Windows Server 2012 R2 üzerine CA Kurulumu
Kurum içerisinde kullandığımız uygulamalarımızın güvenli uygulamalarımızın hata vermesi bizi hiç hoşnut etmez. Son kullanıcı tarafından baktığınızda e-posta istemcisini açtığında ya da kurum içi bir uygulamayı web browser üzerinden açmak istediğinizde “Bu uygulamaya güveniyor musunuz?” ya da “Bu uygulama güvensiz yine de çalıştırmak istiyor musunuz?” gibi sorular ile karşılaşması hiç hoş bir durum olmamaktadır.
Açtığınız sayfa 443 portundan SSL diye adlandırılan (Secure Sockets Layer) yapıda çalıştığında kullanılan sertifika eğer bilgisayarınız tarafından tanınmıyor ise bu tip hatalar ile karşılaşırsınız.
Gerek Exchange, Lync, Sharepoint gibi Microsoft uygulamalarında olsun, gerekse kurum içi geliştirmelerinizde web browser’dan hata alınmaması için güvenilir sertifika oluşturulur. Çünkü SSL in kullanacağı sertifika güvenilir olmalıdır ki bilgisayar bu sertifikayı kabul etsin. Örnek vermek gerekirse siz bir bankanın kişisel bankacılık sitesine girdiğinizde web browser’ın adres kısmı yeşil renk alır ve güvenilir sertifika ibaresini belirten bir logo gelir. Aşağıdaki örnekte Denizbank’ın onaylı sertifikası gözükmektedir. Çünkü bu banka dünya üzerinde güvenilir bir sertifika üreticisinden bir sertifika satın almıştır. Sizlerde kendi web siteniz için 443 portu kullanarak işlem yapacaksanız güvenilir bir sertifika alıp bunu IIS üzerinde barındırmanız gerekmektedir.
Bu sertifikanın amacı, SSL kullanarak (https) girdiğiniz sitede yapılan işlemler, girilen veriler güvenli bir şekilde ilgili yerlere aktarılmaktadır aynı zamanda sitenin gerçekliğini de gösterir.
Bu makalede sizlere kurum içi sertifika sunucu (Certification Authority – CA — ) kurulumu anlatılmaktadır. Kuracağınız CA ile Sertifika taleplerine yanıt verebilir ve Sertifikalar oluşturabilirsiniz. Örnek Lync Internal Sertifika, Exchange Owa Sertifika gibi.
Sertifika kurulumu için Server Manager ekranında “Add roles and features” linkini tıklayınız.
Kurulum Sihirbazında ilk sayfayı “Next” e basarak geçiniz.
Kurulum tipi olarak “Role-based or feature-based installation” kısmını seçiniz. “Remote Desktop Services installation” kısmı Uzak erişim hizmetlerini kurmak içindir.
Bir sonraki kısım rollerin ve özelliklerin kurulacağı sunucu ya da sunucu gruplarının belirtildiği kısımdır. Server 2012 ile beraber bir sunucu havuzu oluşturup başka sunuculara kurulum yapabilirsiniz. Şu anda sadece bir tek sunucuya kurulum yapılacağı için listemizde bir sunucu gözükmektedir. “Next” e basarak ilerleyiniz.
Server roles kısmında “Active Directory Certificate Services” kısmını işaretleyiniz. Siz işaretledikten sonra aşağıda sağ tarafta görüldüğü gibi bu role bağlı özelliklerde otomatik olarak yüklensin mi diye sizden onay alan bir ekran çıkacaktır. Burada “Add Features” butonuna basınız.
Bir sonraki ekran olan “Features” kısmında herhangi bir işaretleme yapmadan “Next” e basarak ilerleyiniz.
CA’in ne olduğunu açıklayan bir bildirim sayfası bir sonraki adım olarak karşınıza gelecektir. Burada dikkat ederseniz CA kurulduktan sonra sunucunun adını değiştiremezsiniz şeklinde sizi ikaz eden bir bilgi vermektedir. Eğer sunucu adını değiştirecekseniz, bir domain e üye yapacaksanız ya da sunucuyu Domain Controller yapacaksanız, önce bu işlemleri yapıp daha sonra kuruluma başlamanız gerekmektedir.
