Anasayfa » Forum

Certificate Authori...
 

Certificate Authority gerekli mi?  

  RSS
Teoman Efendi
(@TeomanEfendi)
Üye

Yeni bir domain kuruyoruz (win 2012R2) ve planlama asamasindayiz. Bu yeni domain GlobalSign'dan wildcard sertifikasina sahip (*.mydomain.com). Bazi arkadaslar CA rolune gerek olmadigini hicbir faydasi olmadigini soyluyorlar. Ortamda asagidaki servisler olacak. Gercekten CA rolune ihtiyac yok mu? Olmasinin veya olmamasinin artilari eksileri nelerdir? Fikrinizi paylasirsaniz memnun olurum.

  • Exchange 2016 (elbette ActiveSync vs dahil)
  • SharePoint 2016
  • VPN
  • RADIUS authentication for wireless clients
  • Secure LDAP
Alıntı
Gönderildi : 10/09/2016 12:27
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba

Eğer sertifika temelli bir işlem olmayacak ise gerek yok. Olan işlemler için sertifika almışsınız ancak örneğin kullanıcı sayınız kadar sertifika lazım olur ise, yani VPN için veya benzeri istemci kimlik doğrulama durumlarında dağıtılacak sertifika dışarıdan alınması çok maliyetli olacaktır.

Özetle CA kurmak size ek bir maliyet getirmiyor, bakımı da zor değil, ayrıca lazım olunca hemen kullanmanız adına olması faydalı. Malum kurduktan sonra ortamdaki sunucu ve istemcilerin ona güvenmesi için en az bir restart gerekiyor vb durumlar var.

Ek olarak kurmanız halinde DC makineler için alınan sertifikalar da root CA den oluyor bu daha güvenli bir iletişim için yararlı.

Özetle ben olsam kurarım kesinlikle.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 11/09/2016 16:29
Teoman Efendi
(@TeomanEfendi)
Üye

Tesekkurler hocam. Sizin gorusunuz benim icin finaldir digerlerinin ne dedigine kafa yormam artik. 🙂

Best practice icin bir tane domaine katilmamis server uzerine CA kurup 2 tane domain member server uzerinede subordinate CA olarak kurmam gerekiyor degilmi?

CevapAlıntı
Gönderildi : 12/09/2016 01:52
Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bu güvenlik için tavsiye edilir ama yönetmesi zordur. Buradaki amaç örneğin EFS, Client Authentication, Web Server, Smart Card, VPN ve benzeri farklı alanlarda bu CA aktif bir şekilde kullanılırsa ve root key ele geçerse tüm dağıtmış olduğu sertifikalar tehlike altına girer yani güvensiz olur. Sub kurmadaki amaç örneğin EFS i bir SUB üzerinden Smart Card diğer bir Sub yapıp bunlara yetki verip root u komple kapatmak gerekir.

Özetle eğer gerçekten böyle kompleks ve güvenlikli bir şirket ortamı olacak se evet önerilen budur.

Aksi durumda root domain de olsun yine iki sub yapıp root u kapatmak daha kolay.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 16/09/2016 15:06
Paylaş:

Lütfen Giriş yap yada Kayıt ol