Sertifika yetkilisi (CA) yöneticilerini, her birinin kendi görev kümesi olan, ayrı, önceden tanımlanmış CA rolleri biçiminde düzenlemek için rol tabanlı yönetimi kullanabilirsiniz. Roller her kullanıcının güvenlik ayarları kullanılarak atanır. Bir kullanıcıya rol atamak için bu kullanıcıya, söz konusu rolle ilişkilendirilmiş belirli güvenlik ayarlarını atarsınız. CA'yı yönet izni gibi bir tür izne sahip olan kullanıcılar, Sertifikaları Yayımla ve Yönet izni gibi başka tür izne sahip kullanıcıların gerçekleştiremeyeceği belirli CA görevlerini gerçekleştirebilir.
Aşağıdaki tabloda, rol tabanlı yönetim uygulamak için kullanılabilecek roller, kullanıcılar ve gruplar açıklanmıştır. Bir kullanıcı veya gruba rol atamak için kullanıcı veya gruba rolün ilgili güvenlik izinlerini, grup üyeliklerini veya kullanıcı haklarını atamanız gerekir. Bu güvenlik izinleri, grup üyelikleri ve kullanıcı hakları hangi kullanıcıların hangi haklara sahip olduğunu ayırt etmek için kullanılır.
Roller ve gruplar | Güvenlik izni | Açıklama |
---|---|---|
CA yöneticisi |
CA'yı Yönet |
CA'yı yapılandırma ve bakımını yapma. Bu bir CA rolüdür ve diğer tüm CA rollerini atama ve CA sertifikasını yenileme yeteneğine sahiptir. Bu izinler Sertifika Yetkilisi ek bileşeni kullanılarak atanır. |
Sertifika yöneticisi |
Sertifikaları Yayımla ve Yönet |
Sertifika kayıt ve iptal isteklerini onaylama. Bu bir CA rolüdür. Bu role bazen CA yetkilisi de denir. Bu izinler Sertifika Yetkilisi ek bileşeni kullanılarak atanır. |
Yedekleme işletmeni |
Dosya ve dizinleri yedekleme Dosya ve dizinleri geri yükleme |
Sistem yedekleme ve kurtarma işlemleri gerçekleştirme. Yedekleme bir işletim sistemi özelliğidir. |
Denetçi |
Denetim ve güvenlik günlüğünü yönetme |
Denetim günlüklerini yapılandırma, görüntüleme ve bakımını yapma. Denetim bir işletim sistemi özelliğidir. Denetçi bir işletim sistemi rolüdür. |
Kaydı Yapılanlar |
Okuma Kaydet |
Kaydı yapılanlar, CA'dan sertifika isteme yetkisi olan istemcilerdir. Bu bir CA rolü değildir. |
Tüm CA rolleri yerel Administrators, Enterprise Admins veya Domain Admins gruplarının üyeleri tarafından atanır ve değiştirilir. Kuruluş CA'larında, varsayılan olarak yerel yöneticiler, kuruluş yöneticileri ve etki alanı yöneticileri CA yöneticileridir. Bağımsız CA'da ise varsayılan olarak yalnızca yerel yöneticiler CA yöneticileridir. Bir Active Directory etki alanına katılan bir sunucuya bağımsız bir CA yüklenirse, etki alanı yöneticileri aynı zamanda CA yöneticileri de olur.
CA yöneticisi ve sertifika yöneticisi rolleri Active Directory kullanıcılarına veya yerel bilgisayarın, yerel güvenlik hesabı veritabanı olan Güvenlik Hesapları Yöneticisi'ndeki (SAM) yerel kullanıcılarına atanabilir. En iyi yöntem olarak, rolleri ayrı ayrı kullanıcı hesapları yerine grup hesaplarına atamalısınız.
Yalnızca CA yöneticisi, sertifika yöneticisi, denetçi ve yedekleme işletmeni CA rolleridir. Tabloda açıklanan diğer kullanıcılar rol tabanlı yönetimle ilgilidir ve CA rolleri atanmadan önce bunların anlaşılması gerekir.
Yalnızca CA yöneticileri ve sertifika yöneticileri Sertifika Yetkilisi ek bileşeni kullanılarak atanır. Bir kullanıcı veya grubun izinlerini değiştirmek için kullanıcının güvenlik izinlerini, grup üyeliğini ve kullanıcı haklarını değiştirmeniz gerekir.
CA'nın CA yöneticisi ve sertifika yöneticisi güvenlik izinlerini ayarlamak için |
Sertifika Yetkilisi ek bileşenini açın.
Konsol ağacında, CA'nın adını tıklatın.
Eylem menüsünde Özellikler'i tıklatın.
Güvenlik sekmesini tıklatın ve güvenlik izinlerini belirtin.
Roller ve etkinlikler
Her CA rolünün kendisiyle ilişkilendirilmiş belirli bir CA yönetim görevleri listesi vardır. Aşağıdaki tabloda, tüm CA yönetim görevleri ve bunların gerçekleştirildiği roller listelenmiştir.
