الفصل : 6
الجزء : 2
العنوان : ال Certificates
إنشاء قالب شهادة جديدة
الآن بعد أن تم تثبيت دور CA الخاص بنا، دعونا نجعله يقوم بشيء ما! الغرض من خادم الشهادة هو إصدار الشهادات، أليس كذلك؟ إذن، هل نفعل ذلك؟ ليس بهذه السرعة. عندما تصدر شهادة من خادم CA إلى جهاز أو مستخدم، فإنك لا تختار الشهادة التي تريد نشرها؛ بل تختار قالب الشهادة الذي تريد استخدامه لنشر شهادة بناءً على الإعدادات المُكونة داخل ذلك القالب. قوالب الشهادات تشبه الوصفات للطهي. على خادم CA، تقوم ببناء القوالب الخاصة بك وتضمين جميع المكونات، أو الإعدادات، التي تريد تضمينها في شهادتك النهائية.
ثم، عندما يأتي المستخدمون أو الأجهزة لطلب شهادة من خادم CA، فإنهم يقومون بخبز شهادة في نظامهم عن طريق إخبار CA بأي قالب وصفة يتبع عند بناء تلك الشهادة. ربط الشهادات بالطعام؟ ربما يكون ذلك نوعًا من المبالغة، ولكن الوقت متأخر جدًا في الليل، ويبدو أنني جائع.
عند مرورك بالخطوات لتكوين خادم CA الخاص بك لأول مرة، يأتي مع بعض قوالب الشهادات المسبقة في الكونسول. في الواقع، أحد تلك القوالب يسمى "Computer" عادةً مُكون مسبقًا إلى درجة أنه إذا كان جهاز حاسوب العميل يصل ويطلب شهادة حاسوب من CA الجديد الخاص بك، فسيتمكن من إصدار واحدة بنجاح. ولكن، أين هو المرح في استخدام القوالب والشهادات الجاهزة؟ أفضل بناء قالب خاص بي بحيث يمكنني تحديد التكوينات والإعدادات الخاصة داخل ذلك القالب. بهذه الطريقة، أعلم بالضبط ما هي الإعدادات التي تحتويها شهاداتي التي ستصدر في النهاية لأجهزة الحاسوب الخاصة بي في الشبكة.
مرة أخرى، نحتاج إلى إطلاق الكونسول الإداري الصحيح للقيام بعملنا. داخل قائمة Tools في Server Manager، انقر فوق Certification Authority. بمجرد الدخول، يمكنك توسيع اسم سلطة الشهادات الخاصة بك ومشاهدة بعض المجلدات، بما في ذلك واحد في الأسفل يسمى Certificate Templates. إذا نقرت على هذا المجلد، سترى قائمة بالقوالب الموجودة حاليًا في خادم CA الخاص بنا. نظرًا لأننا لا نريد استخدام أحد هذه القوالب الموجودة مسبقًا، فمن المنطقي أننا نحاول النقر بزر الماوس الأيمن هنا وإنشاء قالب جديد، ولكن هذا ليس المكان الصحيح لإنشاء قالب جديد. معرفة سبب عدم بناء قوالب الشهادات الجديدة مباشرةً من هذه الشاشة قد يكون فوق مستوى راتبي لأنه يبدو سخيفًا أنها ليست كذلك. لكن، للوصول إلى الشاشة المناسبة لإدارة وتعديل قوالبنا، نحتاج إلى النقر بزر الماوس الأيمن على مجلد Certificate Templates ثم اختيار Manage.
قائمة أكثر شمولاً من القوالب، بما في ذلك عدد منها لم تكن مرئية في الشاشة الأولى. لبناء قالب جديد، ما نريده هو العثور على قالب موجود مسبقاً يعمل بشكل مشابه للغرض الذي نريد أن يخدمه قالب الشهادة الجديد الخاص بنا.
قوالب الكمبيوتر (Computer) أصبحت تصدر بشكل شائع عبر العديد من المؤسسات نظرًا لأن المزيد والمزيد من التقنيات تتطلب وجود هذه الشهادات. ومع ذلك، لا نريد استخدام هذا القالب المدمج، الذي يسمى ببساطة Computer، لأننا نريد أن يكون لقالبنا اسم أكثر تحديدًا ونريد مرونة لتعديل إعدادات القالب. ربما نريد أن تكون فترة صلاحية الشهادة أطول من الإعدادات الافتراضية أو مواصفات مشابهة. انقر بزر الماوس الأيمن على القالب المدمج Computer وانقر على Duplicate Template. هذا يفتح شاشة الخصائص لقالبنا الجديد، حيث نريد أولاً إعطاء قالبنا الجديد اسمًا فريدًا داخل علامة التبويب General.
