Windows Server 2012 R2 üzerinde Certification Authority (CA) kurulumu, bir Network ortamında güvenli veri iletişimi sağlamak için dijital sertifikaların oluşturulup yönetildiği kritik bir bileşen olarak öne çıkar. Certification Authority, dijital kimlik doğrulama ve veri bütünlüğü gibi güvenlik gereksinimlerini karşılarken, güvenli iletişim ve işlem süreçlerini kolaylaştıran bir Public Key Infrastructure (PKI) altyapısının temelini oluşturur. Bu kurulum sırasında CA, güvenilir bir otorite olarak hareket ederek istemciler ve sunucular arasındaki iletişimleri doğrular ve şifreleme işlemleri için gerekli olan sertifikaları sağlar.
CA kurulumu esnasında dikkate alınması gereken birkaç önemli aşama bulunmaktadır. İlk adımda, Standalone CA veya Enterprise CA gibi iki temel yapılandırma türünden birinin seçilmesi gerekmektedir. Enterprise CA, Active Directory ile entegre çalışarak otomatik sertifika yönetimini ve kullanıcı hesapları ile sıkı entegrasyonu desteklerken, Standalone CA daha bağımsız bir yapıda çalışarak özellikle küçük Network yapılandırmaları için tercih edilir.
Kurulum süreci sırasında, Certificate Database ve Log dosyalarının nerede depolanacağı oldukça önemlidir. Bu dosyalar varsayılan olarak sistem dizininde saklanır; ancak büyük ölçekli ve yüksek güvenlik gereksinimi olan ortamlarda performansı artırmak ve veri güvenliğini sağlamak adına bu verilerin ayrı bir Disk veya Network üzerinde konumlandırılması önerilir. Sertifika yetkilisi kurulum aşamasında belirtilen bu yapılandırma, CA'nın daha verimli çalışmasını ve veri erişim sürelerinin optimize edilmesini sağlar.
Bir diğer kritik adım, Certificate Revocation List (CRL) dağıtım noktalarının belirlenmesidir. CRL, geçerliliğini yitirmiş veya iptal edilmiş sertifikaların listelendiği bir veri tabanıdır ve bu bilgilerin güncel tutulması güvenli iletişim için büyük önem taşır. CRL yapılandırması sırasında HTTP, LDAP gibi dağıtım yöntemleri belirlenerek bu listelerin doğru ve hızlı bir şekilde erişilebilir olması sağlanmalıdır. İptal edilmiş sertifikaların anında erişilebilir olması, kullanıcıların ve Client'ların güvenliğini tehdit edebilecek unsurların önlenmesine katkıda bulunur.
CA kurulumu sırasında ayrıca sertifika yayınlama ve yenileme politikalarının doğru şekilde yapılandırılması büyük önem arz eder. Özellikle büyük kuruluşlarda, sertifikaların otomatik olarak yenilenmesi ve kullanıcıların bilgilendirilmesi gibi işlemlerin doğru bir şekilde yönetilmesi gerekir. Bu süreç, Network üzerindeki tüm Client'ların kesintisiz ve güvenli bir şekilde çalışmalarını sürdürmesini sağlar.
Kurulumu geçmeden önce Active Directory Certificate Services servisi kurulumunu, Active Directory Domain Services rolü kurulu olan Domain Controller üzerinde yapılandırıyor olacağım. Ancak Certificate Authority (CA) kurulumunun Domain Controller üzerinde değil, ayrı bir sunucuda yapılmasını tavsiye ederim.
Server Manager konsolunundan açıyoruz. Sağ üst köşedeki Manage menüsünden Add Roles and Features tıklıyoruz. İsterseniz Dashboard alanından Add roles and Features'ı da kullanabilirsiniz.
Add Roles and Features Wizard bilgi ekranı karşımıza geliyor. Kuruluma devam etmek için NEXT butonuna basıp işlemimize devam ediyoruz.
Select Installation Type adımında Role-based or Features-based Installation seçili halde iken NEXT butonuna basıp işlemimize devam ediyoruz.
Select Roles adımında Active Directory Certificate Services rolünü işaretledikten sonra NEXT butonuna basıp işlemimize devam ediyoruz.
AD CS altındaki Role Services adımında Certification Authority seçeneği varsayılan olarak işaretli geliyor. Buna ilave olarak, Certification Authority Web Enrollment servisini seçiyoruz.
