Active Directory Certificate Services – Upgrade from SHA1 to SHA2

Active Directory Sertifika Hizmetleri

PKI Nedir? Neden İhtiyaç Vardır?

Kurum BT bünyesinde bulunan web sayfaları, dokümanlar, kimlik sürekliliği gibi yaşam güvenliğinin sürdürülmesi için PKI bünyesinde önemli bir yer teşkil etmektedir. Web sayfalarının SSL ile, dokümanların ve e-postaların dijital olarak imzalanması, sertifikaya dayalı kimlik ve kullanıma hazır kullanım gibi imkanlar sağlar. PKI, tüm hizmetlerin dijital olarak imzalanması ve veriyi gönderen ile alan arasında ki iletişimin şifreli bir şekilde gerçekleşmesini sağlar. Ayrıca veriyi gönderen ve alan kişilerin bu altyapı ile doğruları ve verinin yanlış kişilerin eline geçtiğinden emin olur.

Active Directory Sertifika Hizmetleri Nedir?

Microsoft, PKI altyapısını Active Directory entegre ve bağımsız olarak Windows Server üzerinde hizmet olarak sağlamaktadır. Kurum içi sertifika dijital sertifikalarla korunması için Windows Sertifika hizmetlerinin kullanılabilir ve sertifikalandırılması, sertifikanın kontrolü, sertifikanın talebinin onaylanması ve reddedilmesi gibi işlemleri yürütebilir.

AD Entegre Ürünleri Faydaları Nelerdir?

Windows üzerinde gelen sertifika özellikleri AD entegre kullanımının bazı faydaları vardır;

• Kimlik ve kaynak bilgilerinin AD üzerinden eklenmesi,
  Kimlik bilgileri AD üzerinde merkezi olarak tutulmaktadır. AD CA servis sertifika işlemleri için kimlik bağlantısını AD üzerinden kontrol edebilir,
• GPO ile Kontrol;
  GPO ile hangi kullanıcı ve makinelerin hangi tip sertifikalarla çalışılabileceği belirlenebilir. Ayrıca GPO ile otomatik olarak sertifika geliştirme vb. işlemler yürütülebilir.
• Otomatik sertifika alımı ve yönetimi;
  Bir kullanıcı veya bilgisayar hesabı sistemine giriş yaptığı zaman AD tarafından alabileceği sertifika şablonları kontrol edilir ve izinli olan listelerden otomatik olarak sertifika alınır. Bu işlem hiçbir kullanıcı işlemi gerektirmeden otomatik olarak yürütülür. Ayrıca sertifikanın güncellenmesi, sürenin otomatik olarak yenilenmesi gibi işlemlerde AD üzerinden otomatik olarak yürütülen işlemlerdir.

SHA1 ve SHA2 arasında Farklar Nelerdir?

SHA, yani Secure Hash Algorithm, dijital sertifikaların güvenlik uygulamalarının ortak adıdır. SHA1 ve SHA2 farklı yapılarda tasarlanmış ve güvenlik seviyeleri farklı köklerini temsil eder. SHA1 160 bit uzunluğunda hash a sahiptir. SHA2 ise daha güvenli ve daha uzun bir hash a sahiptir. SHA2 genel olarak 256 bit uzunluğunda ki SHA256 adı ile anılır. SHA2'nin farklı bit uzunluğunda versiyonları mevcuttur ve o bit uzunluğu ile anılır. Örnek: SHA224 gibi.

Güvenlik gereksinimleri gereklidir, SHA1 29 Aralık 2016 tarihinden itibaren emekli olduktan sonra ayrılmıştır. Artık tarayıcılar ve diğer SSL kullanan sistemler bu güncelleme ile alınan sertifikaları tanımayacak ve güvenlik uyarısı alınabilir. Dolayısı ile Windows platformları da dahil olmak üzere tüm PKI altyapılarının desteklediği sertifikaların SHA2'nin yükseltilmesi gerekmektedir. Tabi sadece sertifika servisleri değil, üretilen sertifikaların da SHA2'nin yükseltilmesi ya da değiştirilmesi gerekmektedir.

Gereksinimler

SHA2 programı ile sertifika üretilebilmesi için işletim sisteminin güncel olması gerekmektedir. Eğer Windows Server 2016 kullanıyorsanız bu işletim sistemi üzerine kurulacak Sertifika hizmeti standart olarak SHA2 (SHA256) sürümünde kurulmaktadır.

