Windows Server 2008 R2 ve Windows Server 2008'deki sertifika yolu doğrulama ayarları, bir etki alanındaki tüm kullanıcılar için sertifika yolu bulma ve doğrulama ayarlarını yönetmenize olanak sağlar. Bu sertifika doğrulama ayarlarını kolayca yapılandırmak ve yönetmek için Grup İlkesi kullanabilirsiniz. Bu ayarlarla gerçekleştirebileceğiniz görevlerden bazıları şunlardır:

  • Ara sertifika yetkilisi (CA) sertifikaları dağıtma.

  • Güvenilmeyen sertifikaları engelleme.

  • Kod imzalama için kullanılan sertifikaları yönetme.

  • Sertifikalar ve sertifika iptal listeleri (CRL) için alma ayarlarını yapılandırma.

Sertifika yolu doğrulama ayarları Grup İlkesi'nde aşağıdaki konumda bulunur: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Ortak Anahtar İlkeleri.

Bu konumda Sertifika Yolu Doğrulama Ayarları'nı çift tıklattığınızda, aşağıdaki sekmeleri seçerek ek seçeneklere ulaşabilirsiniz:

  • Depolar

  • Güvenilen Yayımcılar

  • Ağ Alımı

  • İptal

Aşağıdaki yordamda, sertifika yolu doğrulama ayarlarının nasıl yapılandırılacağı açıklanmıştır. Yordamdan sonraki bölümlerdeyse bu alanların her birinde bulunan ayarlar açıklanmıştır.

Etki Alanı Yöneticileri grubunun veya eşdeğer bir grubun üyesi olmak, bu yordamı tamamlamaya yönelik en düşük gerekliliktir. Daha fazla bilgi için bkz. Rol Tabanlı Yönetim Uygulama.

Bir etki alanı için yol doğrulama Grup İlkesi yapılandırmak için
  1. Bir etki alanı denetleyicisinde, Başlat'ı tıklatın, Yönetimsel Araçlar'ın üzerine gelin ve Grup İlkesi Yönetimi'ni tıklatın.

  2. Konsol ağacında, düzenlemek istediğiniz Grup İlkesi nesnesi (GPO) Varsayılan Etki Alanı İlkesi'ni içeren ormanda ve etki alanında Grup İlkesi Nesneleri'ni çift tıklatın.

  3. Varsayılan Etki Alanı İlkesi GPO'sunu sağ tıklatın ve Düzenle'yi tıklatın.

  4. Grup İlkesi Yönetim Konsolu'nda (GPMC), Bilgisayar Yapılandırması, Windows Ayarları, Güvenlik Ayarları'na gidin ve Ortak Anahtar İlkeleri'ni tıklatın.

  5. Sertifika Yolu Doğrulama Ayarları'nı çift tıklatın ve Depolar sekmesini tıklatın.

  6. Bu ilke ayarlarını tanımla onay kutusunu seçin.

  7. Uygulamanız gereken isteğe bağlı ayarları yapılandırın.

  8. Değişiklikleri tamamladığınızda, başka ayarları değiştirmek üzere farklı bir sekmeyi seçebilir veya yeni ayarları uygulamak için Tamam'ı tıklatabilirsiniz.

Depolar sekmesi

Bazı kuruluşlar etki alanındaki kullanıcıların kendi güvenilen kök sertifikalar kümesini yapılandırmalarını ve kuruluşta hangi kök sertifikalara güvenilebileceğine karar vermelerini engellemek ister. Depolar sekmesi bunu gerçekleştirmek için kullanılabilir.

Depolar sekmesinde aşağıdaki seçenekler bulunur:

  • Sertifikaları doğrulamak için kullanıcı tarafından güvenilen kök CA'ların kullanılmasına izin ver. Bu onay kutusu temizlenirse, kullanıcıların sertifikaları doğrulamak amacıyla hangi kök CA sertifikaları kullanacaklarına karar vermeleri engellenir. Bu seçenek kullanıcıların güvenli olmayan bir zincirdeki sertifikalara güvenmelerini ve doğrulamalarını önlemeye yardımcı olmakla birlikte, uygulama hatalarına da neden olabilir veya kullanıcıların kendilerine sunulan bir sertifikayı doğrulama yöntemi olarak kök sertifikayı önemsememelerine yol açabilir.

  • Kullanıcıların eş güven sertifikalarına güvenmesine izin ver. Bu onay kutusunun işareti kaldırıldığında, kullanıcıların hangi eş sertifikalara güveneceğini belirlemesi engellenir. Bu seçenek kullanıcıların güvenli olmayan bir kaynaktaki sertifikalara güvenmelerini önlemeye yardımcı olmakla birlikte, uygulama hatalarına da neden olabilir veya kullanıcıların güven belirleme yolu olarak sertifikaları önemsememelerine yol açabilir. Ayrıca, eş düzey güven sertifikalarının kullanılabileceği, imzalama veya şifreleme gibi sertifika amaçlarını da seçebilirsiniz.

  • İstemci bilgisayarın güvenebileceği kök CA'lar. Bu bölümde, etki alanındaki kullanıcıların güvenebileceği belirli kök CA'ları tanımlayabilirsiniz:

    • Üçüncü Taraf Kök CA'lar ve Kuruluş Kök CA'ları. Microsoft olmayan ve kuruluş kök CA'larını dahil ederek, bir kullanıcının güvenebileceği kök CA sertifikaları aralığını genişletmiş olursunuz.

