Kök CA sertifikalarını yenileme

Kök CA, ortak anahtar altyapısının (PKI) en üstünde yer alır ve kendi otomatik olarak imzalanan sertifikasını oluşturur. Kök CA sertifikasını yenilemek, PKI'nızın sürekli güven ve güvenliğini sağlamak için kritik bir görevdir. Bu makalede, yeni veya var olan bir anahtar çifti kullanarak kök Sertifika Yetkilisi (CA) sertifikasını yenileme hakkında bilgi edinin. Bilgiler hem Kurumsal CA hem de Tek Başına CA için geçerlidir.

Önkoşullar

Başlamadan önce aşağıdaki önkoşulları yerine getirmenizi onaylayın:

• Kök CA sunucusuna yönetici erişimi.
• CA veritabanının ve özel anahtarın yedeği.
• Kuruluşunuzun PKI hiyerarşisini ve sertifika ilkelerini anlama.

Kök CA sertifika yenilemesine genel bakış

Kök CA sertifikanızı yenileme zamanı geldiğinde, mevcut genel ve özel anahtar çiftinizi kullanır veya yeni bir ortak ve özel anahtar çifti oluşturursunuz. Mevcut bir çiftle yenilemek en kolay ve en basit yaklaşımdır. Ancak, aşağıdaki durumlar için CA sertifikasını yeni anahtar çiftiyle yenilemeniz gerekebilir:

• CA imzalama (mevcut CA anahtar çifti) tehlikeye girdi.
• Yeni bir CA sertifikasıyla kullanılmak üzere yeni bir imzalama anahtarı gerektiren bir programınız var.
• Geçerli sertifika iptal listesi (CRL) çok büyük ve bazı bilgileri yeni bir CRL'ye taşımak istiyorsunuz.

Aşağıdaki iki bölümde, yeni veya var olan bir anahtar çifti kullanılarak yenilendiğinde sertifikada yapılan değişikliklere genel bir bakış sağlanır.

Kök CA sertifikasını mevcut anahtar çiftiyle yenileme

Ca sertifikasını mevcut anahtar çiftiyle yenilediğinizde, yeni sertifika aynı ortak ve özel anahtarı içerir. Sonuç olarak, daha önce verilen tüm sertifikalar yeni CA sertifikasına zincir oluşturur. İstemciler daha önce ve yeni verilen sertifikaları yeni CA sertifikasına kadar bağlar. Bunun nedeni, tüm bu istemci sertifikalarının aynı CA imzalama anahtarı tarafından imzalı olması ve her iki CA sertifikasının da aynı veriler için aynı imzayı oluşturmasıdır.

Aşağıda, yeni kök CA sertifikasıyla ilgili dikkate almak istediğiniz ayrıntıların bir özeti yer alandır:

• Yeni CA sertifikası, önceki CA sertifikasının yerini almaz. Bunun yerine, yeni bir dosya eklenir ve dosya adının sonuna parantez içinde bir sertifika dizini eklenir. Örneğin, eski sertifikanın adı vardır: RootCA.crtve yeni sertifikanın adı: RootCA(1).crt.

• Yeni CA sertifikası, eski sertifikayla aynı Geçerlilik değerine sahiptir. Örneğin, eski CA sertifikası 10.08.2020 ile 10.08.2025 arası geçerliyse, yeni sertifika 10.08.2020 ile 10.08.2030 arası geçerlidir. Yenileme, geçerli CA sertifikası geçerlilik süresini artırır.

• Yeni CA sertifikasının karması, önceki sertifikanın Parmak İzi değerini içerir.

• Yeni CA sertifikası, CA Sürümünüdeğiştirir. CA sürüm uzantısı, ca birden fazla sertifikaya sahip olduğunda doğru zincirlerin oluşturulmasına yardımcı olur. Bu uzantı iki değerden oluşur: CA Sertifika Dizinive CA Anahtar Dizini. Bu değerler noktayla ayrılır, örneğin: 0,0, 2,1 ve 3,3. CA sertifikasını her yenilediğinizde, CA Sertifika Dizini 1 artar. Anahtar çifti aynı kaldığından CA Anahtar Dizini değeri artmıyor.

• Yeni CA aynı CRL'yi korur.

Kök CA sertifikasını yeni anahtar çifti ile yenileme

Yeni anahtar çifti ile yenileme daha karmaşıktır ve CA sertifikasında birçok değişiklik içerir. Yeni bir ortak anahtar, ortak anahtarın karması olan, farklı birKonu Anahtarı Tanımlayıcısı üretir. CA yeni bir sertifika verdiğinde, yeni verilen sertifikaya bir Konu Anahtarı Tanımlayıcısı değeri ve bir Yetkili Anahtar Tanımlayıcısı uzantısı verir. Uzantı karşılaştırması sertifika zincirleme altyapısı (CCE) tarafından kullanılır. Sonuç olarak, daha önce verilen sertifikalar önceki CA sertifikasına zincir oluşturarak bağlanır ve yeni verilen sertifikalar ise yeni CA sertifikasına kadar zincir oluşturarak bağlanır.

Aşağıda, yeni kök CA sertifikasıyla ilgili dikkate almak istediğiniz ayrıntıların bir özeti yer alandır:

• Yeni bir CRL oluşturulur. Yeni CRL yalnızca yenilenen CA sertifikası veya imzalama anahtarı kullanılarak imzalanmış iptal edilmiş sertifikaları içerir ve yeni CRL dosyası CRL son ekini içerir. Örneğin, eski CRL RootCA.crl adına sahiptir ve yeni CRL'nin adı şu şekildedir: RootCA(1).crl. Bu CRL soneki, CDP'nin konum ayarlarındaki CRLNameSuffix değişkeni tarafından korunur ve bu sayı her zaman CA Sürümü uzantısı değerine eşittir.

