DEV Community ­čĹęÔÇŹ­čĺ╗­čĹĘÔÇŹ­čĺ╗

Fatih Arslan Tugay for A├ž─▒klab

Posted on

Sertifikalar ve Active Directory Sertifika Hizmetleri

Sertifika Nedir?

Sertifika; bir ortak anahtar─▒n de─čerini, kar┼č─▒l─▒k gelen ├Âzel anahtar─▒ bulunduran ki┼činin, ayg─▒t─▒n veya hizmetin kimli─čine ba─člayan, dijital olarak imzalanm─▒┼č bir deyimdir. Sertifikalar─▒n yararlar─▒ndan biri de, ana bilgisayarlar─▒n, eri┼čim ├Ânko┼čulu olarak kimliklerinin do─črulanmas─▒ gereken ba─č─▒ms─▒z ├Âzneler i├žin bir dizi parola tutma zorunlulu─čunun ortadan kalkmas─▒d─▒r. Bunun yerine ana bilgisayar, yaln─▒zca sertifikay─▒ verenle g├╝ven olu┼čturur.

Sertifikalar─▒n i├žerdi─či bilgiler a┼ča─č─▒da s─▒ralanm─▒┼čt─▒r:

  • ├ľznenin ortak anahtar de─čeri,
  • ├ľznenin ad ve e-posta adresi gibi tan─▒mlay─▒c─▒ bilgileri,
  • Ge├žerlilik s├╝resi (sertifikan─▒n ge├žerli kabul edilece─či s├╝re),
    • Her sertifika, ge├žerlilik s├╝resinin s─▒n─▒rlar─▒n─▒ belirleyen bir Ge├žerlilik Ba┼člang─▒c─▒ ve Ge├žerlilik Sonu de─čeri i├žerir. Bir sertifikan─▒n ge├žerlilik s├╝resi doldu─čunda, sertifikan─▒n ├Âznesi yeni bir sertifika istemek zorundad─▒r.
  • Sertifikay─▒ verenin tan─▒mlay─▒c─▒ bilgileri,
  • ─░lgilinin ortak anahtar─▒ ile ilgilinin tan─▒mlay─▒c─▒ bilgileri aras─▒ndaki ba─člant─▒n─▒n ge├žerlili─čini do─črulamaya yarayan, sertifikay─▒ verene ait dijital imza.

Sertifikalar; bir ki┼činin veya nesnenin kimli─činin do─črulanmas─▒, bilgilerin yaln─▒zca ama├žlanan ki┼činin kullanmas─▒n─▒ sa─člayan gizlili─čin sa─članmas─▒, yetkili olmayan okuyuculardan bilgilerin gizlenmesi (┼čifreleme) ve inkar edememe, ileti b├╝t├╝nl├╝─č├╝ gibi ├Âzellikleri sa─člayan dijital imzalama ama├žlar─▒ ile kullan─▒labilir. Bu ama├žlara daha detayl─▒ bakmak gerekirse:

  • Kimlik do─črulama, ileti┼čimin daha g├╝venli olmas─▒ i├žin ├žok ├Ânemlidir. ─░leti┼čim kuran taraflar fiziksel olarak birbirlerini g├Ârmeyecekleri i├žin a─č ├╝zerinde kimlik do─črulama karma┼č─▒k bir i┼člemdir. Bu, ahlak d─▒┼č─▒ bir ki┼činin iletilere m├╝dahale etmesine ve di─čer ki┼či veya varl─▒─č─▒ taklit etmesine olanak verebilir.
  • Herhangi bir a─čda bilgisayarlar aras─▒nda hassas bilgiler g├Ânderiliyorsa, kullan─▒c─▒lar verilerinin gizlili─čini sa─člamak i├žin genellikle bir t├╝r ┼čifreleme kullanmak isteyeceklerdir.
  • ┼×ifreleme i┼člemi, de─čerli bir e┼čyay─▒ sa─člam bir kutuya kilitlemek gibi d├╝┼č├╝n├╝lebilir. Tam tersi olan ┼čifre ├ž├Âzme bu kutuyu a├ž─▒p de─čerli ├Â─čeyi almaya benzetilebilir. Bilgisayarlarda; e-posta iletisi, diskteki dosyalar veya a─č ├╝zerinden aktar─▒lan dosyalar i├žindeki hassas veriler bir anahtar yard─▒m─▒yla ┼čifrelenebilir. ┼×ifrelenen veri ve veriyi ┼čifrelemede kullan─▒lan anahtarlar ├ž├Âz├╝lemez.
  • Dijital imza, verinin b├╝t├╝nl├╝─č├╝nden ve kayna─č─▒ndan emin olmak i├žin kullan─▒lan bir ara├žt─▒r. Dijital imza, imzaland─▒─č─▒ zamandan beri verinin de─či┼čtirilmedi─čine dair g├╝├žl├╝ bir kan─▒t ve veriyi imzalayan ki┼činin veya varl─▒─č─▒n kimli─čini do─črulayan bir belgedir. Bu durum, en ├Ânemli g├╝venlik hizmetlerinden olan ve elektronik ticaret i┼člemlerinde temel olan b├╝t├╝nl├╝k ve inkar edememe ├Âzelliklerini sa─člar. Dijital imzalar genellikle, veriler d├╝z metin bi├žiminde veya ┼čifrelenmemi┼č olarak da─č─▒t─▒ld─▒─č─▒nda kullan─▒l─▒r.

