Sebelumnya

Berikutnya

Merancang dan menerapkan AD CS

Selesai

Sangat penting untuk memastikan bahwa Anda merancang OS internal secara optimal. Desain Anda akan memiliki implikasi yang signifikan terhadap aspek keamanan dan operasional lingkungan PKI.

Merancang hierarki berbasis AD CS

Sebelum menerapkan AD CS, Anda harus merancang hierarki OS terlebih dahulu. Sebagai bagian dari desain, Anda harus memutuskan berapa banyak tingkat OS yang Anda butuhkan dan apa tujuan OS di setiap tingkat. Kami tidak menyarankan membangun hierarki OS lebih dalam dari tiga tingkat, kecuali jika berada di lingkungan yang kompleks, sangat aman, atau terdistribusi. Paling umum, hierarki OS memiliki dua tingkat, dengan CA akar di tingkat atas dan subordinat, CA penerbit di tingkat kedua. Biasanya, Anda menggunakan CA akar untuk membangun hierarki OS. Dalam kasus seperti itu, CA akar tetap offline saat Anda mengandalkan CA subordinat untuk menerbitkan dan mengelola sertifikat.

Catatan

Hierarki OS bertingkat tidak wajib. Untuk lingkungan yang lebih kecil dan tidak terlalu kompleks, Anda hanya dapat menerapkan CA akar. Dalam kasus seperti itu, CA akar juga menyediakan penerbitan sertifikat dan fungsionalitas manajemen.

Beberapa desain OS yang lebih kompleks meliputi:

• Hierarki OS dengan OS kebijakan. OS kebijakan adalah OS subordinat yang berada langsung di bawah CA akar dan di atas OS subordinat lainnya dalam hierarki OS. Anda menggunakan OS kebijakan untuk menerbitkan sertifikat OS ke OS subordinat. Sertifikat OS mencerminkan kebijakan dan prosedur yang diterapkan organisasi untuk mengamankan PKI, proses yang memvalidasi identitas pemegang sertifikat, dan proses yang menerapkan prosedur yang mengelola sertifikat. CA kebijakan hanya mengeluarkan sertifikat ke CA lain. OS yang menerima sertifikat ini harus menjunjung tinggi dan menerapkan kebijakan yang ditetapkan oleh OS kebijakan. Menggunakan OS kebijakan tidak wajib kecuali divisi, sektor, atau lokasi yang berbeda dari organisasi Anda memerlukan kebijakan dan prosedur penerbitan yang berbeda. Misalnya, organisasi dapat menerapkan satu OS kebijakan untuk semua sertifikat yang diterbitkan secara internal kepada karyawan dan OS kebijakan lainnya untuk semua sertifikat yang diterbitkan untuk kontraktor.
• Hierarki OS dengan kepercayaan lintas sertifikasi. Dalam skenario ini, dua hierarki OS independen beroperasi saat OS dalam satu hierarki menerbitkan sertifikat OS lintas sertifikat ke OS di hierarki lain. Ketika Anda melakukan ini, Anda membangun kepercayaan antara hierarki OS yang berbeda.

OS tunggal vs. perusahaan

Saat menggunakan AD CS, Anda dapat menyebarkan dua jenis OS: tunggal dan perusahaan. Jenis OS ini bukan tentang hierarki, melainkan tentang fungsionalitas dan integrasi dengan Active Directory Domain Services. OS tunggal tidak bergantung pada Active Directory Domain Services. OS perusahaan memerlukan Active Directory Domain Services, untuk menyediakan fungsionalitas tambahan, seperti pendaftaran otomatis. Pendaftaran otomatis memungkinkan pengguna domain dan perangkat yang digabungkan dengan domain mendaftar secara otomatis untuk sertifikat setelah Anda mengaktifkan pendaftaran sertifikat otomatis melalui Kebijakan Grup.

Tabel berikut merinci perbedaan paling signifikan antara OS mandiri dan perusahaan.

Karakteristik

CA Mandiri

CA Perusahaan

Penggunaan umum

Anda biasanya menggunakan CA tunggal untuk CA offline.

Anda biasanya menggunakan OS perusahaan untuk menerbitkan sertifikat kepada pengguna, komputer, dan layanan. Anda tidak dapat menggunakannya sebagai OS offline.

Dependensi Active Directory Domain Services

OS tunggal tidak bergantung pada Active Directory Domain Services.

OS perusahaan bergantung pada Active Directory Domain Services sebagai database konfigurasi dan pendaftarannya. OS perusahaan juga menggunakan Active Directory Domain Services untuk menerbitkan sertifikat dan metadatanya.