في فصل قادم، سنناقش DirectAccess، التقنية للوصول عن بعد التي ستُستخدم في بيئتنا. يتضمن تنفيذ جيد لـ DirectAccess إصدار شهادات الأجهزة لجميع محطات العمل المتنقلة، لذلك سنخطط لاستخدام هذا القالب الجديد لتلك الأغراض. علامة التبويب General هي أيضًا المكان الذي نحدد فيه فترة صلاحية الشهادة، التي سنضبطها على عامين:
إذا كانت الشهادات التي تريد إصدارها تتطلب أي تغييرات إضافية في الإعدادات، يمكنك التنقل بين علامات التبويب المتاحة داخل الخصائص وإجراء التعديلات اللازمة. في مثالنا، سأغير إعدادًا آخر داخل علامة التبويب Subject Name. أريد أن تكون شهاداتي الجديدة تحتوي على اسم موضوع يطابق الاسم الشائع لجهاز الكمبيوتر حيث يتم إصدارها، لذلك اخترت Common name من القائمة المنسدلة:
لدينا علامة تبويب أخرى لزيارتها، وهذا شيء يجب عليك التحقق منه لكل قالب شهادة تقوم بإنشائه: علامة التبويب Security. نريد التحقق هنا للتأكد من أن أذونات الأمان لهذا القالب مُعدة بطريقة تسمح بإصدار الشهادة للمستخدمين أو أجهزة الكمبيوتر التي نرغب بها، وفي نفس الوقت التأكد من أن إعدادات أمان القالب ليست فضفاضة جدًا، مما يخلق موقفًا قد يتمكن فيه شخص ليس بحاجة إليها من الحصول على شهادة. في مثالنا، أخطط لإصدار هذه الشهادات لـ DirectAccess لجميع أجهزة الكمبيوتر في النطاق، لأن نوع شهادة الجهاز التي أنشأتها يمكن استخدامها أيضًا لمصادقات IPsec العامة، التي قد أقوم بتكوينها في يوم من الأيام.
لذا، أتأكد فقط من أن لدي Domain Computers مدرجة في علامة التبويب Security، وأنها مضبوطة على أذونات Read و Enroll، بحيث يكون لأي جهاز كمبيوتر منضم إلى نطاقي خيار طلب شهادة جديدة بناءً على قالب الجديد:
بما أن هذا كل ما أحتاجه داخل شهادتي الجديدة، أنقر ببساطة على OK، ويصبح قالب الشهادة الجديد الآن مدرجًا في قائمة القوالب على خادم CA الخاص بي.
إصدار الشهادات الجديدة (Issuing your new certificates)
التالي هو الجزء الذي يعثر عليه الكثير من الناس في محاولتهم الأولى. لدينا الآن قالب جديد تمامًا لإصداره، وقد تحققنا من أن الأذونات داخل قالب الشهادة هذا مُعدة بشكل مناسب بحيث يمكن لأي جهاز كمبيوتر عضو في نطاقنا طلب إحدى هذه الشهادات، أليس كذلك؟ لذا ستكون خطوتنا المنطقية التالية هي الانتقال إلى جهاز كمبيوتر العميل وطلب شهادة، ولكن هناك مهمة إضافية واحدة تحتاج إلى إنجازها لجعل ذلك ممكنًا.
حتى مع إنشاء القالب الجديد، فإنه لم يُنشر بعد. لذلك في الوقت الحالي، لن يعرض خادم CA قالبنا الجديد كخيار للعملاء، حتى وإن كانت أذونات الأمان مضبوطة للسماح بذلك. عملية نشر قالب الشهادة سريعة جدًا—بضعة نقرات فقط—ولكن ما لم تكن تعرف بضرورة القيام بذلك، قد يكون تجربة محبطة جدًا لأنه لا يوجد شيء في الواجهة يشير إلى هذا المتطلب.