• Windows XP Service Pack 3 ile sınırlı SHA2 desteğine sahiptir.
• Windows Server 2003 Service Pack 2 üzerine yüklenecek bazı KB'lerle sınırlı SHA2 desteğine sahip olabilirsiniz. Ancak işletim sistemi böyle bir destek mevcut değildir. (KB938397, KB968730)
• Windows Vista ve Windows Server 2008 ile birlikte CNG (Cryptography Next Generation) uygulamaları desteklenir hale gelmiştir. SHA2 de bu temizleyiciler içerisinde bulunur.
• Outlook 2003 ve üzeri Windows Vista üzerinde çalışma süresi boyunca SHA2 ile oluşturulmuş S/MIME sertifikalarını desteklemektedir.

Göç Çalışmaları

Bu makale hali hazırda SHA2'yi destekleyen bir sunucu işletim sistemi üzerinde bulunan ancak SHA1 olarak sunulan sertifika sunucusunun SHA2'nin kullanıma sunulması üzerinedir.

Başlıklar

1. Sertifika sunucusu Hash Algoritmasının değiştirilmesi
2. Yeni çalışanlarya sahip kök sertifikasının alınması

Sertifika sunucusu Hash Algoritmasının değiştirilmesi

Sertifika sunucusu üzerinde çalışma yaparken sertifika sunucusu servisinin yedeğinin toplanması önerilir. Herhangi bir sorun durumunda geri dönüşün mümkün olması ve kök sertifikasının kaybolması için mutlaka yedek alınması.

1. Çevrim işlemleri tamamen Powershell tarafından gerçekleştirilecektir.
2. Powershell ekranı Run-As Administrator komut dosyası çalıştırılmalıdır.
3. Sertifika sunucusunun adı S01CASRV , Sertifika hizmetinin adı CA-FRM-01 , etki alanı adı domain.com olarak örneklendirilmiştir. Burada adı geçen alanlar kendi sisteminize uygun şekilde verilmiştir.

• Tüm işlem yapılacak CA-Backup klasörü bir klasör C sürücüsünde oluşturulur.
  
  PS C:\Windows\System32> cd\
  PS C:\> Yeni-Öğe -Yol c:\CA-Yedekleme -ÖğeTürü dizini
  PS C:\> Konum Ayarla -Yol c:\CA-Yedekleme
  PS C:\CA-Yedekleme>

• Sertifika servisinin yedeği alınır. Bu işlem sırasında parolanın girilmesi kaydedilir. Karmaşık bir parola verilir. Bu parola daha sonraki adımlarda yine kullanılacaktır. Parolanın unutulmaması gerekmektedir.
  
  PS C:\CA-Backup> Backup-CARoleService –path C:\CA-Backup -Password (Read-Host -Prompt "Parolayı Girin" -AsSecureString)
  PS C:\CA-Yedekleme> reg dışa aktarma HKLM\SYSTEM\CurrentControlSet\services\CertSvc c:\CA-Yedekleme\CAregistry.reg



• Servis duruyor.
  
  PS C:\CA-Yedekleme> Hizmet Durdurma certsvc

• Sertifika sunucusunun yüklü olan sertifikaların bilgisi bir metin dosyasına aktarılır.
  
  PS C:\CA-Backup> certutil –store my CA-FRM-01 > output.txt
  

• Çıktı metni dosyası notepad ile açılır ve burada sunucunun kök sertifikalarının parmak izi olarak adlandırılan benzersiz dijital değeri bulunur. Bu değerin özel anahtarıdır ve bu anahtar ile birlikte sertifika silinir. Bu dosya içerisinde tüm sertifikalar için silme işlemi tekrarlanır.
  
  PS C:\CA-Yedekleme> cd cert:\localmachine\my
  PS Sertifikası:\localmachine\my> del –deletekey "42c7a0cf0fce74687cd287c23a1610e61264a432"
  PS Cert:\localmachine\my> Konum Ayarla -Yol c:\CA-Yedekleme
  

• 2. Adımda yedeği alınan kök sertifika sistemi yüklenir ve PFX biçimi tekrar çıkartılır. Dosyayı kullanırken PFX formatına ihtiyaç vardır. Bu işlem sırasında yedekleme sırasında girilen parola kullanılır.
  