Dijital sertifikalar─▒n, tek ba┼č─▒na bilgisayarlar ile a─člar ve ─░nternet ├╝zerindeki rol├╝ h─▒zla artmaktad─▒r. Sertifikalar, ├žok az kullan─▒c─▒ m├╝dahalesi ile veya herhangi bir kullan─▒c─▒ m├╝dahalesi olmadan kullan─▒labilse de, sertifika i├žeriklerini g├Âr├╝nt├╝lemek, anlamak ve bu i├žeriklerin kullan─▒m─▒n─▒ y├Ânetmek de ├Ânemli olabilir. Bu ama├žlar─▒ Sertifikalar ek bile┼čenini kullanarak ger├žekle┼čtirebilirsiniz.

Sertifika Ek Bile┼čeni

Sertifika ek bile┼čeni, kullan─▒c─▒lar ve y├Âneticilerin bir kullan─▒c─▒, bilgisayar veya hizmet ile ili┼čkili sertifikalar─▒ g├Âr├╝nt├╝lemek ve y├Ânetmek ├╝zere kullanaca─č─▒ birincil ara├žt─▒r. Kullan─▒c─▒n─▒n sertifika istemesine, yenilemesine, bulmas─▒na, g├Âr├╝nt├╝lemesine, ta┼č─▒mas─▒na, kopyalamas─▒na ve silmesine olanak sa─člar. Bunun yan─▒ s─▒ra, kullan─▒c─▒ Sertifika ek bile┼čenini kullanarak, a┼ča─č─▒daki g├Ârevleri kolayla┼čt─▒ran sihirbazlar─▒ ba┼člatabilir:

  • Yeni sertifikalara kaydolma
  • Varolan sertifikalar─▒ yenileme
  • Sertifika bulma
  • Sertifika alma, verme veya yedekleme

├ço─ču durumda, kullan─▒c─▒lar─▒n sertifikalar─▒n─▒ ve sertifika depolar─▒n─▒ ki┼čisel olarak y├Ânetmeleri gerekmez. Bu i┼člemler, y├Âneticiler, ilke ayarlar─▒ ve sertifika kullanan programlar arac─▒l─▒─č─▒yla ger├žekle┼čtirilebilir. Y├Âneticiler Sertifika ek bile┼čeninin birincil kullan─▒c─▒lar─▒d─▒r; bu nedenle, y├Ânetme yetkileri olan di─čer bilgisayar veya hizmetlere ili┼čkin sertifika depolar─▒n─▒n yan─▒ s─▒ra kendi ki┼čisel sertifika depolar─▒nda da ├žok ├že┼čitli sertifika y├Ânetim g├Ârevleri ger├žekle┼čtirebilirler. Kullan─▒c─▒lar yaln─▒zca kendi ki┼čisel depolar─▒ndaki sertifikalar─▒ y├Ânetebilirler.

Alt Text

Bilgisayar veya hizmet kullan─▒c─▒ hesab─▒n─▒z i├žin sertifikalar─▒ y├Ânetme aras─▒nda ge├ži┼č yapmak i├žin, konsola (Microsoft Management Console, MMC) eklenmi┼č ayr─▒ Sertifika ek bile┼čeni ├Ârneklerinizin olmas─▒ gerekir.

Sertifikalar─▒ Y├Ânetme

Sertifikalar genellikle, belirli bir bilgisayara, kullan─▒c─▒ya veya hizmete, belirli bir ama├ž, s├╝re ve genel olarak belirli al─▒c─▒lar i├žin verilir. Sonu├ž olarak, ek sertifikalar alman─▒z, varolan sertifikalar─▒ yenilemeniz, bir sertifikan─▒n ├Âzelliklerini g├Âzden ge├žirmeniz veya de─či┼čtirmeniz ya da sertifikalar─▒ ta┼č─▒man─▒z gereken zamanlar olabilir. Bu g├Ârevlerin ├žo─ču tek bir kullan─▒c─▒, bilgisayar veya hizmet i├žin ger├žekle┼čtirilebilse de, di─čer g├Ârevlerin bir y├Ânetici taraf─▒ndan sunucuda otomatik olarak ger├žekle┼čtirilmesi daha iyidir.