نشر القالب
إذا كانت وحدة قوالب الشهادات الخاصة بك لا تزال مفتوحة (الوحدة التي كنا ندير منها القوالب)، أغلقها حتى تعود إلى وحدة إدارة سلطة الشهادات الرئيسية. تذكر كيف لاحظنا أن قائمة القوالب المتاحة للشهادات التي تظهر هنا أقصر بكثير؟ هذا لأن هذه القوالب الشهادات فقط هي المنشورة والمتاحة للإصدار. لإضافة قوالب إضافية إلى القائمة المنشورة، بما في ذلك القالب الجديد الخاص بنا، ببساطة انقر بزر الماوس الأيمن على مجلد Certificate Templates ثم انتقل إلى New | Certificate Template to Issue:
الآن نُعرض قائمة بالقوالب المتاحة التي لم تصدر بعد. كل ما عليك فعله هو اختيار القالب الجديد من القائمة والنقر على OK. يصبح القالب الجديد الآن مدرجًا في قائمة القوالب المنشورة للشهادات، ونحن مستعدون لطلب واحدة من جهاز كمبيوتر العميل:
إذا نظرت في هذه القائمة ولم تر القالب الجديد الخاص بك، قد تحتاج إلى اتخاذ خطوة إضافية. أحيانًا يكفي الانتظار لحل هذا السلوك، لأن السبب في بعض الأحيان يكون انتظار خوادم النطاق لإكمال التكرار. في أوقات أخرى، ستجد أنه حتى بعد الانتظار لفترة، لا يزال القالب الجديد غير موجود في هذه القائمة. في هذه الحالة، ربما تحتاج ببساطة إلى إعادة تشغيل خدمة سلطة الشهادات لجعلها تسحب معلومات القالب الجديد. لإعادة تشغيل خدمة CA، انقر بزر الماوس الأيمن على اسم CA بالقرب من أعلى وحدة إدارة سلطة الشهادات وانتقل إلى All Tasks | Stop Service. عادة ما يستغرق إيقاف هذه الخدمة ثانية أو اثنتين فقط، وبعد ذلك يمكنك على الفور النقر بزر الماوس الأيمن على اسم CA مرة أخرى، وهذه المرة انتقل إلى All Tasks | Start Service.
الآن، حاول نشر القالب الجديد مرة أخرى، ويجب أن تراه في القائمة:
طلب شهادة من MMC
تم إنشاء قالب الشهادة الجديد الخاص بنا، وقد نجحنا في نشره داخل وحدة CA، وبالتالي أصبح جاهزًا للإصدار بشكل رسمي. حان الوقت لاختبار ذلك. قم بتسجيل الدخول إلى جهاز كمبيوتر العميل العادي في شبكتك للقيام بذلك. هناك طريقتان قياسيتان لطلب شهادة جديدة على جهاز الكمبيوتر العميل. الأولى هي استخدام وحدة MMC القديمة الجيدة. على جهاز الكمبيوتر العميل، شغل MMC وأضف الإضافة لـ Certificates. عند اختيار Certificates من قائمة الإضافات المتاحة والنقر على زر Add، ستُعرض بعض الخيارات الإضافية لاختيار أي متجر شهادات تريد فتحه. يمكنك اختيار بين فتح الشهادات لـ My user account أو Service account أو Computer account. بما أننا نحاول إصدار شهادة سيتم استخدامها من قبل الكمبيوتر نفسه، أريد اختيار Computer account من هذه القائمة والنقر على Finish.
في الصفحة التالية، انقر على زر Finish مرة أخرى لاختيار الخيار الافتراضي، وهو Local computer. هذا سيقوم بربط متجر شهادات الكمبيوتر المحلي داخل MMC. في أنظمة التشغيل الحديثة مثل Windows 8 و10 ومع Windows Server من 2012 حتى 2022، يوجد اختصار MSC لفتح متجر شهادات الكمبيوتر المحلي مباشرة. ببساطة اكتب CERTLM.MSC في مربع التشغيل وسيقوم MMC تلقائيًا بتشغيل وإنشاء هذا الربط لك.
