AD Certificates
परिचय
प्रमाणपत्र के घटक
प्रमाणपत्र का विषय इसके मालिक को दर्शाता है।
एक सार्वजनिक कुंजी एक निजी रखी गई कुंजी के साथ जुड़ी होती है ताकि प्रमाणपत्र को उसके सही मालिक से जोड़ा जा सके।
वैधता अवधि, NotBefore और NotAfter तिथियों द्वारा परिभाषित, प्रमाणपत्र की प्रभावी अवधि को चिह्नित करती है।
एक अद्वितीय क्रमांक, प्रमाणपत्र प्राधिकरण (CA) द्वारा प्रदान किया गया, प्रत्येक प्रमाणपत्र की पहचान करता है।
जारीकर्ता CA को संदर्भित करता है जिसने प्रमाणपत्र जारी किया है।
SubjectAlternativeName विषय के लिए अतिरिक्त नामों की अनुमति देता है, पहचान की लचीलाता को बढ़ाता है।
मौलिक सीमाएं प्रमाणपत्र के लिए एक CA या अंत इकाई के लिए है और उपयोग सीमाएं परिभाषित करती हैं।
विस्तारित कुंजिउज (EKUs) वस्तु पहचानकर्ताओं (OIDs) के माध्यम से कोड साइनिंग या ईमेल एन्क्रिप्शन जैसे विशेष उद्देश्यों को प्रमाणपत्र की विशिष्टताएँ निर्धारित करती हैं।
हस्ताक्षर एल्गोरिथ्म प्रमाणपत्र के हस्ताक्षर करने के लिए विधि को निर्धारित करता है।
हस्ताक्षर जो जारीकर्ता की निजी कुंजी के साथ बनाया गया है, प्रमाणपत्र की प्रामाणिकता की गारंटी देता है।
विशेष विचार
विषय वैकल्पिक नाम (SANs) प्रमाणपत्र की अनुपयोगिता को कई पहचानों के लिए विस्तारित करते हैं, जो कई डोमेन्स वाले सर्वरों के लिए महत्वपूर्ण है। सुरक्षित जारीकरण प्रक्रियाएँ आवश्यक हैं ताकि हमलावर विशेषण करने वाले SAN विनिर्माण को बचाया जा सके।
सर्टिफिकेट प्राधिकरण (CAs) एक्टिव डायरेक्टरी (AD) में
AD CS AD वन में CA प्रमाणपत्रों को मान्यता प्रदान करता है निर्धारित कंटेनर के माध्यम से, प्रत्येक अद्वितीय भूमिका को सेवित करता है:
प्रमाणपत्र प्राधिकरण कंटेनर विश्वसनीय मूल CA प्रमाणपत्रों को रखता है।
नामांकन सेवाएं कंटेनर विस्तारप्रद CA और उनके प्रमाणपत्र नमूने की विवरण प्रदान करता है।
NTAuthCertificates ऑब्जेक्ट AD प्रमाणीकरण के लिए अधिकृत CA प्रमाणपत्रों को शामिल करता है।
AIA (Authority Information Access) कंटेनर मध्यवर्ती और क्रॉस CA प्रमाणपत्रों के साथ प्रमाणपत्र श्रृंखला मान्यता प्रदान करने में सहायक होता है।
प्रमाणपत्र प्राप्ति: क्लाइंट प्रमाणपत्र अनुरोध प्रवाह
अनुरोध प्रक्रिया क्लाइंट्स द्वारा एक एंटरप्राइज CA खोजने से शुरू होती है।
एक CSR बनाया जाता है, जिसमें एक सार्वजनिक कुंजी और अन्य विवरण शामिल होते हैं, एक सार्वजनिक-निजी कुंजी जोड़ने के बाद।
CA उपलब्ध प्रमाणपत्र नमूनों के खिलाफ CSR का मूल्यांकन करता है, नमूने की अनुमतियों के आधार पर प्रमाणपत्र जारी करता है।