• CA Sertifika Dizini değerinden farklı olarak, CA Anahtar Dizini her zaman 1 artmaz, ancak CA Sertifika Dizini değerine ayarlanır. Örneğin, önceki CA sertifikasının CA Sürüm uzantısı 2.0 ve yeni CA sertifikası CA Sürüm uzantısı 3.3 değerine sahiptir.

• Yeni kök CA sertifikasını kullandığınızda ancak henüz tüm istemcilere dağıtılmadığında, CA iki çapraz sertifika oluşturur. İlk çapraz sertifika, önceki CA imzalama anahtarı tarafından imzalanır ve yeni CA sertifikasını onaylar. CCE, daha önce ve yeni verilen sertifikalar için sertifika yolları oluşturur, böylece yeni CA sertifikası henüz dağıtılmadığından her iki yol da yalnızca önceki CA sertifikasına zincir oluşturur. Her iki yolu da yeni bir CA sertifikasına zincirleme için ikinci bir çapraz sertifika oluşturulur. Yeni CA sertifikası, önceki CA sertifikasını ters yönde onaylar. Çapraz sertifikalar kullanarak, bu CA tarafından verilen tüm sertifikalar için doğru zincirler oluşturabilecek tek bir kök CA sertifikası tutarsınız.

Yeni CA sertifikasını istemcilere dağıttıktan sonra, sertifikanın istemci bilgisayardaki Güvenilen Kök CA'lar kapsayıcısına yayımlanması gerekir ve yalnızca o zaman istemcilerden önceki CA sertifikasını kaldırabilirsiniz. Ancak, eski CA sertifikalarının kaldırılması önerilmez, çünkü bunlar dosya dijital imza doğrulaması sırasında kullanılabilir.

Kök CA sertifikasını yenileme

Bu bölümde kök CA sertifikasını yenileme adımları açıklanmaktadır.

1. Adım: Kök CA'sını yedekleme

Ca veritabanı ve özel anahtarlar dahil olmak üzere kök CA'nızın tam yedeğini alarak başlayın. Bir sorun olması ve değişiklikleri geri almanız gerektiğinde bu çok önemlidir.

1. Sunucu Yöneticisi'nden Araçlar'i seçin, ardından Sertifika Yetkilisi'ü seçin.
2. CA adına sağ tıklayın, Tüm Görevler'iseçin ve ardından CA'yı yedekle....
3. CA veritabanını ve özel anahtarı yedeklemek için sihirbazı izleyin.

2. Adım: Kök CA sertifikasını yenileme

1. Sunucu Yöneticisi'nden Araçlar'ı seçin ve ardından Sertifika Yetkilisi.
2. CA adına sağ tıklayın, Tüm Görevler seçin ve ardından CA Sertifikasını Yenile... .
3. Bir iletişim kutusu açılır ve Active Directory Sertifika Hizmetleri'ni durdurmak isteyip istemediğinizi sorar. Evet seçin.
4. Yeni bir anahtar çifti oluşturmayı veya mevcut anahtar çiftini kullanmayı seçin.
   1. Yeni bir anahtar çifti oluşturmak için Evet seçin.
   2. Mevcut anahtar çiftini kullanmak için Yok'a tıklayın.
5. Kök CA'nın Özelliklerini görüntüleyin ve ardından başarıyla oluşturulduğunu onaylamak için yeni sertifika ayrıntılarını görüntüleyin.
   

3. Adım: Yeni kök CA sertifikasını dağıtma

Kök CA sertifikasını yeniledikten sonra, Sertifika Yetkilisi tarafından verilen tüm sertifikalara güvenmelerini sağlamak için istemcilere dağıtmanız gerekir. Bu işlem, Kurumsal CA mı yoksa Tek Başına CA mı kullandığınıza bağlı olarak farklıdır.

Kurumsal Sertifika Yetkilisi

Kurumsal CA çalıştırıyorsanız kök sertifika otomatik olarak etki alanı içinde dağıtılır. İstemciler, Grup İlkeleri yenilenirken bunu alır. Bu işlemi hızlandırmak istiyorsanız, komut istemini kullanarak yenilemeye zorlayabilirsiniz: gpupdate /force.

Tek başına CA

Tek başına CA ile sertifikayı dışarı aktarmanız ve tüm güvenilen istemcilerde yayımlamanız gerekir. Kök sertifikayı Grup İlkesi aracılığıyladağıtmak için yönergeleri izleyin. Yeni sertifikayı etki alanına katılmamış cihazlara el ile dağıtmak gerekebilir.

Yenileme sonrası görevler

Değişikliklerden sonra, sertifika kimlik doğrulaması veya güven ile ilgili sorunlar için ortamınızı izleyin. Sorunları hemen teşhis etmeye ve çözmeye hazır olun.

• Yeni Kök CA sertifikasının tüm istemciler tarafından güvenilir olduğunu doğrulayın.
• Yenileme işlemiyle ilgili sorunlar için CA'yi izleyin.

İlgili içerik

• Sertifika Yetkilisi Yenileme
• Microsoft Learn: Active Directory Sertifika Hizmetleri