نشر البنية التحتية للمفتاح العام للوصول عن بُعد
يمكن لشركة Contoso استخدام الشهادات الرقمية للتحقق من هوية كل طرف مشارك في معاملة إلكترونية ومصادقتها. تساعد الشهادات الرقمية أيضا في تأسيس الثقة بين أجهزة الكمبيوتر والتطبيقات المقابلة التي تتم استضافتها على خوادم التطبيقات. يستخدم الوصول عن بعد الشهادات للتحقق من هوية الخوادم وتوفير التشفير. يمكن ل Contoso أيضا استخدام الشهادات للتحقق من هوية المستخدمين أو أجهزة الكمبيوتر التي تسجل الدخول للوصول عن بعد.
طرق الحصول على الشهادات
في معظم الحالات، تحصل على شهادات من مرجع مصدق (CA). الاعتبار الأكثر أهمية لمرجع مصدق هو الثقة. إذا تم إصدار شهادة من قبل مرجع مصدق موثوق به، فإن هذه الشهادة موثوق بها ويمكن استخدامها للمصادقة. إذا لم يكن المرجع المصدق موثوقا به، فلا يمكن استخدام الشهادات الصادرة عن المرجع المصدق هذا للمصادقة.
للحصول على الشهادات، يمكنك:
- إنشاء المرجع المصدق الخاص بك باستخدام Windows Server. يتم الوثوق تلقائيا بالشهادات الصادرة عن مرجع مصدق خاص من قبل عملاء وخوادم Windows المنضمة إلى المجال. ومع ذلك، لا يتم الوثوق تلقائيا بالشهادات الصادرة عن مرجع مصدق داخلي من قبل أي أجهزة غير مرتبطة بالمجال.
- شراء شهادات من مرجع مصدق عام. يتم الوثوق تلقائيا بالشهادات الصادرة عن مرجع مصدق عام من قبل جميع الأجهزة تقريبا سواء كانت مرتبطة بالمجال أم لا. لا يتضمن Windows أدوات لنشر الشهادات تلقائيا من مرجع مصدق عام للمستخدمين أو أجهزة الكمبيوتر.
- إنشاء شهادات موقعة ذاتيا داخل بعض التطبيقات. بشكل افتراضي، يتم الوثوق بهذه الشهادات فقط من قبل الخادم المصدر وليس من قبل أجهزة الكمبيوتر الأخرى في المؤسسة.
- إنشاء شهادات موقعة ذاتيا باستخدام PowerShell. يمكنك استخدام
New-SelfSignedCertificatecmdlet لإنشاء شهادة موقعة ذاتيا جديدة.
إشعار
يمكنك استخدام الشهادات الموقعة ذاتيا في المؤسسات الصغيرة والمتوسطة الحجم التي تستخدم DirectAccess التي تم تكوينها باستخدام معالج بدء الاستخدام، والذي يوفر إعدادا وتكوينا سهلا.
الاعتبارات عند تخطيط PKI
لتحديد ما إذا كان يجب عليك تنفيذ PKI داخلي للوصول عن بعد، تحتاج إلى تخطيط كيفية استخدام الشهادات. إذا كنت تستخدم الشهادات على عدد قليل من الخوادم فقط، فإن تكلفة استخدام مرجع مصدق عام منخفضة. تعد الشهادات من المرجع المصدق العام مفيدة أيضا إذا كنت تتوقع أن تصل الأجهزة غير المرتبطة بالمجال إلى الخوادم.
المرجع المصدق الخاص مفيد في المقام الأول للوصول عن بعد عند إصدار شهادات لأجهزة العميل والمستخدمين الفرديين للمصادقة. على سبيل المثال، من الشائع طلب شهادة كمبيوتر صالحة للسماح بالوصول إلى VPN كمستوى ثان من المصادقة يتجاوز اسم المستخدم وكلمة المرور. إذا كنت تقوم بإصدار شهادات إلى العديد من أجهزة الكمبيوتر، فإن التسجيل التلقائي الذي يوفره المرجع المصدق الخاص مهم. هناك أيضا وفورات كبيرة في التكاليف لأنك لا تحتاج إلى دفع ثمن الشهادات الصادرة عن مرجع مصدق خاص.
يلخص الجدول التالي مزايا وعيوب الشهادات الصادرة عن المراجع المصدقة الخاصة والعامة.
| نوع المرجع المصدق | مزايا | أضرار |
|---|---|---|
| المرجع المصدق الخاص | يوفر المرجع المصدق الخاص تحكما أكبر في إدارة الشهادات وله تكلفة أقل عند مقارنته بمرجع مصدق عام. لا توجد تكلفة لكل شهادة. لديك أيضا خيار استخدام القوالب المخصصة والتسجيل التلقائي. | بشكل افتراضي، لا يثق العملاء الخارجيون بالشهادات حسب المراجع المصدقة الخاصة (مستعرضات الويب وأنظمة التشغيل) وتتطلب إدارة أكبر. |
| المرجع المصدق العام | الشهادة الصادرة عن مرجع مصدق عام موثوق بها من قبل العديد من العملاء الخارجيين (مستعرضات الويب وأنظمة التشغيل) وتتطلب الحد الأدنى من الإدارة. | تكون التكلفة أعلى مقارنة بمرجع مصدق خاص. تستند التكلفة إلى كل شهادة. كما أن شراء الشهادات أبطأ. |