Offline Root CA Kurulum yazımızda sizlere Standalone Root CA kurulumunu detaylı olarak anlatacağım. Bir sonraki yazımızda Subordinate kurulumunu göstereceğim. Yazı serimiz migration ve CA ların güncellenmesi ile devam edilecek ilk olarak ortamda PKI Hierarchy’de ilk root kurulmasını anlatacağım. Root CA nın yani kök sertifikanın neden offline olması gerektiği konusuna gelelim.
Kök sertifikası zincirdeki en değerli ve en tehlikeli sertifikadır. Bu nedenle, en fazla koruma altına alınması gereken sunuculardan biridir .Çünkü tehlike anında değiştirilmesi cok zordur. Böylece ona mümkün olan en fazla korumayı sağlarsınız, Bu da genellikle çevrimdışı anlamına gelir. Kök sertifikanın tehlikede olması tüm sertifikalarınızı tehlikeye sokabilmektedir. O sebepten dolayı neyi nasıl korumamız gerektiğini iyi bilmek gerekir. Kök CA’yı çevrimdışı tutmak ve kapatmak, CA’yı ağdaki potansiyel olarak kötü niyetli üçüncü taraflardan ayırarak kuruluşunuzun güvenlik kapsamını arttırır. Sub CA de olabilecek durumlarda Root CA üzerinden revoke edebilir ve yenisini kurabilirsiniz.
Haydi Kuruluma geçelim. Private network üzerinde workgroup olan makinemize kurulum yapalım.
Sonrasında Kurulumdaki adımları hızlı geçiyorum. Standart CA kurulumu yapmaktayız. Asıl işimiz configure zamanıdır.
Configure
Role olarak Certification Authority bizler için yeterli olacaktır.
Devamında bu kısım önemlidir. Burada biraz açıklama yapmak gerekmektedir. İlk olarak Enterprise CA ile Standalone CA arasındaki farkları anlatmak gerekir. Aşağıdaki tabloda detaylı olarak anlatacağım.
| Enterprise CA | Standalone CA |
| Enterprise CA Domain’in kesinlikle üyesi olması gerekir. AD ile bağlantı kurması gerekir. | Domain üyeside olabilir , workgroupta olabilir. AD ile bağlantı kurmasına ihtiyaç duymaz. |
| Enterprise CA büyük kurumlar için ve güvenlik sıkı olan , AD tarafından yönetildiğinden ataklara karşı daha korunaklı olur. | Standalone CA genellikle küçük işletmeler için sıkı olmayan güvenlikte kullanılır. Çünkü Active Directory üzerinden yönetilmediğinden güvenlik açısından zayıftır. |
| Birden çok domain yapısına hizmet verebilir. Ölçeklendirmeleri gayet geniştir. | Publish olduğu domain üzerindeki bilgisayar ve kullanıcılara sertifika üretir. |
| Kurulumu ve yönetimi zordur. | Kurulum ve yönetim oldukça basittir. |
PKI Hierarchy deki ilk sertifika sunucumuzu kurduğumuz için Root CA olarak seçiyoruz.
Yeni private key üretiyoruz.
Devamında Kriptolama key length 4096 olarak belirliyorum.
Burada Root Sertifika sunucumuzun Adını belirtiyoruz.
Devamında Expire süresini seçiyoruz. 5 Yıl olarak belirledik.
Sonrasında CA Databasenin ve Log dosyalarının folder location belirliyoruz.
En son olarak Kurulum başarı ile tamamlandı.
Sonuç olarak ,Offline Root CA Kurulum yazımızda sizlere kısaca ROOT CA kurulumunu anlattık . Bundan sonraki bölümlerde SUBCA kurulumu için ROOT CA hazırlığı yapacağız.
Subordinate Kurulumuna Hazırlık
İlk olarak Extension kısmından sarı ile boyanan 3 adet CRL (Certification Revocation List) kısımlarını kaldırıyoruz.
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Kısmında <ServerDNSName> yerine SUBCA mızın adını yazıyoruz ve ekleme yapıyoruz.
http://SUBCA.koray.intra/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
Ekleme sonrasında Include CRL ve CDP kutucuklarını işaretleyip apply diyoruz fakat servise restart kısmına NO diyebiliriz. Son Bir işlem sonrasında hepsine restart edeceğiz.
Sonrasında Extension kısmından sarı ile boyanan 3 adet AIA (Authority Information Access) kısımlarını kaldırıyoruz.
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
Kısmında <ServerDNSName> yerine SUBCA mızın adını yazıyoruz ve ekleme yapıyoruz.
http://SUBCA.koray.intra/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt
Ekleyerek Apply edip, servisimize restart atıyoruz.
Dışarı aktarımını tamamlıyoruz ve SUB sertifika için tüm hazırlığımız tamamlıyoruz. Diğer yazılarımı aşağıdaki kategorilerden takip edebilirsiniz.