  • Sertifika Alma: Bir sertifikaya kaydolmak i├žin, sertifikan─▒n bir par├žas─▒ olacak ortak anahtarla ili┼čkilendirilmi┼č ├Âzel anahtara eri┼čimi olan kullan─▒c─▒, bilgisayar veya hizmet taraf─▒ndan bir sertifika iste─či yap─▒lmas─▒ gerekir. Sistem y├Âneticiniz taraf─▒ndan olu┼čturulan ortak anahtar ilkelerine ba─čl─▒ olarak kullan─▒c─▒lar, bilgisayarlar ve hizmetler, kullan─▒c─▒ m├╝dahalesi olmadan otomatik olarak sertifikalara kaydolabilir.
  • Sertifika Yenileme: Her sertifikan─▒n bir ge├žerlilik s├╝resi vard─▒r. Ge├žerlilik s├╝resinin sonunda, sertifika art─▒k kabul edilebilir veya kullan─▒labilir kimlik bilgisi olarak de─čerlendirilmez. Sertifika ek bile┼čeni, bir Windows kurulu┼č sertifika yetkilisi (CA) taraf─▒ndan verilmi┼č bir sertifikay─▒, ge├žerlilik s├╝resi dolmadan ├Ânce veya dolduktan sonra Sertifika Yenileme Sihirbaz─▒'n─▒ kullanarak yenilemenize olanak tan─▒r. Bir sertifikay─▒ yenilemeden ├Ânce bilmeniz gerekenler ┼čunlard─▒r:
    • Sertifika veren sertifika yetikilisi (CA)
    • Sertifika i├žin yeni bir ortak anahtar ve ├Âzel anahtar ├žifti istiyorsan─▒z, bu anahtar ├žiftini ├╝retmek i├žin kullan─▒lmas─▒ gereken ┼čifreleme hizmeti sa─člay─▒c─▒ (CSP)
  • Sertifika G├Âr├╝nt├╝leme: Sertifikalar bir├žok ama├ž i├žin yay─▒mlanabilir ve kullan─▒labilir. Sertifika depolar─▒, sertifika bilgileri ve ├Âzelliklerini; ar┼čivlenmi┼č ve iptal edilmi┼č sertifikalar hakk─▒ndaki bilgileri g├Âzden ge├žirmek yararl─▒ olabilir.
  • Sertifika Ta┼č─▒ma: Bir├žok uygulama yaln─▒zca bir sertifika deposundaki sertifikalar─▒ arar. Bir sertifika gerek duydu─čunuz bir sertifika deposunda de─čilse, bu sertifikay─▒ bir depodan di─čerine ta┼č─▒yabilirsiniz.
  • Sertifika Y├Ânetimini Otomatikle┼čtirme: Sertifikalar─▒n ayr─▒ ayr─▒ y├Ânetilmesi imkans─▒z olmasa da zahmetli bir g├Ârevdir. Bir├žok kurulu┼č, bir sunucuda yap─▒land─▒r─▒lan ve bir etki alan─▒ndaki, gruptaki veya kurulu┼č birimindeki istemcilere uygulanan Grup ─░lkesi (Group Policy) ayarlar─▒n─▒ kullanarak sertifikalar─▒ y├Ânetir.

Active Directory Sertifika Hizmetleri

Active Directory Sertifika Hizmetleri (AD CS), ortak anahtar teknolojilerinden yararlanan yaz─▒l─▒m g├╝venli─či sistemlerinde kullan─▒lan sertifikalar─▒n verilmesine ve y├Ânetilmesine y├Ânelik ├Âzelle┼čtirilebilir hizmetler sa─člar. Sertifika istekleri almak, isteklerdeki bilgileri ve istek sahibinin kimli─čini do─črulamak, sertifika vermek, sertifikalar─▒ iptal etmek ve sertifika iptal verileri yay─▒mlamak ├╝zere bir veya daha fazla sertifika yetkilisi (CA) olu┼čturmak i├žin AD CS'yi kullanabilirsiniz. AD CS ile a┼ča─č─▒dakileri de yapabilirsiniz:

  • Web kayd─▒, A─č Ayg─▒t─▒ Kay─▒t Hizmeti'ni ve ├çevrimi├ži Yan─▒tlay─▒c─▒ hizmetini kurma.
  • Kullan─▒c─▒lar, bilgisayarlar ve y├Ânlendirici gibi a─č ayg─▒tlar─▒ ile ilgili sertifikalar─▒n kay─▒t ve iptal i┼člemlerini y├Ânetme.
  • Sertifika da─č─▒tmak ve y├Ânetmek ├╝zere Grup ─░lkesi kullanma.

