Sertifikalar ve Active Directory Sertifika Hizmetleri

Fatih Arslan Tugay - Aug 31 '21 - - Dev Community

Sertifika Nedir?

Sertifika; bir ortak anahtarın değerini, karşılık gelen özel anahtarı bulunduran kişinin, aygıtın veya hizmetin kimliğine bağlayan, dijital olarak imzalanmış bir deyimdir. Sertifikaların yararlarından biri de, ana bilgisayarların, erişim önkoşulu olarak kimliklerinin doğrulanması gereken bağımsız özneler için bir dizi parola tutma zorunluluğunun ortadan kalkmasıdır. Bunun yerine ana bilgisayar, yalnızca sertifikayı verenle güven oluşturur.

Sertifikaların içerdiği bilgiler aşağıda sıralanmıştır:

  • Öznenin ortak anahtar değeri,
  • Öznenin ad ve e-posta adresi gibi tanımlayıcı bilgileri,
  • Geçerlilik süresi (sertifikanın geçerli kabul edileceği süre),
    • Her sertifika, geçerlilik süresinin sınırlarını belirleyen bir Geçerlilik Başlangıcı ve Geçerlilik Sonu değeri içerir. Bir sertifikanın geçerlilik süresi dolduğunda, sertifikanın öznesi yeni bir sertifika istemek zorundadır.
  • Sertifikayı verenin tanımlayıcı bilgileri,
  • İlgilinin ortak anahtarı ile ilgilinin tanımlayıcı bilgileri arasındaki bağlantının geçerliliğini doğrulamaya yarayan, sertifikayı verene ait dijital imza.

Sertifikalar; bir kişinin veya nesnenin kimliğinin doğrulanması, bilgilerin yalnızca amaçlanan kişinin kullanmasını sağlayan gizliliğin sağlanması, yetkili olmayan okuyuculardan bilgilerin gizlenmesi (şifreleme) ve inkar edememe, ileti bütünlüğü gibi özellikleri sağlayan dijital imzalama amaçları ile kullanılabilir. Bu amaçlara daha detaylı bakmak gerekirse:

  • Kimlik doğrulama, iletişimin daha güvenli olması için çok önemlidir. İletişim kuran taraflar fiziksel olarak birbirlerini görmeyecekleri için ağ üzerinde kimlik doğrulama karmaşık bir işlemdir. Bu, ahlak dışı bir kişinin iletilere müdahale etmesine ve diğer kişi veya varlığı taklit etmesine olanak verebilir.
  • Herhangi bir ağda bilgisayarlar arasında hassas bilgiler gönderiliyorsa, kullanıcılar verilerinin gizliliğini sağlamak için genellikle bir tür şifreleme kullanmak isteyeceklerdir.
  • Şifreleme işlemi, değerli bir eşyayı sağlam bir kutuya kilitlemek gibi düşünülebilir. Tam tersi olan şifre çözme bu kutuyu açıp değerli öğeyi almaya benzetilebilir. Bilgisayarlarda; e-posta iletisi, diskteki dosyalar veya ağ üzerinden aktarılan dosyalar içindeki hassas veriler bir anahtar yardımıyla şifrelenebilir. Şifrelenen veri ve veriyi şifrelemede kullanılan anahtarlar çözülemez.
  • Dijital imza, verinin bütünlüğünden ve kaynağından emin olmak için kullanılan bir araçtır. Dijital imza, imzalandığı zamandan beri verinin değiştirilmediğine dair güçlü bir kanıt ve veriyi imzalayan kişinin veya varlığın kimliğini doğrulayan bir belgedir. Bu durum, en önemli güvenlik hizmetlerinden olan ve elektronik ticaret işlemlerinde temel olan bütünlük ve inkar edememe özelliklerini sağlar. Dijital imzalar genellikle, veriler düz metin biçiminde veya şifrelenmemiş olarak dağıtıldığında kullanılır.

Dijital sertifikaların, tek başına bilgisayarlar ile ağlar ve İnternet üzerindeki rolü hızla artmaktadır. Sertifikalar, çok az kullanıcı müdahalesi ile veya herhangi bir kullanıcı müdahalesi olmadan kullanılabilse de, sertifika içeriklerini görüntülemek, anlamak ve bu içeriklerin kullanımını yönetmek de önemli olabilir. Bu amaçları Sertifikalar ek bileşenini kullanarak gerçekleştirebilirsiniz.

