این مطلب پیش در پر قالب مجموعه آموزش رایگان ویندوز سرور 2019 در سایت ماهنامه شبکه منتشر شده از و به دلیل اهمیت آموزشی آن در کارینسو بازنشر میشود. برای مطالعه قسمت قبل آموزش اینجا کلیک کنید.
انتشار گواهینامه SSL از یک سرور CA که خودتان ساختهاید و درون شبکه در حال اجرا است، امکانپذیر است، اما در این حالت لازم است به چند نکته مهم دقت کنید که ممکن است کار را پیچیده کنند، زیرا گواهینامهای که از سوی سرور CA شما انتشار پیدا میکند ممکن است از سوی همه کامپیوترها به عنوان یک گواهینامه قابل اعتماد شناخته نشود. اگر در نظر دارید مجوز SSL خود را برای استفاده در یک وب سایت عمومی منتشر کنید، باید حداقل بخشی از PKI داخلی خود را که با نام خدمات صدور، ابطال و انتشار گواهینامهها (CLR) سرنام Certificate Revocation List شناخته میشود را به اینترنت منتقل کنید. هر زمان که یک مؤلفه درون شبکهای را به اینترنت منتقل کنید، یک ریسک امنیتی به وجود میآورید، بنابراین زمانی اینکار را انجام دهید که واقعا مجبور هستید. دلیل دومی که بهکارگیری گواهینامههای SSL شخصی در وبسایتهای عمومی را با دشواری همراه میسازد این است که فقط کامپیوترهای عضو دامنه شما میدانند که چگونه باید به این گواهی SSL اعتماد کنند. بنابراین، اگر یک کاربر لپتاپ شرکت را به خانه خود بیاورد و از آن برای دسترسی به صفحه ورود به ایمیل خود استفاده کند، بدون مشکل به صفحه مربوطه دسترسی خواهد داشت، اما اگر کاربر سعی کند به همان صفحه ورود به ایمیل از کامپیوتر خانگی خود که بخشی از دامنه یا شبکه سازمان نیست دسترسی پیدا کند، یک پیام هشدار مرتبط با گواهینامهها دریافت میکند که برای دستیابی به وبسایت باید یکسری کارهای خاص را انجام دهد. شما هرگز نباید کاربران سازمان خود را ترغیب كنید كه یک چنین خطری را قبول کرده و از طریق یك پیام هشداردهی گواهینامه اقدام به باز کردن سایتها کنند، زیرا پیامد این کار فاجعهآمیز است، حتا اگر گواهی كه آنها روی آن كلیك میكنند، توسط CA خود شما صادر شده باشد. این یک اصل مهم است که هرگز خطر را قبول نکنیم.
این مشکل را میتوان با خرید یک گواهینامه SSL از یکی از شرکتهای عمومی صادرکننده گواهینامهها برطرف کرد، بنابراین خرید این نوع گواهینامهها رویکرد متداولی است و توصیه میشود در وبسایتهای عمومی از یک چنین گواهینامههای SSL استفاده کنید. برای وبسایتهایی که بهطور کامل درون شبکه هستند داستان متفاوت است، زیرا با اینترنت سر و کار ندارند و مشکلات امنیتی آنها به راحتی به فضای ناامن اینترنت ورود پیدا نمیکند. شما میتوانید از سرور CA داخلی خود برای صدور گواهینامه SSL برای وبسایتهای داخلی استفاده کنید و نیازی به پرداخت هزینههای مربوط به خرید گواهینامه برای این مدل وبسایتها نیست.
مدلهای مختلفی از گواهینامههای SSL وجود دارد که میتوانید از یک CA عمومی خریداری کنید که اطلاعات مربوطه درون وبسایتهای توزیعکنندگان درج شده است. البته یک اصل کلی وجود دارد که هرچه بیشتر هزینه کنید، گواهی شما ایمنتر است. مدلهای مختلف گواهینامهها به نحوه تایید اعتبار درخواستکننده گواهینامه از سوی ارائهدهنده گواهینامه اشاره دارند، جایی که مباحث امنیتی حرف اول را میزنند. بهطور مثال، شرکت ارائهدهنده گواهینامه تضمین میکند که وقتی به صفحهای که توسط گواهینامه آنها تایید شده دسترسی پیدا میکنید این گواهی به شرکت حقیقی که صاحب آن صفحه وب است تخصیص داده شده است.