Etkinlik | CA yöneticisi | Sertifika yöneticisi | Denetçi | Yedekleme işletmeni | Yerel yönetici | Notlar |
---|---|---|---|---|---|---|
CA yükleme |
|
|
|
|
X |
|
İlke ve çıkış modüllerini yapılandırma |
X |
|
|
|
|
|
Active Directory Sertifika Hizmetleri (AD CS) hizmetini durdurma ve başlatma |
X |
|
|
|
|
|
Uzantıları yapılandırma |
X |
|
|
|
|
|
Rolleri yapılandırma |
X |
|
|
|
|
|
CA anahtarlarını yenileme |
|
|
|
|
X |
|
Anahtar kurtarma aracıları tanımlama |
X |
|
|
|
|
|
Sertifika yöneticisi kısıtlamaları yapılandırma |
X |
|
|
|
|
|
CA veritabanında tek bir satır silme |
X |
|
|
|
|
|
CA veritabanında birden fazla satır silme (toplu silme) |
X |
X |
|
|
|
Kullanıcının hem CA yöneticisi hem de sertifika yöneticisi olması gerekir. Rol ayırma zorunlu kılındığında bu etkinlik gerçekleştirilemez. |
Rol ayırmayı etkinleştirme |
|
|
|
|
X |
|
Sertifika yayımlama ve onaylama |
|
X |
|
|
|
|
Sertifika reddetme |
|
X |
|
|
|
|
Sertifika iptal etme |
|
X |
|
|
|
|
Beklemeye alınan sertifikaları yeniden etkinleştirme |
|
X |
|
|
|
|
Sertifikaları yenileme |
|
X |
|
|
|
|
Sertifika iptal listesi (CRL) zamanlamalarını etkinleştirme, yayımlama veya yapılandırma |
X |
|
|
|
|
|
Arşivlenmiş anahtarları kurtarma |
|
X |
|
|
|
CA veritabanından şifrelenmiş anahtar veri yapısını yalnızca sertifika yöneticisi alabilir. Anahtar veri yapısının şifresini çözmek ve PKCS #12 dosyası oluşturmak için geçerli bir anahtar kurtarma aracısının özel anahtarı gerekir. |
Denetim parametrelerini yapılandırma |
|
|
X |
|
|
Varsayılan olarak, yerel yöneticide sistem denetimi kullanıcı hakkı bulunur. |
Denetim günlükleri |
|
|
X |
|
|
Varsayılan olarak, yerel yöneticide sistem denetimi kullanıcı hakkı bulunur. |
Sistemi yedekleme |
|
|
|
X |
|
Varsayılan olarak, yerel yöneticide sistem yedekleme kullanıcı hakkı bulunur. |
Sistemi geri yükleme |
|
|
|
X |
|
Varsayılan olarak, yerel yöneticide sistem yedekleme kullanıcı hakkı bulunur. |
CA veritabanını okuma |
X |
X |
X |
X |
|
Varsayılan olarak, yerel yöneticide sistem denetimi ve sistem yedekleme kullanıcı hakları bulunur. |
CA yapılandırma bilgilerini okuma |
X |
X |
X |
X |
|
Varsayılan olarak, yerel yöneticide sistem denetimi ve sistem yedekleme kullanıcı hakları bulunur. |
Dikkat edilecek diğer noktalar
-
Kaydolanların CA özelliklerini ve CRL'leri okumasına izin verilir ve bu kişiler sertifika isteyebilir. Kuruluş CA'sında, bir kullanıcının sertifika isteğinde bulunabilmesi için sertifika şablonunda Okuma ve Kayıt izinleri olması gerekir. CA yöneticileri, sertifika yöneticileri, denetçiler ve yedekleme işletmenleri açık Okuma izinlerine sahiptir.
-
Denetçide sistem denetimi kullanıcı hakkı bulunur.
-
Yedekleme işletmeninde sistem yedekleme kullanıcı hakkı bulunur. Ayrıca yedekleme işletmeninin Active Directory Sertifika Hizmetleri (AD CS) hizmetini başlatma ve durdurma olanağı da vardır.
Rol atama
CA'nın CA yöneticisi rolün gerektirdiği güvenlik ayarlarını kullanıcının hesabına uygulayarak, kullanıcıları ayrı rol tabanlı yönetim rollerine atar. CA yöneticisi bir kullanıcıyı birden fazla role atayabilir, ancak her kullanıcı yalnızca bir role atanırsa CA daha güvenli olur. Bu temsilci belirleme stratejisi kullanıldığında, bir kullanıcı hesabının tehlikeyle karşılaşması durumunda daha az CA görevinin tehlikeyle karşılaşması sağlanabilir.
Yönetici için önemli noktalar
Bağımsız bir CA için varsayılan yükleme ayarı, yerel Administrators grubunun üyelerine CA yöneticileri olarak sahip olmasıdır. Kuruluş CA'sı için varsayılan yükleme ayarı, yerel Administrators, Enterprise Admins ve Domain Admins gruplarının üyelerine CA yöneticileri olarak sahip olmasıdır. Bu hesaplardan birinin gücünü sınırlamak için tüm CA rolleri atanırken söz konusu hesapların CA yöneticisi ve sertifika yöneticisi rollerinden kaldırılması gerekir.
En iyi yöntem olarak, CA yöneticisi veya sertifika yöneticisi rolleri atanan grup hesapları yerel Administrators grubunun üyesi olmamalıdır. Ayrıca, CA rollerinin bireysel kullanıcı hesaplarına değil, yalnızca grup hesaplarına atanması gerekir.
Not | |
Bir CA sertifikasını yenilemek için CA'da yerel Administrators grubu üyeliği gereklidir. Bu grubun üyelerinin diğer tüm CA rollerine göre yönetim yetkisi önceliği olduğu varsayılabilir. |