Alt Text

AD CS'yi tek bir CA i├žin tek bir sunucuyla da─č─▒tabilseniz de, da─č─▒t─▒mlarda k├Âk CA'lar, ilke CA'lar─▒ ve sertifika veren CA'lar olarak yap─▒land─▒r─▒lan birden ├žok sunucu ve ├çevrimi├ži Yan─▒tlay─▒c─▒lar olarak yap─▒land─▒r─▒lan ba┼čka sunucular bulunabilir.

AD CS'yi y├Ânetmek i├žin a┼ča─č─▒daki MMC ek bile┼čenleri kullan─▒labilir:

  • Sertifika Yetkilisi: CA'lar─▒, sertifika iptali ve sertifika kayd─▒ i┼člemlerini y├Ânetmek i├žin birincil ara├žt─▒r.
  • Sertifika ┼×ablonlar─▒: Active Directory Etki Alan─▒ Hizmetleri'ne (AD DS) yay─▒mlamak ve kurulu┼č CA'lar─▒yla kullanmak ├╝zere sertifika ┼čablonlar─▒n─▒ ├žo─čaltmak ve yap─▒land─▒rmak i├žin kullan─▒l─▒r.
  • ├çevrimi├ži Yan─▒tlay─▒c─▒: ├çevrimi├ži Sertifika Durum Protokol├╝ yan─▒tlay─▒c─▒lar─▒n─▒ yap─▒land─▒rmak ve y├Ânetmek i├žin kullan─▒l─▒r.
  • Kurulu┼č PKI's─▒: Birden fazla CA'y─▒, sertifika iptal listelerini ve yetkili bilgi eri┼čimi konumlar─▒n─▒ izlemek ve AD DS'ye yay─▒mlanan AD CS nesnelerini y├Ânetmek i├žin kullan─▒l─▒r.
  • Sertifikalar: Bir bilgisayar, kullan─▒c─▒ veya hizmetle ilgili sertifika depolar─▒n─▒ g├Âr├╝nt├╝lemek ve y├Ânetmek i├žin kullan─▒l─▒r.

PKI Sistemi, Sertifika Hiyerar┼čisi ve Sertifika Yetkilisi T├╝rleri

Genel anahtar altyap─▒s─▒ (PKI); genel anahtar ┼čifreleri kullanarak, elektronik i┼člemlerde yer alan her varl─▒─č─▒n kimlik do─črulamas─▒n─▒ yapan ve ge├žerlili─čini do─črulayan dijital sertifika, CA ve kay─▒t yetkililerinden olu┼čan bir sistemdir. Microsoft PKI, ├Âl├žeklenebilen ve artan say─▒da ticari ve di─čer CA ├╝r├╝nleriyle uyumluluk sergileyen hiyerar┼čik bir CA modelini desteklemektedir.

En basit bi├žimiyle bir sertifika hiyerar┼čisi tek bir CA'dan olu┼čur. Bununla birlikte, hiyerar┼čilerde genellikle a├ž─▒k├ža tan─▒mlanm─▒┼č ├╝st/alt ili┼čkilerine sahip birden fazla CA bulunur. Bu modele g├Âre, alt CA'lar kendi ├╝st├╝ndeki CA taraf─▒ndan verilen sertifikalarla onaylan─▒r ve b├Âylece bir CA'n─▒n genel anahtar─▒ kendi kimli─čine ba─član─▒r. Bir hiyerar┼čide en ├╝stte bulunan CA'ya k├Âk CA denir. Bir k├Âk CA'n─▒n alt─▒ndaki CA'ya da alt CA denir.

  • K├Âk CA bir kurulu┼čun PKI'sinde en ├žok g├╝venilen CA t├╝r├╝ anlam─▒na gelir. K├Âk CA tehlikeyle kar┼č─▒la┼č─▒r veya yetkisiz bir varl─▒─ča sertifika verirse, kurulu┼čunuzdaki sertifika tabanl─▒ t├╝m g├╝venlik unsurlar─▒ sald─▒r─▒ya a├ž─▒k duruma gelir. Bu nedenle, bir k├Âk CA'n─▒n fiziksel g├╝venli─či ve sertifika verme ilkesi alt CA'lara g├Âre s─▒k─▒d─▒r. K├Âk CA'lar g├╝venli e-posta g├Ânderme gibi g├Ârevler i├žin son kullan─▒c─▒lara verilebilmekle birlikte, ├žo─ču kurulu┼čta yaln─▒zca alt CA ad─▒ verilen ba┼čka CA'lara sertifika vermek i├žin kullan─▒l─▒rlar.