به غیر از مرحله اعتبارسنجی که هنگام خرید گواهینامه میتوانید انتخاب کنید، گزینه دیگری نیز وجود دارد که باید در مورد آن تصمیم بگیرید که در ارتباط با جنبه فنی و مدلی است که گواهینامه بر پایه آن کار میکند. در هنگام خرید گواهینامه، نوعهای مختلف بر مبنای نامگذاریهایی که برایشان تعریف شده شناخته میشوند. اجازه دهید سه مورد از گواهیهای SSL پر کاربرد را بررسی کنیم.
گواهیهای تک نامی
گواهینامههای تک نامی ارزانترین و متداولترین مسیری است که برای خرید گواهینامه برای یک وبسایت شخصی در اختیارتان قرار دارد. یک گواهی تک نامی از اطلاعات یک نام DNS انفرادی برای برقراری امنیت استفاده میکند. زمانیکه وبسایت جدیدی در پورتالی شبیه به portal.contoso.com راهاندازی کردید و در نظر دارید این وبسایت با استفاده از HTTPS از ترافیک میان کلاینت و سرور محافظت کند از طریق یک گواهی SSL که روی وبسایت نصب میشود قادر به انجام اینکار هستید. زمانیکه درخواستی برای گواهینامه جدید برای مرجع صدور گواهینامه ارسال میکنید باید نام خاص portal.contoso.com را در قسمت نام مشترک در فرم درخواست وارد کنید. این نام DNS انفرادی تنها نامی است که میتواند توسط این گواهینامه محافظت و تأیید شود.
گواهینامه Subject Alternative Name
گواهینامه (SAN) سرنام Subject Alternative Name بهطور کلی هزینهای کمی بیشتر از گواهینامههای تک نامیدارد، زیرا قابلیتهای بیشتری ارائه میدهد. هنگام درخواست گواهینامه SAN، شما میتوانید چند نام DNS را تعریف کنید تا گواهینامه از آنها محافظت کند. پس از صدور، گواهینامه SAN حاوی یک نام DNS اصلی است که بهطور معمول نام اصلی وبسایت است و درون آن ویژگیهای گواهی و نامهای DNS دیگری را که در طی درخواست خود مشخص کردهاید پیدا میکنید. این گواهینامه منفرد را میتوان در یک وبسرور نصب کرد و برای اعتبارسنجی ترافیک برای هر یک از نامهای DNS موجود در گواهی از آن استفاده کرد. یک مثال ساده از یک گواهینامه SAN زمانی است که سرور Lync سرنام Skype for Business را پیکربندی میکنید. Lync از نامهای DNS مختلفی استفاده میکند، اما تمامی نامها درون دامنه DNS یکسانی قرار دارند. در زمان بهکارگیری گواهینامههای SAN دقت کنید که نام شما باید بخشی از همان دامنه یا زیر دامنه باشد. در اینجا نمونهای از نامهایی را مشاهده میکنید که ممکن است در یک گواهینامه SAN مرتبط با Lync وجود داشته باشند.
Lync.contoso.com (the primary one)
Lyncdiscover.contoso.com
Meet.contoso.com
Dialin.contoso.com
Admin.contoso.com
این وبسایتها/سرویسهای مختلفی که توسط Lync استفاده میشوند در ادامه توسط یک یا چند سرور پیادهسازی میشوند و میتوانید از گواهینامه یکسان SAN در تمامی آن سرورها استفاده کنید تا ترافیکی که به سمت هر یک از این نامهای DNS هدایت میشوند، اعتبارسنجی شوند.
گواهینامههای Wildcard
گواهینامه سومی که در این مقاله به آن اشاره میکنیم گواهینامه Wildcard است. این مدل گواهینامه لاکچری است، زیرا بیشترین قابلیت را دارد و بالاترین انعطافپذیری را در اختیارتان قرار میدهد و در عین حال سادهترین مسیر پیادهسازی روی بیشتر سرورها را ارائه میدهد. نام موجود در یک گواهی Wildcard با کاراکتر ستاره (*) شروع میشود. این ستاره به معنی این است که هر چیزی قبل از نام دامنه DNS ظاهر میشود، تحت پوشش این گواهینامه است. اگر شما مالک contoso.com هستید و قصد دارید بسیاری از رکوردهای عمومی DNS را که در بیشتر وبسایتها و سرورهای مختلف استفاده میشوند را تحت پشتیبانی گواهینامه قرار دهید باید یک گواهینامه Wildcard را به شکل *.contoso.com خریداری کنید تا گواهینامه هر آن چیزی که نیازمند محافظت است را شامل شود.
