Apa itu Layanan Peran Otoritas Sertifikasi?
Artikel ini menyediakan informasi tentang layanan peran Otoritas Sertifikasi untuk Layanan Sertifikat Direktori Aktif saat disebarkan pada sistem operasi Windows Server.
Otoritas sertifikasi (CA) bertanggung jawab untuk membuktikan identitas pengguna, komputer, dan organisasi. CA mengautentikasi entitas dan menjamin identitas tersebut dengan mengeluarkan sertifikat yang ditandatangani secara digital. CA juga dapat mengelola, mencabut, dan memperbarui sertifikat.
Otoritas sertifikasi dapat berupa:
- Organisasi yang menjamin identitas pengguna akhir.
- Server yang digunakan oleh organisasi untuk menerbitkan dan mengelola sertifikat.
Dengan menginstal layanan peran Otoritas Sertifikasi layanan Sertifikat Direktori Aktif (AD CS), Anda dapat mengonfigurasi server Windows Anda untuk bertindak sebagai CA.
Memahami jenis otoritas sertifikasi
Windows Server mendukung empat jenis CA yang berbeda:
- CA Akar Perusahaan.
- CA Subordinat Perusahaan.
- OS Akar Mandiri.
- CA Subordinat Mandiri.
Otoritas sertifikasi Perusahaan dan Mandiri
CA Perusahaan terintegrasi dengan Active Directory Domain Services (AD DS). Mereka menerbitkan sertifikat dan daftar pencabutan sertifikat (CRL) ke AD DS. Informasi penggunaan CA Perusahaan yang disimpan di AD DS, termasuk akun pengguna dan grup keamanan, untuk menyetujui atau menolak permintaan sertifikat. CAs Perusahaan menggunakan templat sertifikat. Saat sertifikat diterbitkan, CA Perusahaan menggunakan informasi dalam templat sertifikat untuk menghasilkan sertifikat dengan atribut yang sesuai untuk jenis sertifikat tersebut.
Jika Anda ingin mengaktifkan persetujuan sertifikat otomatis dan pendaftaran sertifikat pengguna otomatis, gunakan CA Perusahaan untuk menerbitkan sertifikat. Fitur-fitur ini hanya tersedia ketika infrastruktur CA terintegrasi dengan Direktori Aktif. Selain itu, hanya CA Perusahaan yang dapat menerbitkan sertifikat yang memungkinkan masuk kartu pintar, karena proses ini mengharuskan sertifikat kartu pintar dipetakan secara otomatis ke akun pengguna di Direktori Aktif.
CA mandiri tidak memerlukan AD DS, dan tidak menggunakan templat sertifikat. Jika Anda menggunakan CA mandiri, semua informasi tentang jenis sertifikat yang diminta harus disertakan dalam permintaan sertifikat. Secara default, semua permintaan sertifikat yang dikirimkan ke CA mandiri ditahan dalam antrean yang tertunda hingga administrator CA menyetujuinya. Anda dapat mengonfigurasi CA mandiri untuk menerbitkan sertifikat secara otomatis berdasarkan permintaan, tetapi kurang aman dan tidak disarankan karena permintaan tidak diautentikasi.
Anda harus menggunakan CA mandiri untuk menerbitkan sertifikat saat menggunakan layanan direktori non-Microsoft atau saat AD DS tidak tersedia. Anda dapat menggunakan otoritas sertifikasi perusahaan dan mandiri di organisasi Anda.
Otoritas sertifikasi akar dan bawahan
CA perusahaan dan mandiri dapat dikonfigurasi sebagai CA akar atau sebagai CA subordinat. CA subordinat selanjutnya dapat dikonfigurasi sebagai CA perantara (juga disebut sebagai CA kebijakan) atau menerbitkan CA
CA akar adalah CA yang berada di bagian atas hierarki sertifikasi, di mana semua rantai sertifikat dihentikan. Ketika sertifikat OS akar ada pada klien, CA akar tepercaya tanpa syarat. Baik Anda menggunakan CA perusahaan atau mandiri, Anda perlu menunjuk CA akar.