  PS C:\CA-Backup> certutil –csp "Microsoft Yazılım Anahtar Depolama Sağlayıcısı" –importpfx C:\CA-Backup\CA-FRM-01.p12
  PS C:\CA-Yedekleme> certutil –exportpfx benim CA-FRM-01 C:\CA-Yedekleme\Dışa Aktarılan-CA-FRM-01.pfx
  

• Çıkartılan PFX kârlarının içinde anahtar bulunmaktadır. Bu anahtar sistemi geri yüklenir.
  
  PS C:\CA-Yedekleme> certutil –restorekey C:\CA-Yedekleme\Dışa Aktarılan-CA-FRM-01.pfx
  
• Kayıt defteri düzenleyicisinin ayarları. Bu aşamada kayıt defteri anahtarlarının bilgilerini verirken dikkatli olunması gerekiyor. Yanlış değiştirdiğiniz bir ayar nedeni ile sisteminiz çalışamaz durumda olabilir. Mutlaka kayıt yedeklerinizi alın. 2 ayrı kayıt defteri anahtar ayarı girişi yapılır. Burada ki içeriklerin isimleri altında C:\CA-Backup dizini mevcuttu. Dosyanın uzantısının düzenli olmasına dikkat edilir.
  
  Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ CA-FRM-01 \CSP]
  "Sağlayıcı Türü"=dword:00000000
  "Sağlayıcı"="Microsoft Yazılım Anahtar Depolama Sağlayıcısı"
  "CNGPublicKeyAlgoritması"="RSA"
  "CNGHashAlgoritması"="SHA1"
  

SHA1.reg

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA-FRM-01\EncryptionCSP]
"ProviderType"=dword:00000000
"Provider"="Microsoft Software Key Storage Provider"
"CNGPublicKeyAlgorithm"="RSA"
"CNGEncryptionAlgorithm"="3DES"
"MachineKeyset"=dword:00000001
"SymmetricKeySize"=dword:000000a8

3DES.kayıt

PS C:\CA-Yedekleme> reg SHA1.reg'i içe aktar
PS C:\CA-Yedekleme> reg 3DES.reg dosyasını içe aktar

• Hash Algoritması SHA256'ya dönüştürülür. Ardından servis başlatılır.
  
  PS C:\CA-Yedekleme> certutil -setreg ca\csp\CNGHashAlgorithm SHA256
  PS C:\CA-Yedekleme> Başlat-Hizmet certsvc
  

Yeni çalışanlarya sahip kök sertifikasının alınması

1. Sertifika Yetkilisi mmc konsolunu açın.
2. Sertifika sunucusunun adına sağ tıklanır ve "CA Sertifikasını Yenile…" tıklanır.
3. Bu işlem sırasında servisin durdurulması istenmektedir. Evet tıklanır.
4. Yeni anahtarlı yeni bir kök sertifikası oluşturmak için hiçbir seçilir ve OK tıklanır. Bu işlem yapıldıktan sonra servis otomatik olarak başlar.
5. Sertifikanın kontrolü için yine MMC konsolu üzerinde sunucu üzerine sağ tıklanır ve Özellikler seçilir.
6. Sertifika özellikleri ekranında alt kısımda sertifika sunucusunun varsayılan algoritması görülür.
7. View Certificate düğmesine basıldığında kök sertifikanın SHA256 algoritmasında bir sertifika olduğu görülür.

Dosya Uzantıları

REG: kayıt kayıtlarını içeren metin tabanlı dosyalardır. Not defteri vb. bir araçla hazırlanıp kopyalanan txt yerine reglenerek yazılarak saklanıyordu. Bu durumda dosya kayıt uygulaması dosyası yüklenir ve çalıştırıldığında, bulunan kayıt defteri anahtarları yüklenir.

PFX: Sertifikanın ikili formatı ki halidir. İçeriğinde özel anahtar (Private Key) bulunur. Bu dosya Microsoft'un bir formatıdır.

P12: PFX gibi Sertifikanın ikili formatı ki halidir. İçeriğinde özel anahtar (Private Key) bulunur. Bu dosya Netscape'in formatıdır. Microsoft tarafından tanınır.