Metode permintaan sertifikat

Pengguna dapat meminta sertifikat dari CA tunggal hanya dengan menggunakan prosedur manual atau pendaftaran web.

Pengguna dapat meminta sertifikat dari OS perusahaan dengan menggunakan pendaftaran manual, pendaftaran web, pendaftaran otomatis, pendaftaran atas nama, dan layanan web

Metode penerbitan sertifikat

Administrator OS harus menyetujui semua permintaan secara manual.

OS dapat menerbitkan sertifikat atau menolak penerbitan sertifikat secara otomatis berdasarkan konfigurasi kustom yang ditentukan administrator OS.

CA akar perusahaan adalah pilihan paling umum saat menyebarkan OS tunggal di lingkungan Active Directory Domain Services. Jika menyebarkan hierarki dua tingkat dengan OS subordinat di lingkungan Active Directory Domain Services, maka Anda harus mempertimbangkan untuk menggunakan CA akar tunggal sebagai CA akar. Hal ini memungkinkan Anda menjadikan Active Directory Domain Services offline tanpa memengaruhi proses pengelolaan sertifikat untuk pengguna domain dan perangkat yang digabungkan dengan domain.

Pertimbangan lain adalah jenis penginstalan sistem operasi. Skenario penginstalan Desktop Experience dan Server Core mendukung AD CS. Server Core meminimalkan potensi kemunculan peretas berbahaya dan biaya pemeliharaan sistem operasi, yang menjadikannya pilihan optimal untuk AD CS di lingkungan perusahaan.

Selain itu, Anda harus ingat bahwa Anda tidak dapat mengubah nama komputer, nama domain, atau keanggotaan domain komputer setelah menyebarkan OS jenis apa pun di komputer tersebut. Oleh karena itu, penting untuk mengonfigurasi pengaturan ini sebelum penyebaran.

Ada juga beberapa pertimbangan khusus untuk penyebaran CA akar tunggal offline:

• Sebelum menerbitkan sertifikat subordinat dari CA akar, pastikan bahwa Anda menyediakan setidaknya satu titik distribusi daftar pembatalan sertifikat (CDP) dan lokasi AIA yang akan tersedia untuk semua klien. Hal ini karena, secara default, CA akar tunggal memiliki CDP dan AIA yang terletak pada CA akar tunggal itu sendiri. Oleh karena itu, saat Anda mencabut CA akar dari jaringan, pemeriksaan pencabutan akan gagal karena lokasi CDP dan AIA tidak dapat diakses. Saat menentukan lokasi ini, Anda harus menyalin informasi CRL dan AIA secara manual ke lokasi tersebut.
• Tetapkan periode validitas untuk CRL yang diterbitkan oleh CA akar untuk jangka waktu yang lama, misalnya, satu tahun. Ini berarti Anda harus mengaktifkan CA akar setahun sekali untuk menerbitkan CRL baru, lalu Anda harus menyalinnya ke lokasi yang tersedia untuk klien. Jika Anda gagal melakukannya, setelah CRL pada CA akar kedaluwarsa, pemeriksaan pencabutan untuk semua sertifikat juga akan gagal.
• Gunakan Kebijakan Grup untuk menerbitkan sertifikat CA akar ke penyimpanan CA akar tepercaya di semua komputer server dan klien. Anda harus melakukannya secara manual karena CA tunggal tidak dapat melakukannya secara otomatis, tidak seperti CA perusahaan. Anda juga dapat menerbitkan sertifikat CA akar ke Active Directory Domain Services dengan menggunakan alat baris perintah certutil.

Demonstrasi

Video berikut menunjukkan cara:

• Mengonfigurasi prasyarat untuk CA akar perusahaan.
• Menyebarkan CA akar perusahaan.

Langkah-langkah utama dalam proses adalah:

1. Membuat lingkungan AD DS. Membuat hutan Active Directory Domain Services domain tunggal.
2. Mengonfigurasi prasyarat untuk CA akar perusahaan. Menginstal peran server dan layanan peran server yang diperlukan.
3. Menyebarkan CA akar perusahaan. Mengonfigurasi pengaturan CA Akar Perusahaan.

---

Uji pengetahuan Anda

1.

Manakah dari pernyataan berikut mengenai penginstalan CA Akar Perusahaan AD CS yang benar?

Anda dapat mengubah algoritme hash kriptografi OS.

Sebelum menjalankan penginstalan, Anda harus membuat kunci privat.

Saat menginstal OS Perusahaan, Anda harus menyertakan Layanan Web Pendaftaran Sertifikat dalam penginstalan.

Anda harus menjawab semua pertanyaan sebelum memeriksa pekerjaan Anda.

Lanjutkan