عندما تقوم بتثبيت الشهادات على كمبيوتر أو خادم، هذا هو المكان الذي ترغب عمومًا في زيارته. داخل هذا المتجر للشهادات، الموقع المحدد الذي نريد تثبيت شهادتنا فيه هو المجلد Personal. هذا صحيح سواء كنت تقوم بتثبيت شهادة جهاز كما نفعل هنا أو تثبيت شهادة SSL على خادم ويب. مجلد الشهادات الشخصية للكمبيوتر المحلي هو الموقع الصحيح لكلا النوعين من الشهادات. إذا نقرت على Personal، يمكنك أن ترى أننا حاليًا لا نملك أي شيء مدرج هناك:
لطلب شهادة جديدة من خادم CA الخاص بنا، ببساطة انقر بزر الماوس الأيمن على مجلد Personal، ثم انتقل إلى All Tasks | Request New Certificate.... القيام بذلك يفتح معالجًا؛ انقر على زر Next مرة واحدة.
الآن تصادف الشاشة الموضحة في الشكل 6.12، التي تبدو وكأن شيئًا ما يحتاج إلى القيام به؛ لكن في معظم الحالات، لأننا نطلب شهادة على إحدى أجهزة الكمبيوتر المتصلة بالنطاق لدينا، لا نحتاج فعليًا إلى القيام بأي شيء على الشاشة المقدمة في الصورة التالية.
ببساطة انقر على Next مرة أخرى وسيقوم المعالج باستعلام Active Directory لعرض جميع قوالب الشهادات المتاحة للإصدار:
التالي، تُعرض شاشة Request Certificates، وهي قائمة بالقوالب المتاحة لنا. هذه القائمة ديناميكية؛ تعتمد على الكمبيوتر الذي تسجل الدخول إليه وأذونات حساب المستخدم الخاص بك. تذكر عندما قمنا بإعداد علامة التبويب Security لقالب الشهادة الجديد؟ هناك حيث حددنا من وماذا يمكنه تنزيل الشهادات الجديدة بناءً على هذا القالب، وإذا كنت قد حددت مجموعة أكثر خصوصية من أجهزة الكمبيوتر في النطاق، فمن المحتمل ألا يظهر قالب DirectAccess Machine الجديد الخاص بي في هذه القائمة. ومع ذلك، بما أنني فتحت هذا القالب ليكون قابلًا للإصدار لأي كمبيوتر داخل نطاقنا، يمكنني رؤيته واختياره هنا:
إذا لم ترَ القالب الجديد في القائمة، انقر على مربع الاختيار Show all templates. هذا سيعطيك قائمة كاملة بجميع القوالب على خادم CA، ووصف لكل واحد مع السبب الذي يجعله غير متاح للإصدار حاليًا.
ضع علامة بجانب أي شهادات تريدها وانقر على Enroll. الآن يدور الكونسول لبضع ثوانٍ بينما يعالج خادم CA طلبك ويصدر شهادة جديدة مخصصة لجهاز الكمبيوتر الخاص بك والمعايير التي وضعناها داخل قالب الشهادة. بمجرد الانتهاء، يمكنك أن ترى أن شهادة الجهاز الجديدة موجودة الآن داخل Personal | Certificates في MMC. إذا نقرت مرتين على الشهادة، يمكنك التحقق من خصائصها لضمان وجود جميع الإعدادات التي أردتها في هذه الشهادة:
طلب شهادة من واجهة الويب
عادةً ما أستخدم MMC لطلب الشهادات كلما أمكن ذلك، ولكن في معظم الحالات، هناك منصة أخرى يمكنك من خلالها طلب وإصدار الشهادات. أقول في معظم الحالات لأن وجود هذا الخيار يعتمد على كيفية بناء خادم CA في المقام الأول. عندما قمت بتثبيت دور AD CS، تأكدت من اختيار الخيارات لكل من Certification Authority وCertification Authority Web Enrollment.
هذا الخيار الثاني مهم للجزء التالي من النص. بدون جزء التسجيل عبر الويب من الدور، لن يكون لدينا واجهة ويب تعمل على خادم CA الخاص بنا، ولن يكون هذا الجزء متاحًا لنا.
