آموزش پابلیش کردن لیست CRL مربوط به CA Server در TMG
در سلسله آموزش های مربوط به زیرساخت کلید عمومی در قسمت سوم درباره اهمیت لیست CRL توضیحات ارائه کردم و همچنین ذکر کردم اگر کلاینتی نتواند به لیست CRL وهمچنین Certificate Path دسترسی نداشته باشد عملیات Certificate Enroll با شکست رو به رو می شود و کلاینت نمی تواند از زیر ساخت کلید عمومی استفاده کند. شما فرض کنید از قابلیت Certificate Enrollment Web Services استفاده می کنید و کلاینتها از بیرون سازمان مجبورند درخواست Certificate دهند و همچنین بصورت اتوماتیک Certificate را Renewal کنند. و همچنان که شما مستحضر هستید پیش نیاز استفاده از این قابلیتها استفاده از احراز هویت بصورت Client Certificate Authentication می باشد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای اینکه کلاینتها بتوانند از سناریوی بالا استفاده کنند کاربران اینترنت باید به لیست CRL دسترسی داشته باشند. و ما مجبوریم این لیست را توسط Firewall برای کاربران اینترنت Publish کنیم.ما برای اینکار از TMG استفاده می کنیم. من فرض را بر این میگیرم که اطلاعات جامعی درباره مخازن CDP and AIA دارید پس توضیح اضافی درباره این دو مورد نمی دهم و یکسره میرم سراغ اصل موضوع. مخازنی که در AIA and CDP استفاده می شود عبارتند از:
- LDAP
- Share File
- HTTP
- Local Location
ما در این سناریو نمی توانیم از LDAP, Share File and Local Location استفاده کنیم چون محدود به شبکه داخلی هستند پس مجبوریم از پروتکل http برای انتشار این لیست استفاده کنیم. پس در نتیجه یک سرور در ناحیه DMZ سازمان قرار می دهیم و رول IIS را بر روی آن نصب می کنیم و تنظیمات لازم که در قسمت سوم توضیح دادم را انجام می دهم.بعد از انجام مراحل بالا نوبت به Publish کردن این سرویس می رسد.اولین قدم آزاد کردن ترافیک بین TMG و وب سرور می باشد
بعد از ایجاد رول فوق گذینه Publish Web Sites در Firewall Policy را کلیک می کنیم و یک نام به این رول اختصاص می دهیم و مراحل را بصورت زیر طی می کنیم:
اگر با تنظیمات فوق اشنائی ندارید مقاله زیر را مطالعه کنید:
پابلیش کردن HTTPS Web Server در TMG Server 2010
در اینجا کاربران را محدود می کنیم فقط از Virtual Directory به نام PKIکه در IIS ایجاد کردیم استفاده کنند.
در بالا یک Web Listener جدید ایجاد می کنیم
کاربران بدون احراز هویت می توانند به web server دسترسی داشته باشند. بعد از finish کردن ایجاد web listener نکست می کنیم و گذینه زیر را انتخاب می کنیم:
پابلیش کردن CRL به پایان رسید.
نکته: قبل از پابلیش کردن لیست CRL شما باید مطمئن باشید این تنظیمات را در CA Server ایجاد کرده باشید تا CA Server لینک CRL را در Certificate Template ها لحاظ کند.
الان سناریو بالا را تست می کنیم:
منبع:
Secure CDP publishing with Forefront TMG and the HTTP-filter
http://www.isaserver.org/articles-tutorials/configuration-general/Secure-CDP-publishing-Forefront-TMG-HTTP-filter.html