  • Alt CA, kurulu┼čunuzdaki ba┼čka bir CA taraf─▒ndan kendisine sertifika verilen CA'd─▒r. Tipik olarak bir alt CA, g├╝venli e-posta, Web tabanl─▒ kimlik do─črulama veya ak─▒ll─▒ kart kimlik do─črulamas─▒ gibi belirli kullan─▒mlar i├žin sertifikalar verir. Alt CA'lar daha altta yer alan ba┼čka CA'lara da sertifika verebilir. B├Âylece, bir k├Âk CA, k├Âk taraf─▒ndan sertifika verilen alt CA'lar ve di─čer alt CA'lar taraf─▒ndan sertifika verilen alt CA'lar birlikte bir sertifika hiyerar┼čisi olu┼čtururlar.

Alt Text

CA hiyerar┼čisinin y├Ânetim a├ž─▒s─▒ndan sa─člad─▒─č─▒ baz─▒ yararlar─▒ saymak gerekirse:

  • Kullan─▒m: Sertifikalar, e-posta g├╝venli─čini sa─člama ve a─č kimlik do─črulamas─▒ gibi birtak─▒m nedenlerle verilebilir. Bu kullan─▒mlar a├ž─▒s─▒ndan verme ilkesi farkl─▒ olabilir ve bu ilkelerin y├Ânetiminde temel olan farkl─▒l─▒klard─▒r.
  • Kurulu┼č b├Âl├╝mleri: Bir varl─▒─č─▒n kurulu┼čtaki rol├╝ne ba─čl─▒ olarak, farkl─▒ sertifika verme ilkeleri s├Âz konusu olabilir. Bu ilkeleri ay─▒rmak ve y├Ânetmek i├žin de alt CA'lar olu┼čturabilirsiniz.
  • Co─črafi b├Âl├╝mler: Kurulu┼člar─▒n fiziksel olarak bir├žok yerde varl─▒klar─▒ olabilir. Bu yerler aras─▒ndaki a─č ba─člant─▒lar─▒, yerlerin ├žo─ču veya t├╝m├╝ i├žin ayr─▒ alt CA'lar gerektirebilir.
  • Y├╝k dengeleme: PKI'niz ├žok say─▒da sertifika vermek ve y├Ânetmek i├žin kullan─▒lacaksa, yaln─▒zca bir CA bulunmas─▒ bu tek CA i├žin dikkate de─čer bir a─č y├╝k├╝ne neden olabilir. Ayn─▒ t├╝rden sertifikalar vermek i├žin birden fazla alt CA kullan─▒lmas─▒ a─č y├╝k├╝n├╝ CA'lar aras─▒nda da─č─▒t─▒r.
  • Yedekleme ve hataya dayan─▒kl─▒l─▒k: Birden fazla CA bulunmas─▒, a─č─▒n─▒zda kullan─▒c─▒ isteklerini yan─▒tlamak i├žin her zaman kullan─▒labilir durumda CA olmas─▒ olas─▒l─▒─č─▒n─▒ art─▒r─▒r.
  • G├╝venlik ve kullan─▒labilirlik aras─▒ndaki dengeyi kurmak amac─▒yla CA g├╝venli─či ortam─▒n─▒ esnek ┼čekilde yap─▒land─▒rma.
  • Kurulan g├╝ven ili┼čkilerini ve di─čer k─▒s─▒mlar─▒ etkilemeksizin CA hiyerar┼čisinin belirli bir k─▒sm─▒n─▒ kapatma yetene─či.

Windows'da, bir k├Âk CA'y─▒ g├╝venli kabul ediyorsan─▒z, hiyerar┼čide ge├žerli CA sertifikas─▒na sahip olan her alt CA'y─▒ da g├╝venli kabul etmi┼č olursunuz. B├Âylece, k├Âk CA bir kurulu┼čta ├žok ├Ânemli bir g├╝ven unsuru durumundad─▒r ve buna g├Âre g├╝venli─činin sa─članmas─▒ gerekir.

Kaynaklar:

Top comments (0)

ÔČç´ŞĆ The only reason people scroll to the bottom...

 

is because they want to read more. Sign up for an account to bookmark, comment, and react to articles that interest you.