Bir Sertifika Otoritesinin en değerli noktası, CA Sertifikasının Private Key’ idir. Eğer bu anahtar ele geçirilirse, Sertifika Servisi tüm güvenilirliğini yitirir, ve o güne kadar atadığı tüm Dijital Sertifikalar revoke edilir. Dolayısıyla, bir Sertifika Otoritesinin en çok korunması gereken noktası, CA Sertifikasının Private Key’ idir.
Bu tehlike, aynı dizinin 4. partisinde incelenmiş, ve bu tehlikeye karşılık bazı dizayn opsiyonları sunulmuştur.
http://www.sistemuzmani.com/Articles/Details.aspx?aId=1000001057
Bir PKI Hiyerarşisinin en önemli ve güvenliğe ihtiyaç duyan sunucusu, kuşkusuz Kök Sertifika Otoritesi olacaktır. Bu sunucuya ait CA Sertifikasının Private Key’ inin çalınması, o hiyerarşinin tamamen yok olmasını gerektirir. Bu ağır tehditten ötürü, Kök Sertifika Otoriteleri, çevrim için değil, çevrim dışı çalışırlar; hiç bir ağla bağlantıları bulunmaz. Sunucu kapalıdır, ve büyük bir ihtimalle, yeri herkesçe bilinmeyen bir kasada saklanmaktadır. Kök Sertifika Otoritesinin Sub-Ordinate Sertifika Otoriteleri bulunduğu ve Dijital Sertifika atama görevi, bu Sub-Ordinate Otoritelere ait olduğu için, zaten Kök Sertifika Otoritesinin varlığı ile yokluğu arasında fark yoktur.
Bir başka tehdit ise, çevrim içi çalışan Sertifika Otoritelerinin, Internetten erişilmesidir. Her Sertifika Otoritesi, bir Certificate Revocation List Distribution Point (CDP) ve Authority Information Access (AIA) yayın noktası bildirmek ve bunu erişilebilir bir halde bulundurmak zorundadır. Bu, Sertifika Otoritesinin Internetten erişilebileceği anlamını taşır.
Bu tehdite karşı alınabilecek önlem ise, Sertifika Otoritelerinin Certificate Revocation List Distribution Point (CDP) ve Authority Information Access (AIA) yayın noktalarının, basit bir sunucu ile – Sertifika Otoritesinden farklı bir sunucu- yayınlanmasıdır. Üzerinde başka hiç bir bilgi bulundurmadan, sadece AIA ve CDP yayınlamakla görevli bir Web veya Ftp sunucu kullanılarak, AIA ve CDP yayınlanabilir. Bu, Sertifika Otoritesinin Internetten erişileme zorunluluğunu ortadan kaldıracaktır.
Şimdi bu implementasyonu, Windows Sertifika Servisleri ile uygulayalım. Bu uygulamayı, servislerin tüm yapılandırmasını da kapsayacak şekilde, aşağıdaki diyagramda bulunan senaryo üzerinde inceleyeceğiz.
Yukarıda, örnek olarak inceleyeceğimiz PKI hiyerarşisinde, LockSmith Root CA isimli Kök Sertifika Otoritesi çevrim dışı olarak çalışacaktır. Tüm hiyerarşinin CDP ve AIA yayın noktası, yine diyagramda da görülen, Web Server tarafından yayınlanacak ve böylece, Sertifika Otoritelerinin, Internetten erişilmemesi sağlanmış olacaktır. www.tornado.com isimli Secure Http (https) sunucusu, LockSmith Intermediate Keymaker A isimli Sertifika Otoritesinden bir Dijital Sertifika almıştır. Internetteki istemci ise, www.tornado.com isimli https sunucusuna erişip, Web Sunucusunun Dijital Sertifikasını alacak, ve sertifikanın üzerinde bulunan, AIA ve CDP yayın noktasına bağlanıp, Dijital Sertifika’ nın durumunu inceleyecektir.
Kök Sertifika Otoritesini kurarak, uygulamaya başlayabiliriz. Bu sunucu çevrim dışı olarak çalışacağı için, bir network arayüzüne ihtiyaç duymayacaktır. Dahası, Sub-Ordinate Sertifika Otoritelerinin, CA Sertifikalarını imzaladıktan sonra, çalışır durumda bulunmasına bile gerek kalmayacaktır.
Windows Bileşenleri Ekle / Kaldır menusunden, Sertifika Servislerini seçip next butonu ile devam ediyoruz.
Sertifika Servislerinin kurulumdan sonra, sunucunun host isminin ya da Domain üyeliğinin değiştirilmesi durumunda, Otoritenin atadığı Dijital Sertifikaların geçersizleşeceğine dair uyarı mesajını, Yes butonu ile kapatıp devam ediyoruz.
Sertifika Otoritesinin tipini Root CA olarak belirtip, Sertifika Servisinin CA Sertifikasına ait detaylı yapılandırma için, “Use custom ......” kutusunu işaretleyip devam ediyoruz.
Sunucunun kriptografik işlemlerini sağlayacak Cryptographic Servise Provider ‘ı(CSP), imza işlevi için kullanılacak Hash algoritmasını, ve anahtar uzunluğunu belirtip, devam ediyoruz. (Anahtar uzunluğu, bir Kök Sertifika Otoritesi için, uzun olmalıdır.)
Sertifika Otoritesinin ismi ve Otoritenin CA Sertifikasının geçerlilik periyodunu belirtiyoruz. Bu Otorite Offline olacağı ve bu yüzden yenilenme işleminin sık tekrarlanmamasını sağlamak için, periyodun uzun bir süre olarak belirlenmesi önemlidir. Offine Root CA ‘ ler için, tavsiye edilen geçerlilik periyodu 10 ila 20 yıldır.