Bu ekran üzerinde yer alan "Select role services" aşamasındaki seçenekler, Active Directory Certificate Services (AD CS) kurulumu sırasında seçebileceğiniz farklı bileşenlerdir. Her bir seçeneğin detaylı açıklamaları aşağıdaki gibidir:
1- Certification Authority (CA): Certification Authority (CA), dijital sertifikaların oluşturulmasını, yönetilmesini ve iptal edilmesini sağlayan temel bileşendir. CA, Public Key Infrastructure (PKI) altyapısının kalbidir ve güvenilir bir otorite olarak hareket ederek Client'ların kimlik doğrulama süreçlerini yönetir. Bu bileşen, sertifikaların geçerliliğini doğrularken veri güvenliğini ve şifreleme işlemlerini etkin bir şekilde yönetmek için kullanılır. Active Directory ile entegre çalışan bir CA, Network üzerindeki cihazlar ve kullanıcılar arasında güvenli iletişim sağlamak için gerekli olan sertifikaları dağıtır ve yönetir.
2- Certificate Enrollment Policy Web Service: Bu bileşen, Client'ların ve kullanıcıların belirli sertifika türlerine başvurmaları için gerekli olan ilke bilgilerini sağlar. Sertifika kayıt politikası, Client'ların hangi sertifikalara başvurabileceğini ve bu sertifikaları nasıl kullanacaklarını belirleyen bir dizi kural ve koşulu içerir. Web tabanlı bu servis, özellikle VPN veya uzak bağlantılar aracılığıyla erişim sağlayan Network dışındaki cihazların kurumsal CA ile iletişim kurarak sertifika kayıt politikalarını öğrenmelerine olanak tanır.
3- Certificate Enrollment Web Service: Bu bileşen, Client'ların ve kullanıcıların güvenli bir şekilde sertifika alabilmesi için kullanılan bir bileşendir. Bu servis, özellikle uzaktaki cihazların veya Domain dışı makinelerin, güvenli bir kanal üzerinden CA'ya erişim sağlayarak sertifika taleplerinde bulunmalarını mümkün kılar. Bu hizmet sayesinde, kullanıcılar ve cihazlar herhangi bir fiziksel bağlantı gerekmeksizin uzaktan sertifika alabilir ve sertifika yenileme işlemlerini gerçekleştirebilirler.
4- Certification Authority Web Enrollment: Bu bileşen, kullanıcıların ve yöneticilerin Web tabanlı bir arayüz kullanarak CA'dan sertifika taleplerinde bulunmalarını sağlar. Certification Authority Web Enrollment, özellikle kullanıcı dostu bir ortam sunarak, sertifika başvurularının ve taleplerinin daha hızlı ve kolay bir şekilde yapılmasını mümkün kılar. Web üzerinden gerçekleştirilen bu işlemler sayesinde, kullanıcılar herhangi bir yazılım kurulumuna gerek kalmadan doğrudan Web tarayıcıları üzerinden sertifika işlemlerini yönetebilirler.
5- Network Device Enrollment Service (NDES): Bu bileşen, Network cihazları için dijital sertifikaların dağıtımını destekleyen bir bileşendir. NDES, özellikle Cisco gibi cihazlarda kullanılan Simple Certificate Enrollment Protocol (SCEP) desteği ile Network cihazlarının otomatik olarak sertifika almasını sağlar. Bu hizmet, cihazların kimlik doğrulama ve şifreleme işlemleri için güvenli sertifikalar kullanarak Network iletişimini güvence altına almalarına yardımcı olur. Network cihazlarının güvenli bir şekilde sertifikalandırılması, Network güvenliğinin kritik bir parçasıdır.
6- Online Responder: Bu bileşen, sertifikaların geçerliliğini hızlı bir şekilde kontrol etmek için kullanılan bir bileşendir. Online Certificate Status Protocol (OCSP) temelinde çalışan bu hizmet, sertifikaların geçerli olup olmadığını kontrol etmek isteyen istemciler için anlık yanıtlar sağlar. Bu bileşen, özellikle büyük Network'lerde ve yüksek trafik hacmi olan ortamlarda, Certificate Revocation List (CRL) indirme gereksinimini ortadan kaldırarak sertifika doğrulama süreçlerini hızlandırır. OCSP kullanarak yapılan kontroller, sertifikaların geçerliliği konusunda daha hızlı sonuçlar elde edilmesini sağlar.
Bu seçeneklerin her biri, Network ortamınızın ve güvenlik gereksinimlerinizin ihtiyacına göre tercih edilerek kurulmalıdır. Active Directory Certificate Services (AD CS) rolü içerisindeki bu bileşenlerin doğru yapılandırılması, kurumunuzun veri güvenliğini ve kimlik doğrulama süreçlerini etkin bir şekilde yönetmenizi sağlayacaktır.