إذا لم يكن لدى خادم CA الخاص بك التسجيل عبر الويب مفعلاً، يمكنك زيارة صفحة تثبيت الدور في Server Manager وإضافته إلى الدور الموجود:
بمجرد تثبيت Certification Authority Web Enrollment على خادم CA الخاص بك، يوجد موقع ويب يعمل على ذلك الخادم يمكنك الوصول إليه عبر المتصفح من داخل شبكتك. وجود هذا الموقع مفيد إذا كنت بحاجة إلى أن يتمكن المستخدمون من إصدار شهاداتهم الخاصة لسبب ما؛ سيكون من الأسهل بكثير إعطائهم وثائق أو تدريبهم على عملية طلب شهادة من موقع ويب بدلاً من توقع أن يتنقلوا في وحدة MMC. بالإضافة إلى ذلك، إذا كنت تحاول طلب شهادات من أجهزة كمبيوتر ليست ضمن نفس الشبكة مثل خادم CA، قد يكون استخدام MMC صعبًا. على سبيل المثال، إذا كنت بحاجة إلى أن يتمكن مستخدم في المنزل من طلب شهادة جديدة، بدون نفق VPN كامل، فإن وحدة MMC على الأرجح لن تتمكن من الاتصال بخادم CA لتنزيل تلك الشهادة. ولكن بما أن لدينا موقع التسجيل للشهادات هذا يعمل، يمكنك نشر هذا الموقع خارجيًا كما تفعل مع أي موقع آخر في شبكتك، باستخدام وكيل عكسي أو جدار حماية للحفاظ على أمان تلك الحركة وتقديم المستخدمين القدرة على زيارة هذا الموقع وطلب الشهادات من أي مكان هم فيه.
للوصول إلى هذا الموقع، دعونا نستخدم جهاز الكمبيوتر العميل العادي مرة أخرى. هذه المرة، بدلاً من فتح MMC، سأقوم ببساطة بفتح Edge، أو أي متصفح آخر، وتسجيل الدخول إلى الموقع الذي يعمل على https://<CASERVER>/certsrv.
بالنسبة لبيئتي المحددة، يكون عنوان الويب الدقيق هو https://CA1/certsrv:
يبدأ عنوان URL الخاص بنا بـ HTTPS. يجب أن يتم تكوين هذا الموقع ليعمل على HTTPS بدلاً من HTTP العادي للسماح للموقع بطلب الشهادات. لا يسمح بإصدار الشهادات عبر HTTP لأن تلك المعلومات ستسافر بتنسيق نص واضح إلى العميل. تفعيل الموقع على خادم CA لـ HTTPS يضمن أن الشهادة المصدرة ستكون مشفرة أثناء انتقالها.
النقر على رابط Request a certificate يجلبك إلى معالج يمكننا من خلاله طلب شهادة جديدة من خادم CA. عندما تطلب من المستخدمين التنقل عبر واجهة الويب هذه، يكون ذلك عادةً لغرض شهادة مستخدم، حيث لدينا بعض الطرق السهلة لتوزيع شهادات مستوى الكمبيوتر تلقائيًا دون أي تفاعل من المستخدم. سنناقش ذلك في لحظة. ومع ذلك، في هذا المثال، بما أننا نطلب من مستخدمينا تسجيل الدخول هنا وطلب شهادة مستخدم جديدة، في الصفحة التالية، سأختار ذلك الرابط:
إذا لم تكن مهتمًا بشهادة مستخدم وأردت استخدام واجهة الويب لطلب شهادة جهاز، أو شهادة خادم ويب، أو أي نوع آخر من الشهادات، يمكنك بدلاً من ذلك اختيار رابط advanced certificate request واتباع التعليمات للقيام بذلك.
التالي، انقر على زر Submit، وبمجرد إنشاء الشهادة، سترى رابطًا يسمح لك بتثبيت هذه الشهادة. انقر على ذلك الرابط، وستكون الشهادة الجديدة التي تم إنشاؤها للتو مثبتة على جهاز الكمبيوتر الخاص بك. يمكنك أن ترى في الصورة التالية الرد الذي أعطانيه الموقع، مشيرًا إلى نجاح التثبيت، ويمكنك أيضًا أن ترى أنني فتحت شهادات المستخدم الحالي داخل MMC لرؤية والتحقق من أن الشهادة موجودة بالفعل:
في هذا القسم، أثبتنا أن خادم CA الخاص بنا يعمل؛ تابع الصفحات القليلة التالية بينما ننتقل بإصدار الشهادات إلى المستوى التالي.