    • Yalnızca Kuruluş Kök CA'ları. Güveni yalnızca kuruluş kök CA'larıyla sınırlandırarak, kimlik bilgilerini alıp Active Directory Etki Alanı Hizmetleri'ne (AD DS) sertifika yayımlayan bir iç kuruluş CA'sı tarafından verilen sertifikalarla güveni etkili şekilde sınırlamış olursunuz.

  • CA'lar Kullanıcı Asıl Adı kısıtlamalarıyla da uyumlu olmalıdır. Bu ayarlar iç kuruluş CA'larına güveni de sınırlar. Ayrıca, kullanıcı asıl adı sınırlaması, kullanıcı asıl adlarıyla ilgili koşullara uymayan kimlik doğrulamayla ilgili sertifikalara güvenmelerini de engeller.

Bunun yanı sıra, bazı kuruluşlar ek güven ilişkilerinin gerekli olduğu iş senaryolarını etkinleştirmek için güvenilen belirli kök sertifikalarını tanımlamak ve dağıtmak isteyebilir. Etki alanınızdaki istemcilere dağıtmak istediğiniz güvenilen kök sertifikaları tanımlamak için bkz. Sertifika Dağıtmak için İlke Kullanma.

Güvenilir Yayımcılar sekmesi

Yazılım imzalama, uygulamalarının güvenilen bir kaynaktan geldiğini doğrulamak için gün geçtikçe daha çok sayıda yazılım yayımcısı ve uygulama geliştiricisi tarafından kullanılmaktadır. Ancak, kullanıcıların çoğu yükledikleri uygulamalarla ilişkili imzalı sertifikaları anlamamakta veya bunları dikkate almamaktadır.

Sertifika yolu doğrulama ilkesinin Güvenilir Yayımcılar sekmesinde bulunan ilke seçenekleri, güvenilir yayımcılarla ilgili olarak kimlerin karar alabileceğini belirlemenize olanak sağlar:

  • Yöneticiler ve kullanıcılar

  • Yalnızca yöneticiler

  • Yalnızca kuruluş yöneticileri

Ayrıca, bu sekmedeki ilke seçenekleri güvenilir yayımcı sertifikalarının aşağıdaki özelliklere sahip olduğunun denetlenmesini zorunlu kılmanıza da olanak sağlar:

  • İptal edilmemiştir

  • Geçerli zaman damgaları vardır

Ağ Alımı sekmesi

Etkili olması için, Microsoft Kök Sertifika Programı'ndaki sertifika iptal listeleri (CRL) ve sertifikalar gibi sertifikayla ilgili verilerin belirli aralıklarla güncelleştirilmesi gerekir. Ancak, normalde beklenenden daha fazla veri aktarıldığı için, sertifika iptal verilerinin ve çapraz sertifikaların doğrulama denetimi ve alınması kesilirse sorunlar ortaya çıkabilir.

Ağ alımı ayarları yöneticilerin aşağıdakileri yapmasına olanak tanır:

  • Microsoft Kök Sertifika Programı'ndaki sertifikaları otomatik olarak güncelleştirme.

  • CRL'lerdeki ve yol doğrulamadaki alma zaman aşımı değerlerini yapılandırma (ağ koşulları en iyi durumda değilse, daha büyük varsayılan değerler yararlı olabilir).

  • Yol doğrulama sırasında sertifika veren sertifikası almayı etkinleştirme.

  • Çapraz sertifikaların ne sıklıkla karşıdan yükleneceğini tanımlama

İptal sekmesi

İptal denetimini desteklemek için, Active Directory Etki Alanı Hizmetleri (AD CS) Çevrimiçi Yanıtlayıcılar tarafından dağıtılan Çevrimiçi Sertifika Durumu Protokolü (OCSP) yanıtlarının yanı sıra CRL ve delta CRL kullanımını da destekler.

Yol doğrulama Grup İlkesi ayarları yöneticilerin özellikle çok büyük CRL'lerin veya ağ koşullarının peformansı olumsuz etkilediği durumlarda CRL'lerin ve Çevrimiçi Yanıtlayıcıların kullanımını en uygun şekilde ayarlamasına olanak sağlar.

Aşağıdaki ayarlar kullanılabilir:

  • Her zaman Çevrimiçi Sertifika Durumu Protokolü (OCSP) yanıtları yerine Sertifika İptal Listeleri'ni (CRL) tercih et. Genellikle, istemcilerin, bir CRL'den veya Çevrimiçi Yanıtlayıcıdan geldiğine bakmadan, kullanılabilir en yeni iptal verilerini kullanması gerekir. Bu seçenek belirlenirse, bir Çevrimiçi Yanıtlayıcıdan iptal denetimi yalnızca, geçerli CRL veya delta CRL yoksa kullanılır.

  • CRL ve OCSP yanıtlarının yaşam sürelerinden daha uzun geçerli olmasına izin ver. CRL'lerin ve OCSP yanıtlarının geçerlilik döneminin ötesinde geçerli olmasına izin verilmesi genellikle önerilmez. Bununla birlikte, istemcilerin bir CRL dağıtım noktasına veya Çevrimiçi Yanıtlayıcıya uzun süre boyunca bağlanamadığı durumlarda bu seçenek gerekli olabilir. Ancak, bir CRL veya OCSP yanıtının kullanılabileceği belirtilen geçerlilik dönemini aşan süre de bu ilke ayarı altında yapılandırılabilir.


İçindekiler