Certification Authority Web Enrollment servisini seçtiğimizde karşımıza Add Roles and Features Wizard penceresi göreceğiz. Burada karşımıza Certification Authority Web Enrollment servisinin çalışması için Web Server (IIS) kurulumunun yapılması gerektiğinin uyarısı gelmektedir. Add Required Role Services ile Web Server (IIS) rolünün de kurulmasını sağlıyoruz.
Web Server Role (IIS) altında Role Services adımında Web Server (IIS) kurulumu için gerekli olan servislerin seçilmesini istiyor. Varsayılan olarak seçili olanları olduğu gibi bırakarak NEXT butonuna basıp işlemimize devam ediyoruz.
Confirmation adımında Active Directory Certificate Services ve Web Server (IIS) rolünün kuruluma başlıyoruz.
Results adımında işlemimizin ilerleme durumunu görüyoruz. Kurulum devam ediyor...
Kurulum tamamlandıtan sonra bizden Certification Authority için yapılandırma yapmamızı beklior. Server Manager altındaki sarı ünleme tıklayarak açılan pencereden Configure Active Directory Certificate Services... seçerek yapılandırma işlemine başlıyoruz.
Credentials adımında kurulumu tamamlanan bu servisin hangi yetkili hesaplar tarafından yönetileceği domainName/UserName şeklinde belirtiyoruz.
Role Services adımında detaylarına makalemin üst kısımında değiniğim Certificate Authority ve Certificate Authority Web Enrollment için temel iki seçenek seçilip, bunlar için gerekli olan alt bileşenlerin kurulması sağlanır.
Bu bileşenlerin her biri, Active Directory Certificate Services (AD CS) yapılandırmasının kritik parçalarıdır ve Network güvenliği, kimlik doğrulama, veri şifreleme ve sertifika yönetimini optimize etmek amacıyla kullanılmalıdır. Bu seçeneklerin doğru yapılandırılması, organizasyonların dijital güvenliğini artırarak güvenli iletişim ve veri transferi sağlar.
Setup Type adımında Enterprise CA seçili iken Next butonuna basıp ilerliyorum.
CA Type adımında Root CA seçeneğini seçerek Next butonuna basıp ilerliyorum.
Private Key adımında Create a new private key seçeneğini seçerek Next butonuna basıp ilerliyorum.
Cryptography for CA adımında şifreleme için seçim yapmamiz gerekiyor. Ben burda herhangi bir değişiklik yapmıyorum. Next butonuna basıp yapılandırmaya devam ediyoruz.
CA Name adımında ben kurulumu Active Directory Domain Services rolü kurulu olan Domain Controller üzerinde gerçekleştirdiğim için Domain Controller Name otomatik olarak geldi. Bu nedenle, bu ekranda herhangi bir değişiklik yapmadan Next butonuna basıp ilerliyorum.
Aşağıdaki ekran üzerindeki Validity Period ayarı, bir Certificate Authority (CA) tarafından verilen sertifikaların geçerlilik süresini belirler. Varsayılan olarak bu süre genellikle 5 yıl olarak gelir ve bu ayar, sertifikaların güvenilirliğini ve kullanılabilirliğini doğrudan etkiler. Ayrıca burada ayarlanan süre, Root Certificate süresidir. Root Certificate geçerlilik süresi, onun tarafından verilen tüm sertifikaların güvenliğini ve süresini belirleyen temel faktördür. Bu nedenle, Subordinate Certificate Authority (Alt CA) ve son kullanıcı sertifikaları da bu Root Certificate süresine bağlı olarak oluşturulur ve geçerliliğini bu süre boyunca korur.
Kullanıcı sertifikalarından kasıt, organizasyon içinde çalışan kullanıcıl ya da sistem üzerinde kimlik doğrulama gerektiren her türlü kullanıcının doğrulama ve veri şifreleme işlemlerinde kullanmak üzere aldıkları dijital sertifikalardır. Bu sertifikalar, kullanıcının kimliğini doğrulamak ve güvenli iletişim sağlamak için dijital imza veya şifreleme gibi işlemlerde kullanılır. Örneğin, bir kullanıcının bir sunucuya veya uygulamaya güvenli bir şekilde bağlanması veya e-posta gönderirken mesajların şifrelenmesi için bu sertifikalar kullanılır.
