IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

CRL Distribution Point Yapılandırması

Biliyorsunuz ki on-premises tarafında (yani yerel ağınızda) sertifika otoritesi kullanmak ve yönetmek public bir otoriteden (verisign gibi) sertifika almaya göre genelde karmaşık görünmektedir. Bende bu karmaşadan bir kuple çekip incelemek ve yazmak istedim. Daha önceki yazılarımda sertifika otoritesi kurulum konfigurasyonu ve çeşitli hizmetlerde kullanılması ile ilgili konuları yazmıştım. Şimdi ise yine sertifika otoritesi ile ilgili olarak örneğin sstp vpn kullanmak isteyen firmalarda kullanıcının bilgisayarları domaine dahil olmadığı için (örneğin evdeki makinesi) alınan revocation checking hatalarını inceleyip hataları gidermeye yönelik bir paylaşımda bulunmak istedim.

Sertifikalı bağlantı yaptırmak istediğiniz bir firma için eğer certification revocation list check işlemi gerçekleşiyorsa işte buradan itibaren hatalar alınmaya başlanıyor. Sertifika otoritesini kurduğunuzda sertifika revocation list check işlemi yapılmak üzere konfigure edilmiş oluyor . Domain içerisinde , domaine dahil makinelerimizde hiçbir sorun yaratmıyor.Çünkü domaininize dahil istemcileriniz LDAP yolundan CRL check işlemini yapabiliyor. Ancak dış dünyadan her hangi bir makineden erişim söz konusu ise makinelerimiz revocation list check yapamadıkları için sürekli hatalar ile karşılaşıyoruz. Eğer revocation list check yaptırılmazsa da bu bir güvenlik açığı oluyor.(key expose , key expire vs…)

Bu konuyu daha iyi inceleyebilmek adına sstp vpn konusunu ele almak istiyorum.

Test ortamında :

1 adet Server 2008 R2 DC: wgbank-dc , 172.20.20.100

1 adet Server 2008 r2 vpn Server :wgbank-vpn , 172.20.20.1 , 141.196.15.9

1 adet windows 7 client :w7, 141.196.15.10

Domain :woodgrovebank.com

DC üzerinde root sertifika otoritesi barınmaktadır.

Öncelikle domain controller üzerine sertifika otoritesini kurdum. VPN server yapılandırıp domaine dahil ettim ve tabi ki sertifika otoritesinden bir computer sertifikası talep ettim.( SSTP vpn ile kullanılması için.)

clip_image001

Vpn konfigürasyonunu yaptım. Client makineden sstp vpn bağlantısı yapmaya çalıştığımda aşağıdaki gibi bir hata alıp bağlantı kuramadım.

clip_image002

Gördüğünüz gibi “ …………revocation server was offline.” şeklinde bir uyarı aldım. Bu uyarıdan kurtulmak için kullanılacak yöntemlerden biri revocation check yaptırmamak diğeri ise distribution point’ i yani crl list dağıtım noktasını erişilebilir hale getirmek olacaktır.

İlk olarak crl kontrol yaptırmadan sstp bağlantısı için ne yapmak gerektiğine bakalım. Sertifika otoritesi yönetim konsolunda aşağıdak işlemleri sırasıyla yapmamız gerekiyor.

clip_image003

Extensions tabında CRL Distribution Point (CDP) seçilip CRL için belirlenen lokasyonlardan ilki için yukarıdaki gibi hiçbir seçeneğin işaretli olmaması gerekiyor. Publish CRLs to this location ve Publish Delta CRLs to this location seçenekleri işaretli olursa ilk lokasyondan crl dağıtılıyor.

clip_image004

Yukarıdaki gibi ikinci lokasyon seçili iken yine seçeneklere dikkat edelim CRL dağıtılmaması için ilgili seçeneklerin seçili olmaması gerekiyor.

clip_image005

CRL için üçüncü bir lokasyon olan http://….. Buradanda CRL dağıtılmaması için gerekli seçenekler temizlenir ve dördüncü lokasyon için de aynı şekilde seçenekler temizlenmelidir.

Bu işlemler yapıldıktan sonra sertifika servisleri yeniden başlatılır. Sertifika template konsolunda yeni bir template dublicate ederken karşımıza çıkan server tabında da aşağıdaki gibi ilgili seçenek işaretlenirse CRL kontrolü yapılmayacaktır.

clip_image007

Ve sonrasında bağlantı hatasız kurulur. Çünkü makinemiz artık CRL kontrol yapmıyor.

Bu yöntemde tabi ki dezavantajlarımız olacaktır. Örneğin zamanı dolmuş sertifikaları hala kullanmaya devam edebiliriz. Yenilenmediği için sertifikanın kırılmasına sebep olabiliriz yada expose edilmiş bir sertifika kullanabiliriz. Bu nedenle ikinci, yöntemi kullanmakta fayda var aslında.(revocation check yapalım) Şimdi bu yöntemi inceleyelim.

İlk olarak sertifika otoritemizi ilk haline geri döndürdük. Yani şuanda yine CRL publish edebilir durumda.

clip_image008

Gördüğünüz gibi CRL kontrol yapılan lokasyon LDAP yolu olarak belirtilmiş. Biliyorsunuz ki dış dünyadaki bir makine domaine dahil değil ise Ldap yolunu bulamayacağı için yine en baştaki gibi bir sorunla karşılaşıyor olacağız. Amacımız CRL için bir http url belirlemek yani IIS ile bir yol belirteceğiz.

Yeni bir lokasyon eklemek için add butonuna bastığımızda karşımıza aşağıdaki gibi bir pencere çıkıyor.

clip_image009

İlk olarak HTTP lokasyon belirtelim. Sertifika otoritesinde yapacaklarımız bittiğinde IIS te bu lokasyon için bir virtual directory hazırlamak gerekecektir. Location kısmını aşağıdaki gibi dolduralım ve gerekli bileşenleri ekleyelim.

clip_image010

Yukarıdaki location kısmında görüldüğü gibi http://crl.woodgrovebank.com/crld şeklinde bir alt dizini iis te oluşturmayı unutmayalım. Ve dizini belirttikten sonra insert butonu ile bileşenleri yada farklı bir tabirle değişkenleri ekleyelim.Sırasıyla CaName, CRLNameSuffix ve DeltaCRLAllowed için insert butonunu tıklayalım. Lokasyonun en sonuna .crleklemeyi unutmayalım.

clip_image011

Ve ok. sonra aşağıdaki pencerede gördüğünüz seçenekleri işaretlemelisiniz.

Bağlantı kurulduktan sonra bu dizinde crl kontrol yapılabilmesi için işaretlenmesi gereken seçeneklerdir.

clip_image012

Http lokasyonu ekledik sertifika servisini yeniden başlatmadan önce bir lokasyon daha ekleyelim. Dosya yolunu belirtip oradan da crl’i publish edelim. Add butonuna tıklayalım ve aşağıdaki gibi crl list için bir paylaşım lokasyonu belirleyelim. Aynı zamanda IIS’ te belirttiğimiz virtual directory için de dosya yolu olacaktır.

clip_image013

DC üzerine crldist isimli bir klasör oluşturup paylaşıma açtım(dc üzerinde olmak zorunda değildir!). Farklı bir server üzerine de paylaştırabilirsiniz. Ancak mutlaka paylaştırdığınız bu klasör üzerinde sertifika otoritesi kurulu olan makinenin tam denetim hakkı olmalı. Klasörün paylaşımında permission kısmında CA’e tam denetim verdikten sonra aynı zamanda security kısmında da CA makine hesabı için yine tam denetim hakkı vermelisiniz ki klasör içine certificate revocation list yazabilsin !!!

clip_image014

İzinleri görüldüğü gibi yapılandırdım.

clip_image015

Aşağıdaki gibi yine yolu yazdıktan sonra değişkenleri sırayla ekleyelim ve sonuna .crl koymayı unutmayalım.

clip_image016

Ve ok.Sonra açılan pencerede aşağıdaki gibi gerekli seçenekleri seçip kullanılmasını sağlayalım.

clip_image017

Ok ile devam . Sonrasında sertifika servisleri restart edilecektir.

Şimdi IIS’ te gerekli olan dizini açalım ve dosya yolunu gösterelim.

clip_image018

clip_image019

CRL distribution point için eklediğimiz lokasyonda crld şeklinde bir yol belirtmiştik bu nedenle burada alias olarak crld yazıyoruz ve yol olarak paylaştırdığımız klasörü seçiyoruz.

Crld dizini için orta panlede görülen directory browsing simgesine çift tıklayıp enable olmasını sağlayalım.

clip_image020

Ve yine orta panelde görülen configuration editör simgesine çift tıklayalım.

clip_image021

Drop down menüden yukarıda görüldüğü gibi requestFiltering seçelim.

clip_image022

False olarak görünen allowdoubleEscaping değerini true olarak değiştirelim.

http://technet.microsoft.com/en-us/library/cc754791(WS.10).aspx

http://social.technet.microsoft.com/Forums/nl-NL/winserversecurity/thread/4af09248-9d52-4c99-8e0c-de1a06cba8e9

clip_image023

Bu işlemleri de bitirdiketen sonra CA üzerinde crl’i publish etmek kaldı.

clip_image024

clip_image026

Yukarıda crldist şeklinde oluşturduğumuz klasör içine sertifika revocation listelerinin geldiğini görebiliriz.

CRL distribution için artık ldap yolu haricinde http ve file yolunuda tanımladık. Dolayısıyla artık clientlar crl’e ulaşıp sertifikaların doğruluğunu uygunluğunu geçerliliğini denetleyebileceklerdir.

Bundan sonra denemek kalıyor. Vpn server üzerinde var olan sertifikanında eski ve yeni hallerine bakalım.

clip_image027

Yukarıda vpn server eski sertifikasını ve CRL Distribution Points seçeneklerini görüyoruz. Yeni sertifikaya bakacak olursak;

clip_image028

Böylece bağlantı hemen kurulabilir duruma geldi. Tabi ki client yukarıda tanımlı olan crl.woodgrovebank.com ismini çözebiliyor olsun (crl url’si için bir cname kullanabilirsiniz.) Smile

3 comments found

Comments are closed.