Sertifika Ek Bileşeni

Sertifika ek bileşeni, kullanıcılar ve yöneticilerin bir kullanıcı, bilgisayar veya hizmet ile ilişkili sertifikaları görüntülemek ve yönetmek üzere kullanacağı birincil araçtır. Kullanıcının sertifika istemesine, yenilemesine, bulmasına, görüntülemesine, taşımasına, kopyalamasına ve silmesine olanak sağlar. Bunun yanı sıra, kullanıcı Sertifika ek bileşenini kullanarak, aşağıdaki görevleri kolaylaştıran sihirbazları başlatabilir:

  • Yeni sertifikalara kaydolma
  • Varolan sertifikaları yenileme
  • Sertifika bulma
  • Sertifika alma, verme veya yedekleme

Çoğu durumda, kullanıcıların sertifikalarını ve sertifika depolarını kişisel olarak yönetmeleri gerekmez. Bu işlemler, yöneticiler, ilke ayarları ve sertifika kullanan programlar aracılığıyla gerçekleştirilebilir. Yöneticiler Sertifika ek bileşeninin birincil kullanıcılarıdır; bu nedenle, yönetme yetkileri olan diğer bilgisayar veya hizmetlere ilişkin sertifika depolarının yanı sıra kendi kişisel sertifika depolarında da çok çeşitli sertifika yönetim görevleri gerçekleştirebilirler. Kullanıcılar yalnızca kendi kişisel depolarındaki sertifikaları yönetebilirler.

Alt Text

Bilgisayar veya hizmet kullanıcı hesabınız için sertifikaları yönetme arasında geçiş yapmak için, konsola (Microsoft Management Console, MMC) eklenmiş ayrı Sertifika ek bileşeni örneklerinizin olması gerekir.

Sertifikaları Yönetme

Sertifikalar genellikle, belirli bir bilgisayara, kullanıcıya veya hizmete, belirli bir amaç, süre ve genel olarak belirli alıcılar için verilir. Sonuç olarak, ek sertifikalar almanız, varolan sertifikaları yenilemeniz, bir sertifikanın özelliklerini gözden geçirmeniz veya değiştirmeniz ya da sertifikaları taşımanız gereken zamanlar olabilir. Bu görevlerin çoğu tek bir kullanıcı, bilgisayar veya hizmet için gerçekleştirilebilse de, diğer görevlerin bir yönetici tarafından sunucuda otomatik olarak gerçekleştirilmesi daha iyidir.

  • Sertifika Alma: Bir sertifikaya kaydolmak için, sertifikanın bir parçası olacak ortak anahtarla ilişkilendirilmiş özel anahtara erişimi olan kullanıcı, bilgisayar veya hizmet tarafından bir sertifika isteği yapılması gerekir. Sistem yöneticiniz tarafından oluşturulan ortak anahtar ilkelerine bağlı olarak kullanıcılar, bilgisayarlar ve hizmetler, kullanıcı müdahalesi olmadan otomatik olarak sertifikalara kaydolabilir.
  • Sertifika Yenileme: Her sertifikanın bir geçerlilik süresi vardır. Geçerlilik süresinin sonunda, sertifika artık kabul edilebilir veya kullanılabilir kimlik bilgisi olarak değerlendirilmez. Sertifika ek bileşeni, bir Windows kuruluş sertifika yetkilisi (CA) tarafından verilmiş bir sertifikayı, geçerlilik süresi dolmadan önce veya dolduktan sonra Sertifika Yenileme Sihirbazı'nı kullanarak yenilemenize olanak tanır. Bir sertifikayı yenilemeden önce bilmeniz gerekenler şunlardır:
    • Sertifika veren sertifika yetikilisi (CA)
    • Sertifika için yeni bir ortak anahtar ve özel anahtar çifti istiyorsanız, bu anahtar çiftini üretmek için kullanılması gereken şifreleme hizmeti sağlayıcı (CSP)
  • Sertifika Görüntüleme: Sertifikalar birçok amaç için yayımlanabilir ve kullanılabilir. Sertifika depoları, sertifika bilgileri ve özelliklerini; arşivlenmiş ve iptal edilmiş sertifikalar hakkındaki bilgileri gözden geçirmek yararlı olabilir.
  • Sertifika Taşıma: Birçok uygulama yalnızca bir sertifika deposundaki sertifikaları arar. Bir sertifika gerek duyduğunuz bir sertifika deposunda değilse, bu sertifikayı bir depodan diğerine taşıyabilirsiniz.
  • Sertifika Yönetimini Otomatikleştirme: Sertifikaların ayrı ayrı yönetilmesi imkansız olmasa da zahmetli bir görevdir. Birçok kuruluş, bir sunucuda yapılandırılan ve bir etki alanındaki, gruptaki veya kuruluş birimindeki istemcilere uygulanan Grup İlkesi (Group Policy) ayarlarını kullanarak sertifikaları yönetir.

Active Directory Sertifika Hizmetleri

Active Directory Sertifika Hizmetleri (AD CS), ortak anahtar teknolojilerinden yararlanan yazılım güvenliği sistemlerinde kullanılan sertifikaların verilmesine ve yönetilmesine yönelik özelleştirilebilir hizmetler sağlar. Sertifika istekleri almak, isteklerdeki bilgileri ve istek sahibinin kimliğini doğrulamak, sertifika vermek, sertifikaları iptal etmek ve sertifika iptal verileri yayımlamak üzere bir veya daha fazla sertifika yetkilisi (CA) oluşturmak için AD CS'yi kullanabilirsiniz. AD CS ile aşağıdakileri de yapabilirsiniz:

  • Web kaydı, Ağ Aygıtı Kayıt Hizmeti'ni ve Çevrimiçi Yanıtlayıcı hizmetini kurma.
  • Kullanıcılar, bilgisayarlar ve yönlendirici gibi ağ aygıtları ile ilgili sertifikaların kayıt ve iptal işlemlerini yönetme.
  • Sertifika dağıtmak ve yönetmek üzere Grup İlkesi kullanma.

Alt Text

AD CS'yi tek bir CA için tek bir sunucuyla dağıtabilseniz de, dağıtımlarda kök CA'lar, ilke CA'ları ve sertifika veren CA'lar olarak yapılandırılan birden çok sunucu ve Çevrimiçi Yanıtlayıcılar olarak yapılandırılan başka sunucular bulunabilir.

AD CS'yi yönetmek için aşağıdaki MMC ek bileşenleri kullanılabilir:

  • Sertifika Yetkilisi: CA'ları, sertifika iptali ve sertifika kaydı işlemlerini yönetmek için birincil araçtır.
  • Sertifika Şablonları: Active Directory Etki Alanı Hizmetleri'ne (AD DS) yayımlamak ve kuruluş CA'larıyla kullanmak üzere sertifika şablonlarını çoğaltmak ve yapılandırmak için kullanılır.
  • Çevrimiçi Yanıtlayıcı: Çevrimiçi Sertifika Durum Protokolü yanıtlayıcılarını yapılandırmak ve yönetmek için kullanılır.
  • Kuruluş PKI'sı: Birden fazla CA'yı, sertifika iptal listelerini ve yetkili bilgi erişimi konumlarını izlemek ve AD DS'ye yayımlanan AD CS nesnelerini yönetmek için kullanılır.
  • Sertifikalar: Bir bilgisayar, kullanıcı veya hizmetle ilgili sertifika depolarını görüntülemek ve yönetmek için kullanılır.

PKI Sistemi, Sertifika Hiyerarşisi ve Sertifika Yetkilisi Türleri

Genel anahtar altyapısı (PKI); genel anahtar şifreleri kullanarak, elektronik işlemlerde yer alan her varlığın kimlik doğrulamasını yapan ve geçerliliğini doğrulayan dijital sertifika, CA ve kayıt yetkililerinden oluşan bir sistemdir. Microsoft PKI, ölçeklenebilen ve artan sayıda ticari ve diğer CA ürünleriyle uyumluluk sergileyen hiyerarşik bir CA modelini desteklemektedir.

En basit biçimiyle bir sertifika hiyerarşisi tek bir CA'dan oluşur. Bununla birlikte, hiyerarşilerde genellikle açıkça tanımlanmış üst/alt ilişkilerine sahip birden fazla CA bulunur. Bu modele göre, alt CA'lar kendi üstündeki CA tarafından verilen sertifikalarla onaylanır ve böylece bir CA'nın genel anahtarı kendi kimliğine bağlanır. Bir hiyerarşide en üstte bulunan CA'ya kök CA denir. Bir kök CA'nın altındaki CA'ya da alt CA denir.

  • Kök CA bir kuruluşun PKI'sinde en çok güvenilen CA türü anlamına gelir. Kök CA tehlikeyle karşılaşır veya yetkisiz bir varlığa sertifika verirse, kuruluşunuzdaki sertifika tabanlı tüm güvenlik unsurları saldırıya açık duruma gelir. Bu nedenle, bir kök CA'nın fiziksel güvenliği ve sertifika verme ilkesi alt CA'lara göre sıkıdır. Kök CA'lar güvenli e-posta gönderme gibi görevler için son kullanıcılara verilebilmekle birlikte, çoğu kuruluşta yalnızca alt CA adı verilen başka CA'lara sertifika vermek için kullanılırlar.

  • Alt CA, kuruluşunuzdaki başka bir CA tarafından kendisine sertifika verilen CA'dır. Tipik olarak bir alt CA, güvenli e-posta, Web tabanlı kimlik doğrulama veya akıllı kart kimlik doğrulaması gibi belirli kullanımlar için sertifikalar verir. Alt CA'lar daha altta yer alan başka CA'lara da sertifika verebilir. Böylece, bir kök CA, kök tarafından sertifika verilen alt CA'lar ve diğer alt CA'lar tarafından sertifika verilen alt CA'lar birlikte bir sertifika hiyerarşisi oluştururlar.

Alt Text

CA hiyerarşisinin yönetim açısından sağladığı bazı yararları saymak gerekirse:

  • Kullanım: Sertifikalar, e-posta güvenliğini sağlama ve ağ kimlik doğrulaması gibi birtakım nedenlerle verilebilir. Bu kullanımlar açısından verme ilkesi farklı olabilir ve bu ilkelerin yönetiminde temel olan farklılıklardır.
  • Kuruluş bölümleri: Bir varlığın kuruluştaki rolüne bağlı olarak, farklı sertifika verme ilkeleri söz konusu olabilir. Bu ilkeleri ayırmak ve yönetmek için de alt CA'lar oluşturabilirsiniz.
  • Coğrafi bölümler: Kuruluşların fiziksel olarak birçok yerde varlıkları olabilir. Bu yerler arasındaki ağ bağlantıları, yerlerin çoğu veya tümü için ayrı alt CA'lar gerektirebilir.
  • Yük dengeleme: PKI'niz çok sayıda sertifika vermek ve yönetmek için kullanılacaksa, yalnızca bir CA bulunması bu tek CA için dikkate değer bir ağ yüküne neden olabilir. Aynı türden sertifikalar vermek için birden fazla alt CA kullanılması ağ yükünü CA'lar arasında dağıtır.
  • Yedekleme ve hataya dayanıklılık: Birden fazla CA bulunması, ağınızda kullanıcı isteklerini yanıtlamak için her zaman kullanılabilir durumda CA olması olasılığını artırır.
  • Güvenlik ve kullanılabilirlik arasındaki dengeyi kurmak amacıyla CA güvenliği ortamını esnek şekilde yapılandırma.
  • Kurulan güven ilişkilerini ve diğer kısımları etkilemeksizin CA hiyerarşisinin belirli bir kısmını kapatma yeteneği.

Windows'da, bir kök CA'yı güvenli kabul ediyorsanız, hiyerarşide geçerli CA sertifikasına sahip olan her alt CA'yı da güvenli kabul etmiş olursunuz. Böylece, kök CA bir kuruluşta çok önemli bir güven unsuru durumundadır ve buna göre güvenliğinin sağlanması gerekir.

Kaynaklar:

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .