Sertifika Şablonları

Sertifika Şablonu Nedir

Sertifika Şablonu (Certificate Template), sertifika yetkilisinin (Certification Authority, CA) temel bir parçasıdır. Bu şablonlar; sertifika kaydının, kullanımının ve yönetiminin kurallarını içeren bir küme ve sertifika ilkesinin önemli bir ögesidir. Şablonlar, forest (orman) içerisindeki tüm CA'lar tarafından kullanılmak üzere Active Directory Etki Alanı Hizmetleri'nde (Active Directory Domain Services, AD DS) depolanır. Bu durum, sertifika ilkesinin tüm ormanda tutarlı bir şekilde uygulanmasını sağlar.

CA, sertifikalar ile ilgili bir istek (sertifika verme veya yenileme gibi) aldığında bu isteği gerçekleştirmek için bir dizi kurallara ve ayarlara uyması gerekir. Bu kurallar kimi zaman basit, kimi zaman da karmaşık olabileceği gibi tüm kullanıcılara veya yalnızca belirli özelliklere filtrelenmiş kullanıcılara/gruplara uygulanabilir. İşte sertifika şablonları da CA'nın sertifikalar ile ilgili gelen isteklerde uyacağı bu kurallar ve ayarlardır. Ayrıca sertifika şablonu, bu isteği gönderen istemciye de sertifika isteğinin hangi kurallara göre oluşturulup gönderileceğine ilişkin yönergeler de verir.

Sertifika şablonları Windows Server makinelerde run -> mmc -> certificate templates kısmında görüntülenebilir. Burada sertifika yetkilisi kendisi sertifika şablonu oluşturmamış olsa bile; varsayılan olarak çoğu kuruluşun gereksinimlerini karşılayacak şekilde tasarlanmış, çeşitli, önceden yapılandırılmış sertifika şablonları vardır. Ayrıca yine varsayılan olarak, bir sunucuya CA yüklendiğinde Sertifika Şablonları ek bileşeni de otomatik olarak yüklenir. Active Directory Sertifika Hizmetleri (AD CS) araçlarını yüklemek için Sunucu Yöneticisi kullanılarak Sertifika Şablonları ek bileşeni farklı bir sunucuya yüklenebilir.

Sertifika Şablonu Oluşturma

Varolan bir şablonu çoğaltarak (duplicate) ve bu şablonun özelliklerini yeni şablon için varsayılan olarak kullanarak bir sertifika şablonu oluşturabilirsiniz. Farklı türdeki sertifika yetkilileri (CA) farklı sertifika şablonlarını desteyebilmektedir. Örneğin bazı sertifika şablonları yalnızca Windows Server 2003 çalıştıran kuruluş CA'ları tarafından verilip yönetilebilirken, bazıları için CA'nın Windows Server 2008 çalıştırıyor olması gerekebilir. Bu sebeple gereksinimlerinizi en uygun şekilde karşılayan bir sertifika şablonu bulup onu çoğaltarak kendi şablonunuzu oluşturmak için varolan sertifika şablonlarını iyi bir biçimde incelemeniz gerekir. Ayrıca sertifika şablonu oluşturabilmek için Domain Admins veya eşdeğer bir grup üyeliği olması gerekir.

Yeni bir sertifika şablonu oluşturmak için yapmanız gerekenler sırasıyla:

• run -> mmc -> certificate templates kısmını açarak Sertifika Şablonları ek bileşenine giriyoruz.
• Gerekli incelemelerden sonra çoğaltılacak şablonu sağ tıklatarak Yineleme Şablonu seçeneğini tıklatıyoruz.
• Açılan ekranda, yukarıda da bahsedildiği gibi, desteklenecek olan en düşük CA sürümünü seçiyoruz.
• General kısmında sertifika şablonumuz için yeni bir isim giriyoruz.
  • Bu kısımdaki Active Directory'de sertifika yayımla seçeneği, sertifika şablonuyla ilgili bilgilerin kuruluşun tamamında kullanıma sunulup sunulmayacağını belirler. Bu seçenek işaretlendiğinde sertifika LDAP veritabanından erişilebilir hale gelir.
• Gerekli değişiklikler varsa yaptıktan sonra Tamam diyerek işlemi tamamıyoruz.

Benzer şekilde silmek istediğimiz bir şablon varsa sağ tıklatıp Sil ve Evet diyerek silebiliriz.

Sertifika Şablonlarını Yönetme

Yeni bir sertifika şablonu oluşturduğunuzda, gerek genel özelliklerini gerekse detaylı ayarlarını özelleştirmek mümkündür. Bu kısımda sertifika şablonlarının bazı alt özelliklerini açıklayacağız.

Uzantılar

Sertifika şablonları, kullanımlarını düzenlemeye yarayan birtakım uzantılar kullanılarak özelleştirilebilir. Bu uzantılardan bazılarını açıklamak gerekirse:

• Temel kısıtlamalar CA sertifikalarının yalnızca belirli uygulamalarda kullanılmasını sağlamak için kullanılır.

• Verme ilkeleri sertifika verirken uygulanan bir grup yönetim kuralıdır. Bunlar, sertifikada CA'da tanımlanan bir nesne tanımlayıcısıyla (OID) gösterilir. Bu nesne tanımlayıcısı verilen sertifikaya eklenir. İlgili, sertifikasını gösterdiğinde verme ilkesini doğrulamak ve söz konusu verme ilkesi düzeyinin istenen eylemi gerçekleştirmek için yeterli olup olmadığını belirlemek üzere hedef tarafından incelenebilir.

• Uygulama ilkeleri belirli amaçlar için hangi sertifikaların kullanılabileceği konusunda karar vermeniz için size önemli bir olanak sunar. Bu da istenmeyen amaçlarla yanlış kullanılmaları kaygısı taşımadan geniş ölçüde sertifikalar vermeniz olanak sağlar.

  • Uygulama ilkelerine bazen genişletilmiş anahtar kullanımı veya gelişmiş anahtar kullanımı da denir. Ortak anahtar altyapısı (Public Key Infrastructure, PKI) uygulamalarının bazı uygulanışları uygulama ilkelerini yorumlayamadığından, Windows Server tabanlı bir CA tarafından verilen sertifikalarda uygulama ilkeleri ve gelişmiş anahtar kullanımı bölümlerinin her ikisi de görünür.

• Anahtar kullanımı bir kısıtlama yöntemidir ve hangi sertifikanın ne amaçla kullanılacağını belirler. Bu da yöneticinin, yalnızca belirli görevler için kullanılabilecek sertifikalar vermesine olanak sağlar. Sertifikanın hedeflenen amacı dışındaki kullanımını denetlemek için sertifikalara otomatik olarak kısıtlamalar konulur.

• Anahtar arşivleme sertifikalar verildiği zaman bir ilgilinin anahtarlarını şifreleyip CA veritabanında depolamanıza olanak sağlar. Çünkü ilgili kişiler özel anahtarlarını kaybettiğinde, ilgili genel anahtarla kalıcı olarak şifrelenen bilgilere erişilemez. Bir ilgili özel anahtarlarını kaybederse, bilgiler veritabanında alınarak ilgiliye sağlanabilir. Bu da şifrelenen bilgilerin kaybolmadan kurtarılmasını sağlar.

İstek İşleme

İstek İşleme sekmesi bir sertifika şablonunun amacını, desteklenen şifreleme hizmeti sağlayıcılarını (CSP), en az anahtar uzunluğunu, verilebilirliğini, otomatik kayıt ayarlarını ve güçlü özel anahtar koruması gerekip gerekmeyeceğini tanımlar.

• Sertifika amacı, sertifikanın hedeflenen birincil kullanımını tanımlar ve aşağıdaki dört ayardan biri olabilir.

Ayar	Amaç
Şifreleme	Şifreleme ve şifre çözme için şifreleme anahtarları içerir.
İmza	Yalnızca verileri imzalamaya yönelik şifreleme anahtarları içerir.
İmza ve şifreleme	Verilerin şifrelenmesi, şifresinin çözülmesi, ilk oturum açma veya verileri dijital olarak imzalama dahil olmak üzere bir sertifikanın şifreleme anahtarının birincil kullanımlarını kapsar.
İmza ve akıllı kartla oturum açma	Akıllı kartla ilk oturum açmaya ve verileri dijital olarak imzalamaya olanak sağlar; veri şifreleme için kullanılamaz.

• Sertifika yetkilileri (CA), sertifika verildiğinde bir ilgilinin anahtarlarını kendi veritabanlarında arşivleyebilir. İlgililer anahtarlarını kaybederse, bilgiler veritabanından alınarak ilgiliye güvenli şekilde sağlanabilir. Bununla ilgili ayarlar da aşağıda açıklanmıştır.

Ayar	Amaç
İlgilinin şifreleme özel anahtarını arşivleme	Veren CA anahtar arşivleme için yapılandırılırsa, ilgilinin özel anahtarı arşivlenir.
Özel anahtarın verilmesine izin ver	İlgilinin özel anahtarı, yedekleme veya başka bir bilgisayara aktarım amaçlı olarak bir dosyaya verilebilir.
İptal edilen ya da süresi dolan sertifikaları sil (arşivleme)	Bir sertifika süre sonu veya iptal nedeniyle yenilenirse, daha önce verilen sertifika ilgilinin sertifika deposundan kaldırılır. Varsayılan olarak bu seçenek etkin değildir ve sertifika arşivlenir.
Konunun içerdiği simetrik algoritmaları içer	İlgili sertifikayı istediğinde, ilgili desteklenen simetrik algoritmaların listesini sağlayabilir. Bu seçenek veren CA'nın, söz konusu sunucu tarafından tanınmasa veya desteklenmese bile bu algoritmaları sertifikaya eklemesine olanak sağlar.

• İstek İşleme sekmesi ayrıca, bir sertifika şablonu için bu tabloda açıklanan bazı kullanıcı girdisi ayarlarının da tanımlanmasına olanak sağlar.

Ayar	Amaç
Herhangi bir kullanıcı girdisine gerek kalmadan nesne kaydını yap	Bu seçenek, herhangi bir kullanıcı müdahalesi olmadan otomatik kayda izin verir ve hem bilgisayar, hem de kullanıcı sertifikaları için varsayılan ayardır.
Kayıt sırasında kullanıcıya sor	Bu seçenek devre dışı bırakıldığında, kullanıcıların sertifika şablonuna dayalı bir sertifikanın yüklemesi için herhangi bir girdi sağlaması gerekmez.
Kayıt sırasında kullanıcıya sor ve özel anahtar kullanıldığında kullanıcı girdisi iste	Bu seçenek, kullanıcının kendi özel anahtarında güçlü bir özel anahtar koruma parolası ayarlamasına olanak sağlar ve bu parolanın (anahtar oluşturulurken ve sertifika ve özel anahtar her kullanıldığında) kullanıcı tarafından kullanılmasını zorunlu kılar.

Şifreleme

Şifreleme sekmesi, aşağıdaki özellikleri yapılandırmak için kullanılır:

Özellik	Açıklama
Algoritma adı	Yayımlanan sertifikanın anahtar çiftinin destekleyeceği bir algoritma seçin. Bu liste yalnızca, İstek İşleme sekmesinde seçilen sertifika amacı için gerekli şifreleme işlemlerini destekleyen algoritmaları görüntüler.
En düşük anahtar boyutu.	Belirlenen algoritmayla kullanılan anahtarlar için gereken en az boyutu belirtmenize olanak sağlar. Varsayılan olarak, seçilen algoritma için bilgisayarda desteklenen anahtar uzunluğu alt sınırı kullanılır.
Sağlayıcılar	Bu listede bilgisayarda bulunan ve aşağıdaki yapılandırma seçeneklerinin bir bileşimiyle belirtilen ölçüte uyan tüm sağlayıcılar bulunur. Şifreleme sekmesindeki Algoritma adı ve En az anahtar boyutu İstek İşleme sekmesindeki Amaç ve Özel anahtar verilebilsin.
Karma algoritma	Gelişmiş bir karma algoritma seçmenize olanak sağlar. Varsayılan olarak AES-GMAC, MD2, MD4, MD5, SHA1, SHA256, SHA384 ve SHA512 algoritmaları kullanılabilir.
Başka imza biçimi kullan	RSA algoritması seçildiğinde, bu onay kutusu bu şablon için oluşturulan sertifika isteklerinin PKCS #1 V2.1 biçiminde ayrı bir imza içerdiğini belirtmenize olanak sağlar.

Şablonları Başkalarıyla Değiştirme

Bazen, istemcilere verilmiş olan bir sertifika türünün özelliklerini değiştirmek isteyebilirsiniz. Bunu, söz konusu sertifikanın amacına yönelik olarak güncelleştirilmiş bir sertifika şablonu oluşturarak ve eski şablona dayalı sertifikaların ilgililerinin yeni şablona dayalı yeni sertifikaları almasını istediğinizi belirterek yapabilirsiniz. Bu yordam, ilgilileri özgün sertifika şablonunda belirtilen yenileme tarihinden önce yeni bir sertifika almaya zorlar.

Özne Adları

Bir sertifikayla ilişkilendirilmiş özel anahtarın sahibi özne olarak bilinir. Bu bir kullanıcı, program veya herhangi bir nesne, bilgisayar ya da hizmet olabilir. İlgili adı, ilgilinin kim veya ne olduğuna bağlı olarak çeşitlilik gösterebildiğinden, sertifika isteğinde ilgili adı sağlanırken belirli bir esneklik gerekir. Windows, AD DS'de depolanan ilgili bilgilerinden ilgili adını otomatik olarak oluşturabileceği gibi, ilgili adı ilgili tarafından el ile de sağlanabilir (örneğin, sertifika isteği oluşturup göndermek için sertifika kaydı Web sayfaları kullanılarak).

Bu sekmede:

• İstekte sağlanmış seçeneği belirlendiğinde, sertifika yenileme isteğine konu adı ekleme görevini kolaylaştırmak ve bilgisayar sertifikalarının otomatik olarak yenilenmesini sağlamak için, otomatik kayıt yenileme istekleri için varolan sertifikaların konu bilgisini kullan seçeneği kullanılabilir. Varolan sertifikalardaki konu bilgileri, kullanıcı sertifikalarının otomatik yenilenmesi için kullanılmaz.
  • Otomatik kayıt yenileme istekleri için varolan sertifikaların konu bilgisini kullan seçeneği, sertifika kayıt istemcisinin, otomatik olarak yenileme istekleri oluşturulurken veya Sertifikalar ek bileşeni kullanılırken aynı sertifika şablonunu temel alan varolan bilgisayar sertifikasından konu adı ve konu diğer adı bilgilerini okumasına neden olur.
• Bu Active Directory bilgisinden oluştur seçeneği belirlendiğinde ek seçeneklerin yapılandırılması gerekir.

Sertifika Şablonu Sunucusu

İnternet Protokolü güvenliği (IPsec) zorlaması ile Ağ Erişim Koruması (NAP) dağıtımları gibi yüksek hacimli sertifika verme senaryoları, benzersiz ortak anahtar altyapısı (PKI) gereksinimleri oluşturur. Bu gereksinimleri karşılamak için, sertifika şablonlarını yüksek hacimli CA tarafından kullanılacak şekilde yapılandırmak üzere, Windows Server 2008 R2 uygulamasında sunulan aşağıdaki seçenekler kullanılabilir. Bu seçenekler, bir sertifika şablonun özellik sayfasındaki Sunucu sekmesinde bulunur.