Karena CA akar adalah CA teratas dalam hierarki sertifikasi, bidang Subjek sertifikat memiliki nilai yang sama dengan bidang Pengeluar Sertifikat. Demikian juga, karena rantai sertifikat berakhir ketika mencapai CA yang ditandatangani sendiri, semua CA yang ditandatangani sendiri adalah CA root. Keputusan untuk menunjuk CA sebagai CA akar tepercaya dapat dibuat di tingkat perusahaan atau secara lokal oleh administrator TI individu.
CA akar berfungsi sebagai dasar di mana Anda mendasarkan model kepercayaan otoritas sertifikasi Anda. Ini menjamin bahwa kunci publik subjek sesuai dengan informasi identitas yang ditunjukkan di bidang subjek sertifikat yang menjadi masalahnya. CA yang berbeda mungkin juga memverifikasi hubungan ini dengan menggunakan standar yang berbeda; oleh karena itu, penting untuk memahami kebijakan dan prosedur otoritas sertifikasi akar sebelum memilih untuk mempercayai otoritas tersebut untuk memverifikasi kunci publik.
CA akar adalah CA yang paling penting dalam hierarki Anda. Jika CA akar Anda disusupi, semua CA dalam hierarki dan semua sertifikat yang dikeluarkan darinya dianggap disusupi. Anda dapat memaksimalkan keamanan OS akar dengan membuatnya terputus dari jaringan dan dengan menggunakan CA subordinat untuk mengeluarkan sertifikat ke CA subordinat lain atau kepada pengguna akhir. CA akar yang terputus juga dikenal sebagai CA akar Offline.
CA yang bukan CA root dianggap sebagai subordinat. CA bawahan pertama dalam hierarki mendapatkan sertifikat CA-nya dari CA akar. CA subordinat pertama ini dapat menggunakan kunci ini untuk menerbitkan sertifikat yang memverifikasi integritas CA subordinat lain. CA bawahan yang lebih tinggi ini disebut sebagai CA perantara. CA perantara berada di bawah CA akar, tetapi berfungsi sebagai otoritas sertifikasi yang lebih tinggi untuk satu atau beberapa CA subordinat.
CA perantara sering disebut sebagai CA kebijakan karena biasanya digunakan untuk memisahkan kelas sertifikat yang dibedakan melalui kebijakan. Misalnya, pemisahan kebijakan mencakup tingkat jaminan yang disediakan CA atau lokasi geografis CA untuk membedakan populasi entitas akhir yang berbeda. CA kebijakan dapat online atau offline.
Kunci privat otoritas sertifikasi
Kunci privat adalah bagian dari identitas CA, dan harus dilindungi dari penyusupan. Banyak organisasi melindungi kunci privat CA dengan menggunakan modul keamanan perangkat keras (HSM). Jika HSM tidak digunakan, kunci privat disimpan di komputer CA.
CA offline harus disimpan di lokasi yang aman dan tidak tersambung ke jaringan. MENGELUARKAN CA menggunakan kunci privat mereka saat menerbitkan sertifikat, sehingga kunci privat harus dapat diakses (online) saat CA beroperasi. Dalam semua kasus, CA dan kunci privatnya pada CA harus dilindungi secara fisik.
Modul keamanan perangkat keras
Menggunakan modul keamanan perangkat keras (HSM) dapat meningkatkan keamanan CA dan Private Key Infrastructure (PKI) Anda.
HSM adalah perangkat keras khusus yang dikelola secara terpisah dari sistem operasi. HSM menyediakan penyimpanan perangkat keras yang aman untuk kunci CA, selain prosesor kriptografi khusus untuk mempercepat operasi penandatanganan dan enkripsi. Sistem operasi menggunakan HSM melalui antarmuka CryptoAPI, dan fungsi HSM sebagai perangkat penyedia layanan kriptografi (CSP).
HSM biasanya merupakan adaptor PCI, tetapi juga tersedia sebagai appliance berbasis jaringan, perangkat serial, dan perangkat USB. Jika organisasi berencana untuk menerapkan dua CA atau lebih, Anda dapat menginstal satu HSM berbasis jaringan dan membagikannya di antara beberapa CA.
HSM harus diinstal dan dikonfigurasi sebelum Anda menyiapkan CA apa pun dengan kunci yang perlu disimpan di HSM.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk