Windows Server 2003 Certification Authority - KRA (Key Recovery Agent) Uygulaması

Bir önceki yazımda size Windows 2003 Server’da CA kurulumundan bahsetmiştim. Şimdi ise CA uygulamaları içinde en kapsamlı olan KRA (Key Recovery Agent) uygulamasını açıklamaya çalışacağım. Bu uygulamayı seçmemin sebebi; KRA oluşturmanın CA ara yüzü ve Web ara yüzünü de kapsayan bütün sertifika uygulamalarını barındırmasıdır.

KRA uygulaması için sistemimizde olması gerekenler;

- V.2 Templateler

- Windows Server 2003 Enterprise ya da Data Center Edition ve üzerinde kurulu bir CA

- Microsoft Active Directory

- CMC Protokolü

CMC Şifreleme İleti Sözdizimi (CMS) kullanan bir Sertifika Yönetim protokolüdür.

Bu işlem için öncelikle Key Recovery Agent olacak kullanıcı belirlenmelidir. Bunun için;



CA ara yüzünden Certificates Templates tabına sağ tıklanarak manage seçeneği seçilir. Bu menüde; V.1 ve V.2 (Windows Server 2000 ve Windows Server 2003 için) template’ler bulunmaktadır.



Burada Key Recovery Agent Template’i bulunur ve Porperties tabına girilir.



Template’nin Porperties tabından Security sekmesine gelinir ve Add denerek KRA olması istenen kullanıcı listeye eklenir. Ardından kullanıcıya gerekli haklar verilir. (KRA olabilmek için Read ve Enroll haklarının verilmesi gerekmektedir.)

Ardından yayınlanacak olan sertifika veya sertifikalar duplicate edilir. (Çoğaltılır)



Bu işlem için çoğaltılacakolan template’nin üzerine gelip sağ tıklayarak Duplicate Template dememiz yeterlidir.



Karşımıza yukarıdaki gibi bir pencere çıkacaktır. Burada Genaral tabından sertifikamıza tanımlayıcı bir isim belirleyebiliriz. Yine aynı tabdan sertifikanın geçerlilik süresini (Validity Period) ve yenilenme süresini (Renewal period) belirleyebiliriz.



Yine aynı menüde Issuance Requirements tabına geldiğimizde karşımıza önemli bir ayrıntı çıkmaktadır. Burada CA certificate manager approval seçeneği işaretlenirse talep edilen sertifika Administrator’un yetkisi olmadan kullanıcıya yüklenemez.

Gerekli ayarlamaları yaptıktan sonra OK dediğimizde sertifikayı çoğaltmış ve yayınlanmaya hazır hale getirmiş oluyoruz.

Bunun ardından sertifikayı yayınlama aşamasına geliyoruz. Ben bu senaryoda 2 sertifika yayınlayacağım. Birisi KRA olacak kişi için Key Recovery Agent serifikası, bir diğeri de sıradan bir kullanıcı için User sertifikası. Bunun için;



CA menüsünden Certificate Templates’e sağ tıklıyoruz ve New / Certificate Template to issue seçeneğini seçiyoruz.



Ardından karşımıza yayınlanabilecek sertifikaların listelendiği bir sayfa gelecek. Bu sayfada yayınlayacağımız bir yada daha fazla sertifikayı seçerek (CTRL tuşuna basılı tutarak birden fazla sertifikayı aynı anda seçebiliriz) OK diyoruz.



Bu işlemin ardından yayınlayacağımız sertifikalar CA ara yüzünde gözükmektedir.

Şimdi sıra kullanıcıların sertifikaları çekmesine geldi. Bu işlemi öncelikle KRA için yapacağım.



Bu işlem için KRA olacak kullanıcı ile (bu senaryoda kaan kullanıcısı) sertifikamı talep etmek için http://localhost/certsrv adresinden Certificate Services ara yüzüne girilip Request a certificate seçeneği seçilmelidir.



Ardından Create and submit a request to this CA (Bu CA için bir talep yarat ve bu talebi ilet) seçeneği seçilir.



Karşımıza gelen sayfanın en üstünden istenilen sertifika seçilir.



Ardından sayfanın en altından Submit seçeneği seçilir. Submit dediğimizde karşımıza bir uyarı penceresi gelecektir. Bu uyarıda sadece güvenlen web sitelerinin sertifikalarını talep etmemiz gerektiği ile ilgili bir uyarı yer almaktadır. Bu uyarıya Yes dediğimizde talebimiz yaratılacak ve Certification Authority’e iletilecektir.



Ardından karşımıza talebimizin alındığını gösteren bir mesaj gelecektir. Fakat sertifikayı yayınlarken sertifikanın özellikler tabından sertifikanın admin izin vermeden yüklenememesini seçtiğimiz için KRA sertifikasının öncelikle Administrator tarafından onaylanması gerekmektedir.

Administrator bu işlemi CA ara yüzünden yapabilir.



Bu işlem için CA ara yüzü açılır ve Pending Requests tabına gelinir. Burada onay bekleyen sertifikanın üzerine sağ tıklanır ve All Tasks / Issue (onaylayacaksak) ya da Deny (onay vermeyeceksek) seçeneği seçilir. Genelde Pending Request’lerin Web ara yüzüne düşmeleri zaman alır, bu yüzden bu işlemin CA ara yüzünden yapılması zaman kazandırır.

Administrator sertifika için onayı verdiğine göre artık KRA olacak kullanıcı Web ara yüzünü kullanarak sertifikasını yükleyebilir.

Bu işlem için;

KRA olacak kullanıcı yine http://localhost/certsrv ile talep ettiği sertifikayı bulur.



Ardından Install this certificate (bu sertifikayı yükle) seçeneğini seçer.



Bu işlemi de yaptıktan sonra geriye CA özelliklerinden arşiv özelliklerini açmak kalıyor.


Bu işlem için öncelikle CA / Properties tabına gelinir.




Ardından Recovery Agents tabına gelinir. Önce Arşiv özelliğini açılıp ardından da yayınladığımız KRA Sertifikası Add denerek KRA Certificates kısmına eklenir.

Bu işlemle birlikte CA Servisi yeniden başlatılacaktır.

Böylece KRA uygulamasını bitirmiş oluyoruz. Domainimizde belirlediğimiz kullanıcıyı Key Recovery Agent yapmış olduk.

NOT: KRA’nın çalışabilmesi için yayınlanan sertifikaların private key’lerine ulaşması gerekmektedir. Bunun için yayınladığımız template’lerde Arşiv özelliğini aktif hale getirmeliyiz. Böylece yayınlanan sertifikaların private key’leri Active Directory tarafından arşivlenebilir.

Şimdi de Anahtar Kurtarma Prosesinin nasıl çalıştığını görelim.

Bu konuyu açıklamak için kullanacağım senaryo şu şekilde olacaktır:

kaanerden.net domaininin kullanıcılarından “user1” encrypt ettiği dosyalarını açamamaktadır. Durumu Domain Admin’ine iletir. Domain Admin’i de yaptığı araştırmadan sonra sertifikanın silindiğini belirler ve KRA’ya bu durumu bildirir.



User1 şifrelediği dosyasını açmaya çalışıyor fakat açamıyor.

Bu işlemi gerçekleştirmenin iki yolu vardır. Bunlardan ilki komut satırını kullanmaktır. Microsoft bu prosesi oluştururken gerekli yetkileri hem KRA’ya hem de Administrator’a paylaştırmıştır.

İlk rol Administrator’a aittir. Administrator öncelikle user1 için yayınlanan sertifikanın seri numarasını bulmalıdır.



Bunun için CA ara yüzünden Issued Certificates kısmında user1 için yayınlanan sertifikayı açarak Details tabından seri numarasını elde eder. Daha sonra komut satırını açarak;



Certutil –getkey Cert_No cert.blob “ formatındaki komutu koşturmalıdır. Bu komut C dizininin altında cert.blob adında bir dosya oluşturacak.

Bunun ardından sıra KRA’ya geliyor. cert.blob dosyası oluşturulduktan sonra KRA da komut satırına girerek;

certutil –recoverkey cert.blob cert.pfx “ komutunu koşturmalıdır. Bu komut Administrator’un oluşturduğu .blob dosyasını kullanılabilir bir sertifika dosyası olan .pfx’e dönüştürür. Bu komut ile birlikte KRA’nın C dizininin altında cert.pfx adlı bir dosya oluşacaktır. Bu dosya user1 kullanıcısının kaybettiği sertifikadır. Bu .pfx dosyası user1 tarafından yüklendiğinde eski şifrelenmiş dosyalarını tekrar açabilecektir.

Anahtar Kurtarma Prosedürünün diğer bir yapılış yöntemi ise Key Recovery Tool’u kullanmaktır. Bu tool’u kullanabilmek için bilgisayarınızda Windows Server 2003 Resource Kit’in yüklü olması gerekir.

Key Recovery Tool’u çalıştırmak için Başlat / Çalıştır menüsüne “ krt “ yazmak yeterlidir.



KRT ara yüzü



Key Recovery Tool’u kullanmak çok kolaydır. Öncelikle arama yapacağımız kriteri belirleyip Value kısmına yazmalıyız. Ben burada user 1 için yayınladığım sertifikayı kurtarmaya çalıştığım için Value kısmına user1 yazdım. Search butonuna bastığımızda Certificates yazan alanda aradığımız kriterlere uygun sonucu göreceğiz. Buradan sonra karşımıza 3 seçenek çıkıyor.

1.)Retrieve Blob:

Bu seçeneği Domain Administrator cert.blob dosyasını oluşturmak için seçer. İşlem sonunda komut satırında olduğu gibi bir .blob dosyası oluşturulur.

2.)Decrypt Blob:

Bu seçeneği ise KRA seçebilir. Bu seçenek ile KRA, Administrator’un oluşturduğu cert.blob dosyasını Cert.pfx e dönüştürür.

3.) Recover:

Bu seçeneğin seçilmesi için KRA ve Domain Administrator yetkileri aynı kullanıcıda olmalıdır. Eğer kendi yapımızda Administrator ve KRA aynı kişi ise Recover seçeneği ile tek adımda .pfx dosyasını oluşturabiliriz.



Bu adımlar sonunda oluşan cert.pfx dosyası sertifikası kaybolan kullanıcının bilgisayarına Import edildiğinde, (yüklendiğinde) kullanıcı daha önce şifrelediği dosyalarını tekrar açabilecek hakkı kazanır.

Bu yazımda size Anahtar Kurtarma Prosedürü ile birlikte CA kullanılarak yapılabilecek neredeyse bütün uygulamalardan bahsetmeye çalıştım. Bir sonraki yazımda görüşmek üzere ..

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

SAP ‘ye Giriş

Resim
Yıllardır bilişim sektöründe olmama rağmen bu güne kadar yollarımız kesişmemişti SAP denen derya deniz ile. Yakın zamana kadar açılımının bile ne olduğunu bilmediğim (System Analysis and Program Development) SAP ile ilgili bildigim ögrendigim seyleri sizlerle paylasmak istedim. SAP, 1972 yılında “Veriyi gerçek zamanlı işleyebilmek adına geliştirilen bir yazılım” vizyonu ile IBM den ayrılan 5 duayenin oluşturduğu (Dietmar Hopp, Hans-Werner Hector, Hasso Plattner, Klaus Tschira and Claus Wellenreuther) bir Alman yazılım şirketidir. Kurum kurulduğu 1972 yılının sonunda 9 kişilik bir ekip ile geliştirdiği Finansal Analiz modülü ile 620.000 Mark gelir elde ederek büyük bir başarıya imza atmıştır. 1973 yılında, üzerinde çalıştıkları Finansal Muhasebe modülünü tamamlayarak yıl içerisinde 40'tan fazla şirkete bu ürünü satmayı başardılar. 1972 yılında başlayan bu macera, günümüzde 280 bin müşteri, toplamda 69 bin çalışan ve €100 milyar yaklaşan piyasa değeri ile yazılım dünyasına yö
Yazının devamı için tıklayınız >>

Pazarlama Yönetiminde Değer Kavramı

Resim
"Bir işletmenin birincil görevi müşteri yaratmaktır.” Peter Drucker Bugün sizlere Pazarlama sürecinde değer kavramından bahsetmek istiyorum. Değer Kavramının Pazarlama Yönetimindeki Yeri Değer kavramı pazarlama yöneticileri için en önemli kavramlardan bir tanesidir. Pazarlamanın amaçları arasında tüketiciler için değer yaratabilmek de vardır. Değer yaratabilme, ürünün müşterilere sunulmak üzere içermesi beklenen değerin belirlenmesinden bu değerin müşteriye ulaştırılmasına kadar olan, gerek stratejik gerekse taktiksel pazarlamayı içinde barındıran bir süreçtir. Geleneksel Pazarlama Süreci öncelikle ürün ve hizmetin belirlenip ardından tüketiciye sunulması ve satılması temellerine dayanırken, değer yaratma odaklı pazarlama anlayışında ise öncelik ürünün üretilmesinde değil, müşteriye sunulması ve planlanan değerin belirlenmesindedir. Bu planlamadan önce müşteriler alt segmentelere ayrılır ve bu segmentlere yönelik olası değerler dikkate alınarak müşterilere sunulacak ürünl
Yazının devamı için tıklayınız >>

DHCP Relay Agent Uygulaması

Resim
Bir süredir finallerim ve sertifikasyon sınavlarım nedeni ile blogumda yazı yayınlayamıyordum. Bugün size Relay Agent uygulamasından bahsetmeye çalışacağım .. DHCP Relay Agent farklı bir subnetteki DHCP Server'dan kendi subnetimizdeki kullanıcılara IP aldırmamızı sağlar. Relay Agent olacak makine bir bilgisayar da olabilir bir Router'da olabilir. Basit olarak DHCP Relay Agent kendi subnet'indeki kullanıcıların DHCP Broadcast'lerini yakalayarak bunları Unicast'e çevirip yetkili DHCP Server'a gönderir Bu uygulama için öncelikle Routing And Remote Access Configure edilmelidir. Bunun için; RRAS açılır ve "Configure and Enable RRAS" seçeneği seçilir. BU seçenek seçildiğinde karşımıza bir sihirbaz gelecektir. Next diyerek bu sayfayı geçiyoruz. Bu sayfada RRAS'ı ne olarak konfigüre etmek istediğimize karar veriyoruz. Relay Agent Uygulaması için Custom Configuration seçilir. Bu sayfada kullanmak istediğimiz servisi seçiyoruz. Kendi Network'ümüzde farkl
Yazının devamı için tıklayınız >>