Subordinate CA Kurulum

Subordinate CA Kurulum yazımız CA serimizin ikinci yazısıdır. Öncesinde Root CA kurulumunu yaptık. Sıra geldi Subordinate CA kurmak. Bu sertifika sunucumuz Domain üyesi bir makinededir. Bunun üzerinden publishlerimizi yapacağız. Haydi geçelim kuruluma.

Sonrasında Kurulumdaki adımları hızlı geçiyorum. Standart CA kurulumu yapmaktayız. Asıl işimiz configure zamanıdır.

Offline Root CA Kurulum

Configure

Burada dikkat edilmesi gereken önemli koşulumuz Kurulum yapılacak hesap Enterprise Admin veya Domain Admin grubunun üyesi olması gerekmektedir. Preleri Microsoft dokümanından inceleyebilirsiniz.

Role olarak Certification Authority bizler için yeterli olacaktır. Diğer yazılarımızda sizlere diğer rollerin detaylarını anlatacağım.

Devamında bu kısım önemlidir. Burada biraz açıklama yapmak gerekmektedir. İlk olarak Enterprise CA ile Standalone CA arasındaki farkları anlatmak gerekir. Aşağıdaki tabloda detaylı olarak anlatacağım.

Enterprise CAStandalone CA
Enterprise CA Domain’in kesinlikle üyesi olması gerekir. AD ile bağlantı kurması gerekir.Domain üyeside olabilir , workgroupta olabilir. AD ile bağlantı kurmasına ihtiyaç duymaz.
Enterprise CA büyük kurumlar için ve güvenlik sıkı olan , AD tarafından yönetildiğinden ataklara karşı daha korunaklı olur.Standalone CA genellikle küçük işletmeler için sıkı olmayan güvenlikte kullanılır. Çünkü Active Directory üzerinden yönetilmediğinden güvenlik açısından zayıftır.
Birden çok domain yapısına hizmet verebilir. Ölçeklendirmeleri gayet geniştir.Publish olduğu domain üzerindeki bilgisayar ve kullanıcılara sertifika üretir.
Kurulumu ve yönetimi zordur.Kurulum ve yönetim oldukça basittir.

Bizlere Enterperise olarak seçimi yapıyoruz çünkü makinemiz domain üyesi ve domaindeki user ve makinelerin sertifika yönetimini yapacağız.

Subordinate CA Kurulum Enterprise

Devamında Subordinate CA kurulumu için aşağıdaki seçeneğini seçiyoruz.

Subordinate CA Kurulum

Yeni private key üretiyoruz. Burada güzel bir soru gelebilir existing key nerde kullanıyoruz. Onuda sunucu migration kısmında detaylı olarak anlatacağım.

Devamında Kriptolama key length 4096 olarak belirliyorum.

Offline Root CA Cryptographic

Publish edeceğimiz domaindeki Common Name bilgilerini girmekteyiz.

Root CA mızı offline olarak ayarlamıştık. Bu sebepten dolayı manuel olarak sertifikamızı issue edeceğiz. Aşağıdaki folder yapısına regedit file gelecektir. Online olarak ulaşabilme durumunuzda üstteki seçeneği seçebilirsiniz.

Subordinate CA Kurulum Req File

Sonrasında CA Databasenin ve Log dosyalarının folder location belirliyoruz.

Warning ile karşılaştık çünkü Parent veya Root CA mızda issue etmedik.

Subordinate CA Kurulum Warning

ROOT CA da Subordinate CA nın ISSUE Edilmesi

C: Drive bulunan reg dosyamızı ROOT CA mıza kopyalıyoruz.

Subordinate CA Kurulum Req File

Offline ROOT CA da Submit new Request yaparak reg dosyamızı seçiyoruz.

Devamında Pending Request kısmında sertifikamızı görmekteyiz. All Task Issue ediyoruz ve sertifikamız Issued Sertifikanın altına gitmektedir.

Subordinate CA Kurulum ISSUE

Sertifikamızı dışarı aktarıyoruz.

Root Sertifika sunucusunda Certenroll altındaki dosyalarımızı alıp SubCA da aynı path’e kopyalıyoruz.

Sub kopyaladıktan sonra ROOT sertifikamızı Trusted Root’a ekliyoruz.

Root CA dan dışarı aktardığımız pb7 Issued sertifikamızı SUBCA de Install Ediyoruz.

Subordinate CA Kurulum CA Certificate

Install sonrasında CA Servisini başlatıyoruz. Sonuç olarak Subordinate CA Kurulum burada sona ermiştir. Bundan sonra Domain Ortamında ROOT sertifikamızı dağıtmamız kalmıştır. Onuda aşağıdaki linklerden takip edebilirsiniz.