إنشاء سياسة التسجيل التلقائي (Creating an auto-enrollment policy)
خادم الـ Certification Authority لدينا تم تكوينه وهو يعمل، ويمكننا بنجاح إصدار الشهادات لأجهزة الكمبيوتر العميلة. رائع! الآن دعونا نتظاهر بأن لدينا مشروعًا جديدًا على طاولتنا، وإحدى متطلبات هذا المشروع هو أن جميع أجهزة الكمبيوتر في شبكتنا تحتاج إلى نسخة من هذه الشهادة الجديدة التي أنشأناها للجهاز. أوه لا، يبدو أن هذا كثير من العمل. على الرغم من أن عملية طلب إحدى هذه الشهادات سريعة جدًا - فقط بضعة ثوانٍ على كل محطة عمل - إذا كان علينا القيام بذلك فرديًا على ألف جهاز، فإننا نتحدث عن فترة زمنية كبيرة يجب قضاؤها في هذه العملية. علاوة على ذلك، في كثير من الحالات، الشهادات التي تصدرها ستكون صالحة فقط لمدة عام واحد. هل هذا يعني أننا نواجه كمية كبيرة من العمل الإداري كل عام لإعادة إصدار هذه الشهادات عند انتهاء صلاحيتها؟ بالتأكيد لا!
دعونا نكتشف كيفية استخدام Group Policy لإنشاء GPO (Group Policy Object) الذي سيقوم بالتسجيل التلقائي لشهاداتنا الجديدة على جميع أجهزة الكمبيوتر في الشبكة، وأيضًا، بينما نحن هنا، نكوّنها بحيث عندما يقترب تاريخ انتهاء صلاحية الشهادة، سيتم تجديد الشهادة تلقائيًا في الفترات المناسبة.
دعونا ندخل إلى وحدة التحكم في إدارة الـ Certification Authority على خادم CA الخاص بنا ونلقي نظرة داخل مجلد الشهادات الصادرة. أريد فقط النظر هنا لدقيقة واحدة من أجل معرفة عدد الشهادات التي قمنا بإصدارها حتى الآن في شبكتنا. يبدو أن هناك عدد قليل فقط منها، لذلك نأمل أنه بمجرد انتهائنا من تكوين سياستنا، إذا قمنا بذلك بشكل صحيح وأخذت السياسة مفعولها تلقائيًا، يجب أن نرى المزيد من الشهادات تبدأ في الظهور في هذه القائمة:
سجل الدخول إلى خادم وحدة تحكم النطاق، ثم افتح وحدة التحكم في إدارة Group Policy. لقد قمت بإنشاء GPO جديد يسمى Enable Certificate Auto-enrollment، وأنا الآن أقوم بتحرير هذا GPO للعثور على الإعدادات التي أحتاج إلى تكوينها لجعل هذا GPO يقوم بعمله:
الإعدادات داخل هذا GPO التي نريد تكوينها تقع في
Computer Configuration | Policies | Windows Settings | Security Settings | Public Key Policies | Certificate Services Client - Auto-Enrollment.
انقر نقرًا مزدوجًا على هذا الإعداد لعرض خصائصه. كل ما نحتاج إلى القيام به هو تغيير Configuration Model إلى Enabled، والتأكد من تحديد المربع الذي يقول Renew expired certificates, update pending certificates, and remove revoked certificates. كما يجب تحديد المربع لـ Update certificates that use certificate templates.
هذه الإعدادات ستضمن أن التجديد التلقائي يحدث تلقائيًا عندما تبدأ الشهادات في مواجهة تواريخ انتهاء صلاحيتها على مدار السنوات القليلة القادمة:
ما هو الشيء الأخير الذي نحتاج إلى القيام به على GPO لجعله مفعولاً؟ إنشاء رابط بحيث يبدأ تطبيقه! بالنسبة لبيئتك الخاصة، من المحتمل أن تقوم بإنشاء رابط أكثر تحديدًا لـ OU معين، كما ناقشنا في الفصل السابق؛ لكن بالنسبة لمختبري، أريد أن تنطبق هذه الشهادات على كل جهاز مرتبط بالنطاق، لذلك سأربط GPO الجديد في جذر النطاق بحيث ينطبق على جميع العملاء والخوادم.