CA için gerekli Rollerden şu anda ihtiyacımız olan “Certification Authority” kısmını işaretlediğinizde ihtiyacı olan IIS rollerini de otomatik ekleyecektir. “Add Features” butonuna basınız.
IIS’in tanımı ve IIS ile ilgili bilgilerin bulunduğu ekran karşınıza gelecek. “Next”e basarak devam ediniz.
IIS için gerekli roller ekranı gelecektir. Bu ekran üzerinde herhangi bir değişiklik yapmadan “Next”e basarak devam ediniz
Yapılacak kurulum ile ilgili bilgilendirme ekranı gelecektir. Kurulum için onayladığınız adımları kontrol ediniz. “Install”e basarak devam ediniz.
Eğer “Restart the destination server automatically if required” kısmındaki checkbox ı işaretlerseniz kurulum sonrası yeniden başlatmak gerekirse sunucu otomatik olarak bu işlemi gerçekleştirecektir.
Kurulum tamamlandıktan sonra “Server Manager” ekranında sağ yukarıdaki bilgilendirme bayrağının bulunduğu kısma tıkladığınızda “Configure Active Directory Certificate Services on this Server” linkini tıklayınız.
CA için hangi rollerin yükleneceğini size bildiren ekran karşınıza gelecektir. “Credentials” kısmına domaininiz içerisinde yetkili bir kullanıcı yazmanız gerekmektedir.
CA rolleri eknraında aşağıdaki 2 seçeneği işaretlerinizve Next’e basınız.
Certification Authority
Certification Authority Web Enrollment
Kurduğumuz CA yapımızda Active Directory ile de entegre olacağından dolayı “Enterprise CA” kısmını seçiniz ve “Next”e basınız.
Yapıdaki ilk CA olduğu için “Root CA” seçeneğini seçiniz ve “Next”e basınız.
Sertifika oluşturabilmeniz için bir “Private Key” e ihtiyaç duymaktasınız. Daha önce oluşturulmadığı için “Create a new private key” butonuna basarak ilerleyin.
Bir sonraki ekran şifreleme algoritması seçenekleridir. Bu ekranda bir değişiklik yapmadan “Next”e basınız.
Sertifika sunucunuz ile ilgili Active Directory bilgileri ekrana gelecektir. “Next”e basınız.
“Validity Period” kısmı bu CA tarafından oluşturduğunuz sertifikaların geçerlilik süresini belirtmektedir. Örnek olarak bugün oluşturduğunuz bir sertifika 5 yıl sonra tam aynı gün süresi sona erecektir. Süre sona erdiğinde web browser üzerindeki yeşil kısım kırmızıya dönüşecek ve sertifika geçersiz uyarısı alacaksınız. Bu süre kurumunuz politikaları tarafından belirlenebilir. İstediğiniz süreyi belirtiniz ve “Next”e basınız.
CA sunucusu yaptığı işlemleri, ürettiği sertifikaları ve key leri bir database içerisinde barındırır. Bir sonraki ekranda bu database’in nerde konumlandırılacağı sorulur. Eğer değişiklik yapmak istemiyorsanız “Next”e basınız ve devam ediniz.
Confirmation kısmında yapılacak işlemlerin özeti size gösterilmektedir. Bir yanlışlık var ise “Previous” butonuna basarak geri geliniz ve hatayı düzeltiniz. Eğer her şey doğru ise “Configure” butona basınız.
Kurulum kısmından bir ekran görüntüsü.
Kurulum tamamlandıktan sonra “Close” butonuna basarak ekranı kapatınız.
Artık Sertifika sunucunuz kurulmuştur. Uygulamalar ve web siteleri için sertifikalar oluşturabilir, bunları firmanız içinde dağıtabilirsiniz.
Sertifika istek ve oluşturma için web browserınıza “http:\\localhost\certsrv” (tırnak işaretleri hariç) yazıp Enter’a bastığınızda aşağıdaki ekran gelecektir. Artık Sertifika sunucunuzu kullanabilirsiniz.