Bu sertifikalar, bir Public Key Infrastructure (PKI) tarafından oluşturulup yönetilen ve kullanıcının kimliğini doğrulayan dijital belgeler olarak işlev görür. Sertifikalar, kullanıcının Public Key ve ilgili bilgilerini içeren dijital imzalanmış dosyalardır ve genellikle bir Root Certificate Authority (CA) tarafından verilen Subordinate Certificate Authority (Alt CA) tarafından üretilir.
» Alt CA (Subordinate Certificate Authority), Root CA tarafından verilen bir sertifika ile yetkilendirilmiş ve sertifika hizmetleri sunan bir ara sertifika otoritesidir. Alt CA, Root CA'nın altında yer alır ve kendi imza yetkisini kullanarak kullanıcı, cihaz veya diğer sertifikaları çıkarabilir.
» Root CA ise, sertifika hiyerarşisinin en üstünde yer alan ve kendi kendini imzalayan bir otoritedir. Güven zincirinin başlangıç noktasıdır ve diğer tüm CA'ların yetkilendirilmesini sağlar.
Root CA ve Alt CA (Subordinate CA) fsrklılıkları aşadağıki gibidir:
• Root CA: Sertifika hiyerarşisinin en üstünde yer alır ve tüm güven zincirinin temelini oluşturur. Kendi kendini imzalar ve doğrudan kullanıcı veya cihaz sertifikaları üretmek yerine genellikle Alt CA'lara yetki verir.
• Alt CA (Subordinate CA): Root CA tarafından yetkilendirilmiş bir CA'dır. Alt CA, kullanıcı ve cihaz sertifikaları gibi daha düşük seviyedeki sertifikaları çıkarır ve yönetir.
Root CA'nın güvenliği kritik öneme sahiptir ve çoğunlukla çevrimdışı tutulur. Alt CA'lar ise daha esnek ve günlük sertifika yönetim işlemleri için kullanılır.
Şimdi bu ayarın teknik analizini ve en iyi uygulama (Best-Practice) yaklaşımlarını derinlemesine ele alalım.
Validity Period Ayarının Teknik Analizi
CA sertifikasının geçerlilik süresi, bu sertifikanın güvenilir olarak kabul edildiği süreyi belirler. Bu süre boyunca CA tarafından verilen tüm sertifikalar geçerli kabul edilir ve belirlenen sürenin sonunda yenilenmeleri veya değiştirilmesi gerekir. Geçerlilik süresini belirlerken, güvenlik politikaları, altyapı tasarımı ve uyumluluk gereksinimleri dikkate alınmalıdır.
Daha Uzun Geçerlilik Sürelerinin Etkileri
» Güvenlik Riskleri: Daha uzun geçerlilik süreleri, şifreleme anahtarının ifşa edilme riskini artırır. CA'nın özel anahtarı herhangi bir noktada ele geçirilirse, bu anahtarla verilen tüm sertifikalar risk altına girer. Bu nedenle uzun geçerlilik süreleri, güvenlik açıklarının artmasına neden olabilir.
» Yönetim Kolaylığı: Geçerlilik süresinin uzatılması, sık sık yenileme yapma gereksinimini azaltır ve sertifika yönetim yükünü hafifletir.
» Uyumluluk Sorunları: Eski sistemler, maksimum sertifika geçerlilik süresi konusunda bazı sınırlamalara sahip olabilir, bu nedenle uzun geçerlilik süresi ayarlamadan önce bu sistemler kontrol edilmelidir.
Daha Kısa Geçerlilik Sürelerinin Etkileri
» Artan Güvenlik: Kısa geçerlilik süreleri, sertifikaların daha sık yenilenmesini gerektirir ve bu durum ele geçirilmiş bir anahtarın kullanım süresini kısaltarak güvenliği artırır.
» Artan Yönetim Karmaşıklığı: Sık sertifika yenilemeleri, özellikle büyük ortamlarda yönetim yükünü artırabilir ve daha fazla iş gücü gerektirebilir.
En İyi Uygulama (Best-Practice) Yaklaşımları
Endüstri Standartlarına Uyum
» CA'nın geçerlilik süresi endüstri standartları ve kurumun güvenlik politikalarına uygun olarak ayarlanmalıdır.
» Genellikle Root CA sertifikaları, 10 ila 20 yıl arasında, Alt CA sertifikaları ise 5 ila 10 yıl arasında geçerlilik süresine sahip olacak şekilde yapılandırılır.
