Subordinate CA Kurulum yazımız CA serimizin ikinci yazısıdır. Öncesinde Root CA kurulumunu yaptık. Sıra geldi Subordinate CA kurmak. Bu sertifika sunucumuz Domain üyesi bir makinededir. Bunun üzerinden publishlerimizi yapacağız. Haydi geçelim kuruluma.
Sonrasında Kurulumdaki adımları hızlı geçiyorum. Standart CA kurulumu yapmaktayız. Asıl işimiz configure zamanıdır.
Configure
Burada dikkat edilmesi gereken önemli koşulumuz Kurulum yapılacak hesap Enterprise Admin veya Domain Admin grubunun üyesi olması gerekmektedir. Preleri Microsoft dokümanından inceleyebilirsiniz.
Role olarak Certification Authority bizler için yeterli olacaktır. Diğer yazılarımızda sizlere diğer rollerin detaylarını anlatacağım.
Devamında bu kısım önemlidir. Burada biraz açıklama yapmak gerekmektedir. İlk olarak Enterprise CA ile Standalone CA arasındaki farkları anlatmak gerekir. Aşağıdaki tabloda detaylı olarak anlatacağım.
Enterprise CA | Standalone CA |
Enterprise CA Domain’in kesinlikle üyesi olması gerekir. AD ile bağlantı kurması gerekir. | Domain üyeside olabilir , workgroupta olabilir. AD ile bağlantı kurmasına ihtiyaç duymaz. |
Enterprise CA büyük kurumlar için ve güvenlik sıkı olan , AD tarafından yönetildiğinden ataklara karşı daha korunaklı olur. | Standalone CA genellikle küçük işletmeler için sıkı olmayan güvenlikte kullanılır. Çünkü Active Directory üzerinden yönetilmediğinden güvenlik açısından zayıftır. |
Birden çok domain yapısına hizmet verebilir. Ölçeklendirmeleri gayet geniştir. | Publish olduğu domain üzerindeki bilgisayar ve kullanıcılara sertifika üretir. |
Kurulumu ve yönetimi zordur. | Kurulum ve yönetim oldukça basittir. |
Bizlere Enterperise olarak seçimi yapıyoruz çünkü makinemiz domain üyesi ve domaindeki user ve makinelerin sertifika yönetimini yapacağız.
Devamında Subordinate CA kurulumu için aşağıdaki seçeneğini seçiyoruz.
Yeni private key üretiyoruz. Burada güzel bir soru gelebilir existing key nerde kullanıyoruz. Onuda sunucu migration kısmında detaylı olarak anlatacağım.
Devamında Kriptolama key length 4096 olarak belirliyorum.
Publish edeceğimiz domaindeki Common Name bilgilerini girmekteyiz.
Root CA mızı offline olarak ayarlamıştık. Bu sebepten dolayı manuel olarak sertifikamızı issue edeceğiz. Aşağıdaki folder yapısına regedit file gelecektir. Online olarak ulaşabilme durumunuzda üstteki seçeneği seçebilirsiniz.
Sonrasında CA Databasenin ve Log dosyalarının folder location belirliyoruz.
Warning ile karşılaştık çünkü Parent veya Root CA mızda issue etmedik.
ROOT CA da Subordinate CA nın ISSUE Edilmesi
C: Drive bulunan reg dosyamızı ROOT CA mıza kopyalıyoruz.
Offline ROOT CA da Submit new Request yaparak reg dosyamızı seçiyoruz.
Devamında Pending Request kısmında sertifikamızı görmekteyiz. All Task Issue ediyoruz ve sertifikamız Issued Sertifikanın altına gitmektedir.
Sertifikamızı dışarı aktarıyoruz.
Root Sertifika sunucusunda Certenroll altındaki dosyalarımızı alıp SubCA da aynı path’e kopyalıyoruz.
Sub kopyaladıktan sonra ROOT sertifikamızı Trusted Root’a ekliyoruz.
Root CA dan dışarı aktardığımız pb7 Issued sertifikamızı SUBCA de Install Ediyoruz.
Install sonrasında CA Servisini başlatıyoruz. Sonuç olarak Subordinate CA Kurulum burada sona ermiştir. Bundan sonra Domain Ortamında ROOT sertifikamızı dağıtmamız kalmıştır. Onuda aşağıdaki linklerden takip edebilirsiniz.