بهطور معمول، wildcardها را میتوانید روی وبسرورهایی که نیاز دارید نصب کنید. دقت کنید در زمان بهکارگیری این گواهینامه هیچ محدودیتی در تعداد نامهای مختلف DNS که این گواهینامه اعتبارسنجی میکند وجود ندارد. البته یک استثنا نیز وجود دارد، هنگامی که توافقنامه خاصی میان مشتری و مرجع صدور گواهینامه در ارتباط با این گواهینامهها تنظیم میشود، ممکن است در قرارداد قید شده باشد که مشتری باید برای هر نمونه گواهینامهای که از آن استفاده میکند هزینه مربوطه را پرداخت کند. بنابراین وقتی با مرجع صدور گواهینامه صحبت میکنید، حتما مفاد قرارداد را مطالعه کنید. در بیشتر اوقات، یک wildcard به شکل رایگان در تمامی موارد در یک شرکت در دسترس قرار دارد که اجازه میدهد از این گواهینامه در ارتباط با سایتها و سرویسهای مختلفی که روی سرورها میزبانی میشوند استفاده کنید. نکته منفی در ارتباط با این گواهینامه قیمت بالای آنها است. اگر برنامههای درازمدت روبهرشدی دارید خرید این گواهینامهها در طولانی مدت توجیه اقتصادی خواهند داشت. گواهینامه wildcard قابلیت فعالسازی پروتکل HTTPS روی دامنه اصلی و تمامی زیردامنهها را امکانپذیر میکنند. در نتیجه اگر تمایل دارید بخشهای مختلف وبسایت همچون ارتباطات در زیردامنهها امنیت بیشتری داشته باشند و گواهی SSL روی زیردامنهها هم فعال باشد، پیشنهاد میکنیم با صرف هزینه کمتر از گواهی Wildcard استفاده کنید تا تمامی دامنههای مرتبط با دامنه اصلی را ایمن کنید.
لازم به توضیح است که گواهینامههای دیگری همچون SSL DV Standard، SSL OV، SSL EV نیز وجود دارند که در این مقاله به آنها اشارهای نداشتیم.
PKI خود را برنامهریزی کنید
از آنجایی که آموزش ما مرتبط با Windows Server 2019 است، در نتیجه سرور مرجع صدور گواهینامه شما باید از جدیدترین سیستمعامل روز استفاده کند. همانند سایر قابلیتها در سرور 2019، فرآیند ساخت سرور مرجع صدور گواهینامه در یک شبکه به سادگی نصب یک نقش است. زمانیکه تصمیم میگیرید نقشی به سرور جدید خود اضافه کنید، در اولین گام به سراغ Active Directory Certificate Services یا همان AD CS میروید. زمانیکه نقش فوق را نصب کردید، دو گزینه مهم در اختیارتان قرار میگیرد که پیش از ایجاد یک محیط زیرساخت کلید عمومی (PKI) باید اطلاع دقیقی در مورد آنها داشته باشید. نام میزبان و وضعیت دامنه پس از پیادهسازی نقش مرجع صدور (CA) قابل تغییر نیستند. اطمینان حاصل کنید که نام میزبان نهایی خود را به درستی تنظیم کردهاید و قبل از نصب نقش AD CS ، این سرور را به دامنه (در صورت وجود) متصل کردهاید. پس از پیادهسازی زیرساخت کلید عمومی قادر به انجام اینکار نیستید.
برای مطالعه تمام بخشهای آموزش ویندوز سرور 2019 روی لینک زیر کلیک کنید:
به این مطلب چند ستاره میدهید؟(امتیاز: 4.5 - رای: 1)
- منبع: ماهنامه شبکه
- نویسنده: حمیدرضا تائبی