» Server veya Client kimlik doğrulama sertifikaları ise genellikle 1 ila 3 yıl arasında bir geçerlilik süresine sahiptir.
Güvenlik Odaklı Yapılandırmalar
» Donanım Güvenlik Modülleri (HSM) Kullanımı: CA'nın özel anahtarını korumak için HSM kullanımı önerilir. Bu cihazlar, yetkisiz erişimi ve müdahaleyi önlemek için güçlü güvenlik önlemleri sunar.
» Düzenli Sertifika Rotasyonu: CA sertifikasının geçerlilik süresi uzun olsa bile kritik sistemler için sertifikaların düzenli olarak döndürülmesi (rotation) önemlidir.
CA Hiyerarşisi Dikkate Alınmalıdır
» İyi tasarlanmış bir PKI altyapısında Root CA'nın geçerlilik süresi Alt CA'lardan daha uzun olmalıdır. Bu, Root CA güncellemelerinin daha seyrek yapılmasını ve daha az operasyonel yük getirmesini sağlar.
» Alt CA'nın geçerlilik süresi, verdiği sertifikalardan biraz daha uzun olmalı ki, bu Alt CA geçerliliğini koruduğu sürece sertifika vermeye devam edebilsin.
Varsayılan olarak 5 yıl olarak ayarlanmış geçerlilik süresi birçok organizasyon için uygun olabilir, ancak bu süreyi belirlerken güvenlik gereksinimlerini ve yönetim kolaylığını dengede tutmak önemlidir. Root CA için bu sürenin 10 ila 20 yıl arasında olması, Alt CA için ise 5 ila 10 yıl arasında bir süre önerilir. Bu yapılandırma, Root CA'nın daha uzun ömürlü olmasını sağlarken, Alt CA ve verilen sertifikalar için daha esnek bir güvenlik ve yönetim stratejisi sunar.
Aşağıdaki ekranda yer alan Validity Period ayarı, hem Root CA hem de Alt CA için geçerlilik süresini belirlemek amacıyla kullanılır. Validity Period, hangi CA türünü kurduğunuza bağlı olarak, o CA'in geçerlilik süresini yapılandırmanıza olanak sağlar. Yani, Root CA kurulumu sırasında bu süreyi belirliyorsanız bu ayar, Root CA'nın geçerlilik süresini tanımlar. Eğer Alt CA kurulumu yapıyorsanız, aynı ekrandan Alt CA'nın geçerlilik süresini belirlemiş olursunuz. Ekran görüntüsünde gördüğümüz ayar, yalnızca Alt CA'ya özel bir geçerlilik süresi ayarı değil, her iki tür CA için de geçerli olan bir yapılandırmadır.
Ancak ilk kurulum sırasında bir Root CA oluşturduğumuz için bu ekranda tanımladığınız geçerlilik süresi, Root CA için geçerli olur. Alt CA oluştururken ayrı bir kurulum gerçekleştirilir ve Alt CA için farklı bir geçerlilik süresi tanımlanır.
Yani özetle, eğer bir Root CA kuruyorsanız, varsayılan olarak ayarlanmış 5 yıl geçerlilik süresini artırmak mantıklı olacaktır. Güvenlik ve yönetim açısından, Root CA için geçerlilik süresinin 10 ila 20 yıl arasında olması önerilir. Bu, Root CA'nın daha uzun ömürlü olmasını sağlar ve sık sık yeniden oluşturma ihtiyacını azaltır. Dolayısıyla, Root CA kurulumunda bu süreyi 10 veya 20 yıl gibi daha uzun bir değer olarak ayarlamanız daha uygun olacaktır.
Set Validity Period adımında oluşturacağım sertifikanin 5 Years (5 Yıl) geçerli olmasını istiyorum. Bu nedenle, 5 Years (5 Yıl) olarak yapılandırıyorum ve Next butonuna basıp ilerliyorum.
CA Database adımında oluşturulacak olan sertifikanın oluşturulacağı Database ve Log lokasyonunu belirlememizi gerekiyor. Ben Default gelen ayarlarda herhangi bir değişiklik yapmadan NEXT diyerek devam ediyoruz.
Confirmation adımında yapılandırlmış olduğumuz Active Directory Certificate Services rolü ile ilgili yapmış olduğumuz yapılandırmaların bir özeti bulunuyor. Configure butonuna basıp yapılandırmayı tamamlıyoruz.
Results adımında Active Directory Certificate Services rolünün yapılandırmasının başarılı bir şekilde tamamlandığını görüyouruz.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.