Beşinci bölümde, Özel Anahtar Arşivi ve Kurtarma konusunu ele alacağız. Yedekleme çok önemlidir ve bunu bu mimaride uygulamalıyız. Ayrıca Özel Anahtar Arşivini etkinleştirmek için Sertifika Şablonlarını da keşfedeceğiz.
Hadi başlayalım. Anlaşılmayan bir şey varsa, lütfen bu yazı dizisinin önceki dört bölümüne bakın.
CA sunucusunda certsrv.msc dosyasını açın, sunucuyu genişletin, Sertifika Şablonları’nı sağ tıklatın ve Yönet’i seçin.
Sertifika Şablonlarını içeren yeni bir pencere açılacaktır. Anahtar Kurtarma Aracısı’nı seçin, üzerine sağ tıklayın ve Şablonu Çoğalt’ı seçin.
Yeni bir pencere açılacaktır. Uyumluluk sekmesinde, Uyumluluk Ayarları altında Sertifika Yetkilisi için Windows Server 2016’yı ve Sertifika alıcısı için Windows 10/Windows Server 2016’yı seçin.
Genel sekmesinde şablon adını girin, Geçerlilik süresini 1 yıl olarak ayarlayın ve Active Directory’de sertifika yayınla seçeneğini belirleyin.
Issuance Requirements sekmesinde, CA sertifika yöneticisi onayının işaretini kaldırın.
Kriptografi sekmesinde Anahtar Depolama Sağlayıcısı, RSA, 4096 ve SHA 256’nın ayarlandığından emin olun.
Güvenlik sekmesinde, Kimliği Doğrulanmış Kullanıcılar Okuma iznine, Etki Alanı Yöneticileri Okuma, Yazma ve Kayıt izinlerine ve Kurumsal Yöneticiler Okuma, Yazma ve Kayıt izinlerine sahip olmalıdır. Kapatmak için Uygula ve Tamam’a tıklayın.
Artık Sertifika Şablonlarını kapatabilirsiniz.
Sertifika Yetkilisi konsolunda, Sertifika Şablonları klasörüne sağ tıklayın ve Yeni – Yayınlanacak Sertifika Şablonu’nu seçin.
Yeni oluşturduğunuz şablonu seçin ve Tamam düğmesine basın.
Şablon şimdi Sertifika Şablonları penceresinde görünecektir. Sertifika Yetkilisi konsolunu kapatabilirsiniz.
Anahtar Kurtarma Aracı Sertifikasını Dağıtma
Şimdi Key Recovery Agent sertifikasını talep edeceğiz. CA’daki Geçerli Kullanıcı Hesabı için certmgr.msc adresine gidin. Devam etmeden önce CA’da Etki Alanı Yöneticisi olarak oturum açtığınızdan emin olun. Bu, canlıya alınmış ortamlarda tavsiye edilmez; Anahtar Kurtarma için özel bir hesap kullanılmalıdır.
Kişisel’e sağ tıklayın, Tüm Görevler’e gidin ve Yeni Sertifika İste’yi seçin.
Active Directory Kayıt İlkesi seçilmelidir. İleri’ye tıklayın. Key Recovery Agent Pwoks.local (oluşturduğunuz şablon) öğesini seçin ve Kaydol’a tıklayın.
Bekleyin ve ardından Son’a tıklayın. Artık sertifikaya sahip olmalısınız.
Anahtar Kurtarma için Sertifika Yetkilisini Yapılandırma
CA sunucusunda Sertifika Yetkilisi’ni (certsrv.msc) açın. Sunucuya sağ tıklayın, Özellikler’i seçin, Kurtarma Aracıları sekmesine gidin ve numarayı 1 olarak bırakarak Anahtarı arşivle’yi seçin.
Bu bölüm de burada sona eriyor. İşimiz bitti.
Anahtar görünecek ancak henüz yüklenmeyecektir. Uygula’ya tıklayın ve Active Directory Sertifika Hizmetleri’ni yeniden başlatmanız istenecektir. Evet’e tıklayın. Durum yüklendi olarak değişecektir. Tamam düğmesine basın.
AD CS’yi yeniden başlattıktan sonra anahtar artık geçerlidir. Tamam düğmesine basın.
Bu bölüm de burada sona eriyor.