Sertifika Otoritesinin veritabanı ve transaction log yolu ile, yapılandırma bilgisinin yayınlandığı yolu belirtip devam ediyoruz.
Servis kurulumu, otomatik IIS Application Pool yapılandırması amacıyla, geçici olarak IIS servisini durdurmak için onay istiyor.
Sertifika Servisinin Web Enrollment desteğinin devreye girebilmesi için, IIS yapılandırmasında ASP bileşeninin izinlendirilmesi gerekmektedir. Bu izinlendirmeyi, kurulumun sağlaması için, Yes butonu ile devam ediyoruz ve kurulum tamamlanıyor.
Kök Sertifika Otoritesinin, CA Sertifikası.
*** Kök Sertifika Otoriteleri, hiyerarşilerinin en üst noktalarında bulunduğundan dolayı ve CA Sertifikaları Self-Signed (kendi kendine imzalanmış) olduğu için, Kök Sertifika Otoritesi CA Sertifikalarının, AIA ve CDP uzantıları, boş olmalıdır. Bu, gereksiz Revocation ve Authority denetlemelerinin önüne geçecektir.
Görüldüğü gibi, LockSmith Root CA isimli Sertifika Otoritesinin, CA Sertifika uzantılarında, AIA ve CDP alanları yok.
Offline Kök Sertifika Otoritemizin, bundan sonra atayacağı, sadece iki Dijital Sertifika var. Bu sertifikalar, Sub-Ordinate olacak, LockSmith Intermediate Keymaker A ve B isimli Sertifika Otoriteleri olacak.
Bu iki Sub-Ordinate Sertifika Otoritesinin alacağı CA Sertifikalarının, AIA ve CDP noktalarının, yayınlanıyor ve Internet üzerinden de erişilebiliyor olması gerekmektedir. Şimdiki aşamada, bu yapılandırmayı uygulayacağız.
Bir Sertifika Otoritesinin, atayacağı Dijital Sertifikarda belirtilecek olan CDP ve AIA noktaları, Sertifika Servisleri konsolunda yapılandırılır. Bu yayın, varsayılan olarak, Sertifika Servisi üzerinden yapılır. Ancak güvenlik gereklilikleri doğrultusunda, bu yayınlama işlemini, bu iş için adanmış bir Web sunucusu ile yapacağız. Önce, Sertifika Otoritesine, atayacağı sertifikaların üzerinde yazacak olan CDP ve AIA yayınlama noktalarını belirtelim.
Root CA’ in atayacağı sertifikalarda bulunacak olan CDP yayın noktası. (İlgili Web Sunucuda, “aia” isimli bir virtual directory altında <CA ismi>.crl)
“Include in the CDP...” kutusu ise, atanacak sertifikalarda, bu CDP noktasının bulundurulacağını belirtiyor.
Gelelim AIA ‘ ya...
Şimdi adı geçen bu dosyaları, “aia-cdp.locksmith.com” isimli Web sunucuya yerleştirelim.
Ancak daha önce, bir CRL yayınlanması gerekmektedir.
CRL ve AIA ile ilgili .crl ve .crt dosyaları, varsayılan olarak, Sertifika Otoritelerinde \certenroll ismiyle paylaşılmış klasorde bulunur. Bu noktada, bu dosyaları,
“aia-cdp.locksmith.com” isimli Web sunucuda, ilgili klasorlere kopyalayacağız.
İki dosyayı, Web sunucusuna, isimlerini daha önceden Sertifika Otoritesine belirttiğimiz iki aynı klasore yerleştirdik.
Bu kısımda ise, Sub-Ordinate Sertifika Otoritesinin kurulumunu ve CA Sertifikasının atanmasını gerçekleştireceğiz. Yine Windows bileşenlerini ekle / kaldır menusunden Sertifika Servislerini seçiyoruz.
Bu defaki seçeneğimiz, Sub-Ordinate oldu.
Sertifika Otoritesinin ismini belirledik.
Bu otoriteye, CA sertifikasını verecek olan Kök Sertifika Otoritemiz, çevrimdışı çalıştığı için, bu isteği bir dosya olarak kaydedip, Kök Sertifika Otoritesinde onaylamamız gerekmektedir.
İstek dosyasını submit ettikten sonra, bu başvuru beklemeye alındı ve elle onaylanmalı...
Onaylanan sertifikayı .p7b formatında, ve hiyerarşinin tüm otoritelerine ait CA sertifikalarını da kapsayacak bir şekilde, export ediyoruz.
Export ettiğimiz dosyayı, Sub-Ordinate Sertifika Otoritesine taşıdıktan sonra, bu sertifikayı Sertifika Otoritesine import ediyoruz ve yeni Sertifika Servisimizi başlatıyoruz.
Bu noktadan itibaren, AIA ve CDP ile ilgili tüm yapılandırmayı, Sub-Ordinate Sertifika Otoritesi için de uyguluyoruz.
Bu partide, çevrimdışı Sertifika Otoritesi yapılandırması, AIA ve CDP yayın noktalarının başka bir sunucuya aktarılması ve Sub-Ordinate Sertifika Otoritesinin, çevrimdışı bir Kök Sertifika Otoritesi tarafından yetkilendirilmesi incelenmiştir. Devam eden kısımda ise, bu hiyerarşiden Dijital Sertifika alan bir Web sunucu ve istemci ile ilgili durumlar incelenecektir.