzdan alabilir durumdasınız bu aşamada.
CA Sertifika sunucunuza kullanıcılarınız aşağıdaki gibi web üzerinden erişerek sertifika talebinde bulunabilirler.
CA Rolünün kurulumunu yaptığımız folder’ları kontrol edelim isterseniz, CA database ve sertifika dosyalarım nasıl gözüküyor bir bakalım.
CA Database Dosyamız: C:\Windows\System32\Certlog
Sertifika dosyalarımız : C:\Windows\System32\certsrv
C:\Windows\System32\certsrv\CertEnroll
Daha sonraki makalelerimizde web server sertifikası talep edip almayı, user ve computer sertifikası almayı hatta 802.1x ile Radius ve NPS kurulumu yapıp sertifikalı olarak active directory ortamına erişmeyi anlatıyor olacağız CA sunucusu kurulumu ile başladığımız bu makale serimizde.
Faydalı olması dileklerimle.