Windows Server 2012 R2 Certification Authority (CA) kurulumu

Sunucu ve istemciler arasındaki işlemlerin güvenilirlik gerektirdiği durumlarda sertifikalara ihtiyaç duyarız. Sertifikalar, Exchange, Lync, Sharepoint ya da IIS gibi birçok ürün ve servis tarafından kullanılmakta olup,  kurum içi intranet uygulamalarımız içinde tercih edebileceğimiz bir hizmettir.

Bu sertifikalar self-sign olarak da üretilebileceği gibi merkezi bir şekilde yönetilebilmektedir. Bu türden merkezi bir yöntemin kurulabilmesi Certification Authority (CA) denilen Microsoft hizmetinin kurulması gerekmektedir. Örnek olarak ortama yeni eklenen bir Exchange Server self-signed bir sertifikaya sahiptir. Bu tip sertifikalar genelde test amaçlı kullanılmaktadır.

En yaygın olarak kullanılan çeşidi ise Trusted Third Party sertifikalardır. Dünya’da güvenilirliği kabul edilmiş ticari otoriteler bulunmaktadır. Bunlar direk olarak sertifika dağıtımı yapmazlar. Bunun yerine acente veya bayi mantığında yetkilendirdikleri otoriteler vasıtasıyla sertifika dağıtımını gerçekleştirirler. Böylelikle bu kökte bulunan otoriteler güvenliklerini yani kendilerine ait Private anahtarları herhangi bir tehdide maruz bırakmayacak şekilde bu dağıtım işlemini gerçekleştirebilirler.

Birazdan anlatacağım konuda PKI (Public Key Infrastructure) adı verilen yapıdan bahsedeceğim. Active Directory Certificate Services kurulumu ve konfigürasyonunu yaparak, sunucularımızın ve kullanıcılarımızın kimliklerini ispatlayarak, iletişimi en üst seviye güvenli duruma getireceğiz.

Windows Server 2012 R2 üzerinde Active Directory Certificate Services kurulumu için Server Manager yönetim konsolunu açıyoruz ve Add roles and features seçeneğine tıklıyoruz.

Kullanıcı hesabının administrator yetkisine ve güçlü bir parolaya sahip olması gerektiği hakkında bilgi veriyor. Next diyerek bir sonraki adıma geçiş yapıyoruz.

Role-based or feature-based installation seçeneğini seçerek kuruluma devam ediyorum.

Select a server from the server pool seçeneği ile devam ediyorum.  Select a virtual harddisk seçeneği ile kurulumu sanal bir disk üzerine gerçekleştirebiliyoruz.

Active Directory Certificate Services kurulumu yapacağımız için ilgili seçeneği seçip Next ile devam ediyoruz.

Kurulacak olan bileşenler hakkında bilgi veriyor. Add Features butonuna tıklıyoruz.

Kuruluma dahil etmek istediğimiz başka özellikler varsa eğer bu pencerede seçmemiz gerekiyor.

Active Directory Certificate Services ekranında, AD CS servisi ile ilgili özet bilgiler sunulmakta.

Select role services ekranında, CA rolü ile beraber kurulumunu yapabileceğimiz CA servislerini görmekteyiz.  Ek olarak Certification Authority Web Enrollment sevisini seçerek kuruluma devam ediyoruz.

Certification Authority Web Enrollment servisini kurmak için IIS rolü ve bileşenlerini de kurmamız gerekiyor. Bu ekranda IIS kurulumu için gerekli olan özellikleri görebilirsiniz. Add Features seçeneği ile ilerliyoruz.

IIS kurulumu için bilgilendirme ekranını Next ile geçiyoruz.

Kurulacak özellikleri değiştirmeden devam ediyoruz.

Kurulumdan sonra sunucunun otomatik olarak restart edilmesi için ilgili seçeneği işaretleyip Install butonuna basıyoruz.

Konfigürasyon işlemine başlamak için Configure Active Directory Certificate Services on the destination server ‘a tıklıyoruz.

Domain Admin yetkisine sahip olan kullanıcıyı seçiyoruz.

Select Role Services to configure ekranında, konfigurasyon işlemi yapmak istediğimiz CA servislerini seçiyoruz. Ben, kurulum aşamalarında Certification Authority ve Certification Enrollment Web Service rollerinin kurulmasını istediğim için sadece iki seçenek aktif durumda. İlgili seçenekeri seçtikten sonra Next diyorum.

Kurduğumuz CA,  Active Directory ile de entegre olarak çalışacaksa  “Enterprise CA” seçeneği ile devam etmeliyiz. Standalone CA seçeneği ise hem workgroup ortamında hemde domain ortamındaki üye kullanıcıların sertifakaları kullanabilmesi içindir.  Ben Standalone CA seçeneği ile devam ediyorum.

Eğer mevcut yapıda daha önceden yapılandırılmış olan herhangi bir CA sunucusu yok ise Root CA seçeneğini, ikinci bir CA sunucusu kurmak istiyorsaksak ta Subordinate CA seçeneği ile kuruluma devam etmemiz gerekmektedir. Mevcut yapıda daha önceden yapılandırılmış bir CAS sunucusu olmadığı için Root CA seçeneğini seçiyorum.

Private Key ekraninda Create a new private key seçeneğini seçerek Next diyerek devam ediyoruz.

Cryptography for CA ekraninda şifreleme tipini seçebilirsiniz. Herhangi bir değişiklik yapmiyorum. 

Değişiklik yapmadan devam ediyoruz.

Validity Period ekraninda oluşturacağımız sertifikamizin geçerlilik süresini belirlememiz gerekiyor. İsterseniz bu süreyi değiştirebilirsiniz.

Database dosyalarının depolandığı lokasyon bilgilerinde değişiklik yapmıyorum.

Oluşturulacak olan sertifikaya ilişkin özet bilgiler karşımıza çıkmakta. Configure diyerek işlemi başlatıyoruz.

Kısa bir konfigurasyon işleminin ardından, kurulumun başarılı bir şekilde tamamlanmış olduğunu görebilirsiniz. Close diyerek işlemi sonlandırıyoruz.

Yönetim Konsoluna ulaşmak için Administrative Tools klasörü içerisinden Certification Authority seçeneğine tıklamamız yeterli. Yönetim konsolunda bulunan başlıklardan kısaca bahsedersek eğer;

Revoked Certificates – İptal edilmiş ya da süresi geçmiş sertifikalar
Issued Certificates – Dağıtılmış ve hizmet verilen aktif sertifikalar
Pending Request – Sizden onay bekleyen sertifikalar
Failed Request – Hatalı sertifika istekleri
Certificate Templates – Sertifika oluşturma templateleri

Sertifika istekleri oluşturmak için  http://localhost/certsrv/ adresine herhangi bir browser ile giriş yapmalısınız.