मंजूरी प्राप्त होने पर, CA अपनी निजी कुंजी के साथ प्रमाणपत्र को हस्ताक्षरित करता है और इसे क्लाइंट को वापस भेजता है।
प्रमाणपत्र नमूने
AD में परिभाषित, ये नमूने प्रमाणपत्र जारी करने के लिए सेटिंग्स और अनुमतियों को आउटलाइन करते हैं, जिसमें परमिटेड EKUs और प्रमाणपत्र सेवाओं के लिए प्रवेश या संशोधन के अधिकार शामिल हैं, प्रमाणपत्र सेवाओं का प्रबंधन करने के लिए महत्वपूर्ण है।
प्रमाणपत्र नामांकन
प्रमाणपत्रों के लिए नामांकन प्रक्रिया एक प्रशासक द्वारा प्रारंभ किया जाता है जो एक प्रमाणपत्र नमूना बनाता है, जिसे एक एंटरप्राइज सर्टिफिकेट प्राधिकरण (CA) द्वारा प्रकाशित किया जाता है। यह नमूना क्लाइंट नामांकन के लिए उपलब्ध हो जाता है, जिसे एक Active Directory ऑब्ज
प्रमाणपत्र प्रमाणीकरण
एक्टिव डायरेक्टरी (AD) प्रमाणपत्र प्रमाणीकरण का समर्थन करती है, मुख्य रूप से केरबेरोस और सुरक्षित चैनल (Schannel) प्रोटोकॉल का उपयोग करती है।
केरबेरोस प्रमाणीकरण प्रक्रिया
केरबेरोस प्रमाणीकरण प्रक्रिया में, एक उपयोगकर्ता का टिकट ग्रांटिंग टिकट (TGT) के लिए अनुरोध उपयोगकर्ता के प्रमाणपत्र की निजी कुंजी का उपयोग करके हस्ताक्षरित किया जाता है। यह अनुरोध डोमेन कंट्रोलर द्वारा कई मान्यताओं से गुजरता है, जिसमें प्रमाणपत्र की मान्यता, पथ, और रोकथाम स्थिति शामिल हैं। मान्यताएँ इसमें शामिल हैं कि प्रमाणपत्र एक विश्वसनीय स्रोत से आता है और NTAUTH प्रमाणपत्र स्टोर में जारीकर्ता की उपस्थिति की पुष्टि करना। सफल मान्यताएँ एक TGT के जारी होने में समाप्त होती हैं। NTAuthCertificates
ऑब्जेक्ट एडी में, यहाँ पाया जाता है:
प्रमाणपत्र प्रमाणीकरण के लिए विश्वास स्थापित करने के लिए महत्वपूर्ण है।
सुरक्षित चैनल (Schannel) प्रमाणीकरण
Schannel सुरक्षित TLS/SSL कनेक्शन को सुविधाजनक बनाता है, जहां हैंडशेक के दौरान क्लाइंट एक प्रमाणपत्र प्रस्तुत करता है जो, यदि सफलतापूर्वक मान्यता प्राप्त होता है, पहुंच की अधिकारी करता है। प्रमाणपत्र को एडी खाते से मैप करना Kerberos’s S4U2Self फ़ंक्शन या प्रमाणपत्र का Subject Alternative Name (SAN), इनमें से अन्य विधियों को शामिल कर सकता है।
एडी सर्टिफिकेट सेवा गणना
एडी के प्रमाणपत्र सेवाएं LDAP क्वेरी के माध्यम से गणित की जा सकती हैं, जो एंटरप्राइज सर्टिफिकेट अथॉरिटीज (CAs) और उनके विन्यास के बारे में जानकारी प्रकट करती है। इसे किसी भी डोमेन-प्रमाणीकृत उपयोगकर्ता द्वारा विशेष अधिकारों के बिना पहुंचा जा सकता है। एडी सीएस परिवेश में गणना और कमजोरी मूल्यांकन के लिए उपकरण जैसे Certify और Certipy का उपयोग किया जाता है।
इन उपकरणों का उपयोग करने के लिए आदेश:
संदर्भ
Last updated