Bir sertifikanın iptal edilmesi, geçerlilik süresinin zamanlanmış sona erme tarihinden önce sertifikayı güvenilir güvenlik kimlik bilgisi olmaktan çıkarır. Ortak anahtar alt yapısı (PKI), kimlik bilgilerine kefil olan merkezi güvenilir varlıkla doğrudan iletişimin gerekli olmadığı, kimlik bilgilerinin dağıtılmış doğrulanmasına bağlıdır.
Sertifika iptalini etkili biçimde desteklemek için, istemci bilgisayar sertifikanın geçerli mi, yoksa iptal edilmiş mi olduğunu belirlemelidir. Active Directory Sertifika Hizmetleri, çeşitli senaryoları desteklemek için endüstri standardı sertifika iptal yöntemlerini destekler. Bunlar, Active Directory Etki Alanı Hizmetleri, Web sunucuları ve ağ dosya paylaşımları da dahil olmak üzere, istemcilerin erişebileceği çeşitli konumlarda sertifika iptal listeleri (CRL'ler) ve delta CRL'ler yayımlanmasını içerir. Windows'da iptal verileri, Çevrimiçi Sertifika Durumu Protokolü (OCSP) yanıtları ile çeşitli ayarlarda kullanılabilir duruma da getirilebilir.
Not | |
CRL'ler, istemci bilgisayarlar tarafından karşıdan yüklenebilecekleri belirli ağ konumlarına düzenli olarak yayımlanır. OCSP yanıtları, bir sertifikanın iptal edilip edilmediğini, askıya alınıp alınmadığını veya durumunun bilinmiyor olup olmadığını gösteren dijital olarak imzalanmış yanıtlardır. OCSP yanıtlayıcıları, verilerini yayımlanan CRL'lerden alır veya bunlar bir sertifika yetkilisinin (CA) sertifika durumu veritabanından doğrudan güncelleştirilebilir. |
Ayrıca, ortak anahtar Grup İlkesi, özellikle çok büyük CRL'lerin veya ağ koşullarının performansı düşürdüğü durumlarda yöneticilerin CRL ve OCSP yanıtlayıcılarının kullanımını geliştirmelerine olanak sağlar.
Bu konu, aşağıdaki görevlerin yordamlarını içerir:
Yerel bilgisayarda iptal ayarlarını yapılandırma
Administrators bu yordamı tamamlamak için gereken en düşük düzeyde grup üyeliğidir.
Yerel bilgisayarda iptal ayarlarını yapılandırmak için |
Başlat'ı tıklatın, Programları ve dosyaları ara kutusuna gpedit.msc yazıp ENTER tuşuna basın.
Yerel Bilgisayar İlkesi\Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları altındaki konsol ağacında Ortak Anahtar İlkeleri'ni tıklatın.
Sertifika Yolu Doğrulama Ayarları'nı çift tıklatın ve İptal sekmesini tıklatın.
Bu ilke ayarlarını tanımla onay kutusunu seçin, uygulamak istediğiniz ilke ayarlarını seçin ve yeni ayarları uygulamak için Tamam'ı tıklatın.
Etki alanı iptal ayarlarını yapılandırma
Bu işlemi tamamlamak için en az Domain Admins grubu üyeliği gereklidir.
Etki alanı iptal ayarlarını yapılandırmak için |
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Sunucu Yöneticisi'ni tıklatın.
Özellik Özeti'nin altında, Özellik Ekle'yi tıklatın. Grup İlkesi Yönetimi onay kutusunu seçin, İleri'yi tıklatın ve ardından Yükle'yi tıklatın.
Yükleme Sonuçları sayfası Grup İlkesi Yönetim Konsolu'nun (GPMC) yüklenmesinin başarılı olduğunu gösterdikten sonra, Kapat'ı tıklatın.
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelip Grup İlkesi Yönetimi'ni tıklatın.
Konsol ağacında, düzenlemek istediğiniz Grup İlkesi nesnesi (GPO) Varsayılan Etki Alanı İlkesi'ni içeren ormanda ve etki alanında Grup İlkesi Nesneleri'ni çift tıklatın.
Varsayılan Etki Alanı İlkesi GPO'sunu sağ tıklatın ve Düzenle'yi tıklatın.
Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları altındaki konsol ağacında Ortak Anahtar İlkeleri'ni tıklatın.
Sertifika Yolu Doğrulama Ayarları'nı çift tıklatın ve İptal sekmesini tıklatın.
Bu ilke ayarlarını tanımla onay kutusunu seçin, uygulamak istediğiniz ilke ayarlarını seçin ve yeni ayarları uygulamak için Tamam'ı tıklatın.
Yerel bilgisayar için CRL ve OCSP yanıtlarının geçerlilik süresini uzatma
Bu işlemi tamamlamak için en az Administrators grubu üyeliği gereklidir.
Yerel bilgisayar için CRL ve OCSP yanıtlarının geçerlilik süresini uzatmak için |
Başlat'ı tıklatın, Programları ve dosyaları ara kutusuna gpedit.msc yazıp ENTER tuşuna basın.
Yerel Bilgisayar İlkesi\Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları altındaki konsol ağacında Ortak Anahtar İlkeleri'ni tıklatın.
Sertifika Yolu Doğrulama Ayarları'nı çift tıklatın ve İptal sekmesini tıklatın.
Bu ilke ayarlarını tanımla onay kutusunu ve ardından CRL'lerin ve OCSP yanıtlarının, ömürlerinden daha uzun süre geçerli olmasına izin ver onay kutusunu seçin.
Geçerlilik döneminin uzatılabileceği varsayılan zaman kutusuna bir zaman değeri girin (saat cinsinden) ve yeni ayarları uygulamak için Tamam'ı tıklatın.
Etki alanı için CRL ve OCSP yanıtlarının geçerlilik süresini uzatma
Bu işlemi tamamlamak için en az Domain Admins grubu üyeliği gereklidir.
Etki alanı için CRL ve OCSP yanıtlarının geçerlilik süresini uzatmak için |
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Sunucu Yöneticisi'ni tıklatın.
Özellik Özeti'nin altında, Özellik Ekle'yi tıklatın. Grup İlkesi Yönetimi onay kutusunu seçin, İleri'yi tıklatın ve ardından Yükle'yi tıklatın.
Yükleme Sonuçları sayfası GPMC'nin yüklenmesinin başarılı olduğunu gösterdikten sonra, Kapat'ı tıklatın.
Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Grup İlkesi Yönetimi'ni tıklatın.
Konsol ağacında, düzenlemek istediğiniz GPO Varsayılan Etki Alanı İlkesi'ni içeren ormanda ve etki alanında Grup İlkesi Nesneleri'ni çift tıklatın.
Varsayılan Etki Alanı İlkesi GPO'sunu sağ tıklatın ve Düzenle'yi tıklatın.
Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları altındaki konsol ağacında Ortak Anahtar İlkeleri'ni tıklatın.
Sertifika Yolu Doğrulama Ayarları'nı çift tıklatın ve İptal sekmesini tıklatın.
Bu ilke ayarlarını tanımla onay kutusunu ve ardından CRL ve OCSP yanıtlarının yaşam sürelerinden daha uzun geçerli olmasına izin ver onay kutusunu seçin.
Geçerlilik döneminin uzatılabileceği varsayılan zaman kutusunda bir saat değeri girin (saat cinsinden) ve yeni ayarları uygulamak için Tamam'ı tıklatın.
Ek başvurular