Mengelola pendaftaran sertifikat

  • 9 menit

Tujuan CA adalah untuk memungkinkan pengguna dan perangkat mendaftar dan menggunakan sertifikat. Namun, ini, seperti halnya implementasi CA, memerlukan perencanaan dan persiapan yang cermat yang menentukan jenis sertifikat yang dapat diterbitkan oleh CA.

Apa itu sertifikat?

Sertifikat adalah file kecil yang berisi beberapa informasi tentang pemiliknya. Data ini dapat mencakup alamat email pemilik, nama pemilik, jenis penggunaan sertifikat, masa berlaku, dan URL untuk lokasi AIA dan CDP.

Sertifikat juga berisi kunci publik dan metadata yang sesuai, yang terdiri dari kunci privat dan kunci publik yang sesuai. Anda dapat menggunakan kunci ini dalam proses validasi identitas, tanda tangan digital, dan enkripsi. Pasangan kunci yang dibuat setiap sertifikat memiliki kondisi berikut:

  • Ketika konten dienkripsi dengan kunci publik, konten hanya dapat didekripsi dengan kunci pribadi.
  • Ketika konten dienkripsi dengan kunci pribadi, konten hanya dapat didekripsi dengan kunci publik.
  • Tidak ada kunci lain yang terlibat dalam hubungan antara kunci dari pasangan kunci tunggal.
  • Kunci pribadi tidak dapat diturunkan dalam waktu yang wajar dari kunci publik, dan sebaliknya.

Sebagai bagian dari proses pendaftaran sertifikat, klien membuat pasangan kunci publik/pribadi. Klien kemudian mengirimkan kunci publik ke CA, yang mengonfirmasi informasi klien, menandatanganinya dengan kunci pribadinya sendiri, dan kemudian mengirimkan sertifikat, yang mencakup kunci publik klien, kembali ke klien.

Catatan

Anda dapat menganggap sertifikat seperti SIM. Banyak bisnis menerima SIM sebagai tanda pengenal karena mereka menganggap penerbit SIM (lembaga pemerintah) dapat dipercaya. Karena bisnis memahami proses saat seseorang dapat memperoleh SIM, mereka percaya bahwa penerbit memverifikasi identitas individu sebelum mengeluarkan lisensi. Oleh karena itu, SIM dapat diterima sebagai tanda pengenal yang sah. Kepercayaan sertifikat dibuat dengan cara yang sama.

Beberapa tahap siklus hidup CA, berfokus pada penerbitan sertifikat.

Apa itu template sertifikat?

Template sertifikat menentukan bagaimana pengguna dan perangkat dapat meminta dan menggunakan sertifikat yang diterbitkan Enterprise CA berdasarkan template tersebut. Misalnya, Anda dapat membuat template yang akan menyediakan enkripsi file atau fungsionalitas penandatanganan email. CA mengandalkan AD DS untuk menyimpan template yang Anda konfigurasikan.

Penting

Template sertifikat hanya tersedia saat menggunakan Enterprise CA. Artinya, dengan CA Standalone, setiap permintaan sertifikat harus dibuat secara manual dan menyertakan semua informasi yang diperlukan untuk disertakan dalam sertifikat.

CA menyediakan template untuk pengguna dan komputer. Anda dapat menetapkan izin ke template sertifikat untuk menentukan siapa yang dapat mengelolanya, siapa yang dapat melakukan pendaftaran atau pendaftaran otomatis, dan berapa masa berlaku dan perpanjangannya. Anda dapat menerapkan modifikasi tambahan dengan menduplikasi template sertifikat yang telah ditentukan sebelumnya. Untuk membuat template tersedia bagi pengguna dan perangkat, Anda harus mengizinkan penggunaannya secara eksplisit.

Versi template

CA di Windows Server AD CS mendukung empat versi templat sertifikat, dengan perbedaan fungsi berikut:

  • Template versi 1. Template ini memungkinkan Anda mengubah izin terkait sertifikat saja. Saat Anda menginstal CA, template sertifikat versi 1 dibuat secara default.
  • Template versi 2. Dengan template ini, Anda dapat menyesuaikan pengaturan tambahan, seperti masa berlaku dan periode perpanjangan. Template ini juga merupakan versi minimum yang mendukung pendaftaran otomatis. Instalasi default AD CS menyediakan beberapa template versi 2 yang telah dikonfigurasi sebelumnya. Anda dapat membuat template versi 2 atau menduplikasi template sertifikat versi 1 untuk membuat template versi 2 yang baru.
  • Template versi 3. Template sertifikat versi 3 mendukung Cryptography Next Generation (CNG). CNG mendukung algoritma kriptografi canggih. Anda dapat menduplikasi template versi 1 dan versi 2 default untuk meningkatkannya ke versi 3. Saat menggunakan template sertifikat versi 3, Anda dapat menggunakan enkripsi CNG dan algoritma hash untuk permintaan sertifikat, sertifikat yang diterbitkan, dan perlindungan kunci pribadi untuk skenario pertukaran kunci dan pengarsipan kunci.
  • Template versi 4. Template sertifikat versi 4 mendukung penyedia layanan kriptografi (CSP) dan penyedia penyimpanan kunci. Anda juga dapat mengonfigurasinya agar memerlukan pembaruan dengan kunci yang sama.

Demonstrasi

Video berikut menunjukkan cara:

  • Membuat template baru berdasarkan template Web Server.
  • Mengonfigurasikan template agar dapat diterbitkan.

Langkah-langkah utama dalam proses adalah:

  1. Membuat lingkungan AD DS. Membuat hutan Active Directory Domain Services domain tunggal.
  2. Sebarkan CA Akar Perusahaan.
  3. Membuat template sertifikat kustom. Gunakan konsol Template Sertifikat untuk menduplikasi template Server Web.
  4. Konfigurasikan template agar bisa diterbitkan. Gunakan konsol Otoritas Sertifikasi, agar template dapat digunakan.

Uji pengetahuan Anda

1.

Alat mana yang dapat digunakan untuk mengizinkan pendaftaran sertifikat dengan menggunakan template yang sudah dikonfigurasi?