• Sertifikaları ve istekleri CA veritabanında depolama: Yüksek hacimli senaryolarda verilen sertifikaların kullanım süresi, normalde verildikten sonraki birkaç saat içinde sonra erer ve bunları veren CA, yüksek hacimli sertifika istekleri işler. Varsayılan olarak, CA veritabanında her isteğin ve verilen her sertifikanın kaydı depolanır. Yüksek hacimli istekler, CA veritabanının büyüme hızını ve yönetim maliyetini artırır. Sertifikaları ve istekleri CA veritabanında depolama seçeneği, şablonu yapılandırarak, CA'nın sertifika isteklerini CA veritabanına kayıt eklemeden işlemesini sağlar.
• Verilen sertifikalara iptal bilgilerini ekleme: Sertifikaların bazı yüksek hacimli CA'lar tarafından iptali yararlı değildir, çünkü sertifikaların kullanım süresi, verildikten sonraki birkaç saat içinde sona erer. Verilen sertifikalara iptal bilgilerini ekleme seçeneği, şablonu yapılandırarak, CA'nın iptal bilgilerini verilen sertifikaların dışında tutmasını sağlar. Bu yöntem, sertifika doğrulaması sırasında iptal durumunun denetlenmesini önleyerek doğrulama süresini kısaltır.
  • Sertifikaları ve istekleri CA veritabanında depolama seçeneği kullanıldığında bu seçeneğin de kullanılması önerilir.

Sertifika Şablonları Dağıtma

Bir CA oluşturduğunuzda, sertifika şablonları AD DS'de depolanır ve ormandaki tüm kuruluş CA'larının kullanımına sunulabilir. Bir CA, Windows Server işletim sisteminin daha yeni bir sürümüne yükseltildiğinde, bu yöntem sertifika şablonlarıyla ilgili çoğaltma, güvenlik yönetimi ve yükseltme işlemlerini kolaylaştırır. Bunun için, kök etki alanının Domain Admins grubunun tüm sertifika şablonlarında Tam Denetim izni olması veya bu iznin başka bir kullanıcı veya gruba verilmiş olması gerekir.

Uygun sertifika şablonları planlanıp oluşturulduktan sonra, bu şablonlar kuruluştaki tüm etki alanı denetleyicilerine otomatik olarak çoğaltılır. Bu çoğaltmanın tamamlanması normalde yaklaşık sekiz saat sürer. Bu zaman dilimi nedeniyle, istemcilere sertifika şablonuna dayalı sertifikalar vermeden önce sertifika şablonunu oluşturmanız ve çoğaltılmasına izin vermeniz gerekir. Bu işlemi yapmak için en iyi zaman, ortamınızın boşta kaldığı süredir. Çoğaltma tamamlanmadan şablonların yapılandırılmasının ve sertifikaların kullanılmasının istenmeyen etkileri olabilir.

Sertifikaların CA tarafından verilebilmesi için, önce sertifika şablonunun bir CA'ya eklenmiş olması gerekir. CA'ya sertifika şablonu eklemek için:

• run -> mmc -> certification authority kısmını açıyoruz
• Sertifika Şablonları'nı sağ tıklattıktan sonra Yeni'yi tıklatıp ardından Verilecek Sertifika Şablonu'nu tıklatıyoruz.
• Açılan listede istediğimiz şablonu seçerek Tamam'ı işaretliyoruz.

Benzer şekilde CA'dan silmek istediğimiz bir şablon varsa Sertifika Şablonları'na tıklayıp listeden istediğimiz şablona sağ tıklayıp Sil ve Evet diyerek silebiliriz. Bu işlemler için Domain Admins veya Enterprise Admins veya bunlara eşdeğer bir grup üyeliği olması gerekir.

Kaynaklar:

• https://forsenergy.com/
• https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/configure-the-server-certificate-template
• https://www.altaro.com/hyper-v/windows-ssl-certificate-templates/