Windows Server 2022’de Grup İlkesi Aracılığıyla Kök ve Alt Sertifikaların Dağıtımını Yapılandırma
İlk iki bölümde, Windows Server 2022 üzerinde İki Katmanlı PKI altyapımızı başarıyla kurduk. Bu üçüncü bölümde, Grup İlkesi aracılığıyla kök ve alt sertifikaların dağıtımını yapılandıracağız.
İlk olarak, RootCA’dan gelen kök sertifikanın (RootCA_Pwoks-RootCA-CA.crt) C:\CertData ve C:\Windows\System32\certsrv\CertEnroll içinde bulunduğundan emin olun. Benzer şekilde, SUBCA’dan gelen alt CA sertifikası (RootCA_Pwoks-RootCA-CA.crt) C:\Windows\System32\certsrv\CertEnroll içinde olmalıdır.
Sonrasında, SubCA sunucusunda C:\Certs adında yeni bir klasör oluşturun. RootCA_Pwoks-RootCA-CA.crt ve SubCA.pwoks.local_pwoks-SUBCA-CA.crt dosyalarını bu klasöre kopyalayın. Daha kolay anlaşılması için RootCA_Pwoks-RootCA-CA.crt dosyasını RootCA.crt olarak ve SubCA.pwoks.local_pwoks-SUBCA-CA.crt dosyasını SUBCA.crt olarak yeniden adlandırın.
Ardından, C:\Certs içeriğini SUBCA’dan etki alanı denetleyicisi DC’ye kopyalayın. DC’de bir C:\Certs klasörü oluşturun ve içeriği SUBCA’dan kopyalayın. RootCA’nın 2034’e kadar (10 yıl) ve SUBCA’nın 2029’a kadar (5 yıl) geçerli olduğunu doğrulamak için C:\Certs içindeki her iki sertifikayı da çift tıklatın.
Birden fazla etki alanı denetleyiciniz varsa, her birine C:\Certs dizinini kopyalayın ve sertifikaları dağıtın.
DC’de Active Directory Kullanıcıları ve Bilgisayarları’nı açın ve iki yeni OU oluşturun: Sunucular ve DomainPC’ler.
DomainPCs OU’sunu Active Directory Kullanıcıları ve Bilgisayarları’na ekleyin. Client adında bir Windows 11 VM yükleyin, etki alanına ekleyin ve test için Computers OU’dan DomainPCs OU’ya taşıyın.
RootCA ve Alt CA sertifikalarını Grup İlkesi kullanarak etki alanı bilgisayarlarına dağıtma
Sertifikaları Grup İlkesi aracılığıyla dağıtmak için, arama çubuğuna gpmc.msc yazarak DC’de Grup İlkesi Yönetimi’ni açın. DomainPCs OU’sunu bulun, sağ tıklayın ve “Create a GPO in this domain, and Link it here…” seçeneğini seçin.
Yeni GPO’ya PKICerts adını verin ve Tamam’ı tıklatın. DomainPCs OU’sunu genişletin, PKICerts‘a sağ tıklayın ve Düzenle’yi seçin.
Grup İlkesi Yönetimi Düzenleyicisi’nde Bilgisayar Yapılandırması (Computer Configuration) – İlkeler (Policies) – Windows Ayarları (Windows Settings) – Güvenlik Ayarları (Security Settings) ve Public Key Policies’i genişletin. Güvenilen Kök Sertifika Yetkilileri’ne sağ tıklayın ve İçe Aktar’ı seçin.
Sertifika Alma Sihirbazı’nda C:\Certs’e gidin ve RootCA.crt’yi seçin.
Trusted Root Certification Authorities’in seçili olduğundan emin olun, ardından İleri ve Son’a tıklayın. Intermediate Certification Authorities’e sağ tıklayın ve İçe Aktar’ı seçin.
SUBCA.crt öğesini seçin, Intermediate Certification Authorities öğesinin seçili olduğundan emin olun, ardından İleri ve Son öğelerine tıklayın.
Sertifika dağıtımını doğrulamak için, İstemci’de yönetici olarak CMD’yi açın. Ve aşağıdaki kodu çalıştırın:
gpupdate.exe /force
MMC’yi açın, Yerel Bilgisayar Sertifikaları ek bileşenini ekleyin ve RootCA’nın Güvenilen Kök Sertifika Yetkilileri’nde olduğunu doğrulayın.
ve SUBCA Orta Seviye Sertifikasyon Yetkililerindedir. Yinelenen sertifikalar bir den fazla kopyala şeklinde) görünebilir, bu normaldir.
Kök Sertifikayı Etki Alanı Denetleyicisine Dağıtma
Bunu iki şekilde yapabiliriz. İlk yöntem, oluşturduğumuz PKICerts politikasını Domain Controllers OU’ya bağlamaktır. Ancak biz RootCA.crt ve SubCA.crt’yi manuel olarak yüklemeyi içeren ikinci yöntemi kullanacağız.
DC’de C:\Certs’i açın, RootCA.crt’ye çift tıklayın ve Sertifikayı Yükle’yi seçin.
Yerel Makine’yi seçin, ardından “Tüm sertifikaları aşağıdaki depoya yerleştir” seçeneğini belirleyin ve Güvenilen Kök Sertifika Yetkilileri’ni seçin.
İleri ve Son’a tıklayın. Bu bölüm için gerekli adımlar tamamlanır.
İsteğe Bağlı – Linux, Android ve iOS Makineleri için Sertifikalara Erişimi Etkinleştirin
Bu adım isteğe bağlıdır ancak ortamınızda Linux, Android veya iOS cihazlarınız varsa kullanışlıdır.
Bu kısmı, SubCA sunucusunda gerçekleştireceğiz. IIS’de yeni bir sanal dizin oluşturmamız gerekiyor.
SubCA sunucusunda, IIS Yöneticisi’ni başlatın, Varsayılan Web Sitesi’ne sağ tıklayın ve Sanal Dizin Ekle’yi seçin.
Certs adında bir takma ad oluşturun ve bunu fiziksel yol olarak C:\Certs dizinine yönlendirin.
Varsayılan Web Sitesi altındaki Certs dizinine tıklayın, Dizin Tarama’yı seçin ve etkinleştirin. IIS’yi yeniden başlatın. Şimdi, kurduğunuz ve etki alanına eklediğiniz Linux istemcisine gidip, http://subca.pwoks.local/certs adresine girerek sertifikalara erişebilirsiniz.
Bu adımlarla, RootCA ve SubCA sertifikalarının etki alanı ve farklı platformlar genelinde dağıtımını kolaylaştırarak altyapımızı daha dayanıklı hale getirdik ve hayatımızı kolaylaştırdık.