الآن بعد أن تم إنشاء GPO وتكوينه، وربطناه بالنطاق، كنت أعتقد أنه يجب أن يتم إصدار بعض الشهادات الجديدة ويجب أن تظهر المزيد من الأسماء داخل مجلد الشهادات الصادرة في وحدة التحكم في شهادة التصديق الخاصة بي. ولكن لم يظهر شيء. انتظر لحظة، في GPO الخاص بنا، لم نحدد حقًا أي شيء خاص بقالب شهادة DirectAccess machine، أليس كذلك؟ هل يمكن أن يكون هذا هو المشكلة؟ لا، لم يكن هناك حتى خيار لتحديد القالب الذي أريد إعداده للتسجيل التلقائي. إذاً ما المشكلة؟
عندما تقوم بتمكين التسجيل التلقائي في Group Policy، فإنك ببساطة تقوم بتشغيل مفتاح تشغيل/إيقاف وتشغيله لكل قالب شهادة. لذا الآن بعد أن لدينا سياسة تم تكوينها لتمكين التسجيل التلقائي وتم ربطها بالنطاق، وبالتالي جعلها مفعولاً، تم تمكين التسجيل التلقائي على كل جهاز مرتبط بالنطاق، لكل قالب شهادة منشور على خادم CA لدينا. ومع ذلك، لا أحد منهم يقوم بإصدار نفسه لأجهزة الكمبيوتر الخاصة بي. هذا لأنني بحاجة إلى ضبط إعدادات الأمان على قالب شهادة DirectAccess Machine الجديد الخاص بي. حاليًا، لديّه مُعد بحيث أن جميع أجهزة الكمبيوتر في النطاق لديها أذونات Enroll، ولكن إذا تذكرت علامة التبويب Security داخل خصائص قالب الشهادة، كان هناك معرف أمني إضافي يسمى Autoenroll. كل قالب شهادة لديه إذن Autoenroll، وهو غير مسموح به بشكل افتراضي. الآن بعد أن تم تشغيل مفتاح التسجيل التلقائي في نطاقنا، نحتاج إلى تمكين إذن Autoenroll على أي قالب نريد أن يبدأ في توزيع نفسه. بمجرد تمكين هذا الإذن، ستبدأ هذه الشهادات في الانتشار في شبكتنا.
توجه إلى قسم إدارة الشهادات على خادم CA الخاص بك وافتح خصائص القالب الجديد الخاص بك، ثم انتقل إلى علامة التبويب Security واسمح بأذونات Autoenroll لمجموعة Domain Computers.
يجب أن يُخبر هذا الـ CA ببدء توزيع هذه الشهادات وفقًا لذلك:
وبالتأكيد، إذا تركت بيئتي لبعض الوقت، مما يمنح Active Directory وGroup Policy فرصة لتحديث جميع أجهزتي، الآن أرى المزيد من الشهادات تم إصدارها من خادم CA الخاص بي:
لإصدار الشهادات تلقائيًا من أي قالب تنشئه، ببساطة قم بنشر القالب وتأكد من تكوين أذونات التسجيل التلقائي المناسبة على هذا القالب. بمجرد أن تكون سياسة التسجيل التلقائي GPO في مكانها على هؤلاء العملاء، سيصلون إلى خادم CA الخاص بك ويطلبون شهادات من أي قالب لديهم إذن للحصول على شهادة منه. في المستقبل، عندما تقترب الشهادة من انتهاء صلاحيتها ويحتاج الجهاز إلى نسخة جديدة، ستصدر سياسة التسجيل التلقائي واحدة جديدة قبل تاريخ انتهاء الصلاحية، بناءً على الطوابع الزمنية التي حددتها داخل GPO.
يمكن أن يأخذ التسجيل التلقائي للشهادات ما يكون عادة عبئًا إداريًا هائلًا ويحولها إلى عملية مؤتمتة بالكامل!
النهاية
نكون هنا انتهينا من الجزء 2 من الفصل 6 تماما من شهادة MCSA المقدمة من Microsoft الأن نغوص في الأعماق
و لا بد وانت تقرا ان تكون مركز جيدا لكل معلومة ومعك ورقة وقلم , لانك بالتاكيد ستحتاجها
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم Sparrow اتمنى ان تدعوا لي وتتذكروني في الخير دوما