Design Active Directory Certificate Services
วันนี้จะมาพูดถึงการ Design Active Directory Certificate Services แต่ก่อนจะเริ่มพูดถึงการ Design ผมขออธิบายให้ทุกท่านเข้าใจก่อนนะครับว่า Active Directory Certificate Services คืออะไร และมีไว้ทำไม
Active Directory Certificate Services คือ การให้บริการและการบริหารจัดการ ที่เกี่ยวข้องกับ Certificate ที่จะนำไปใช้งานร่วมกับ Software Security ต่างๆ ไม่ว่าจะเป็น Single Sign On, SSL, Dot1X Authentication เป็นต้น ในการตรวจสอบตัวตน และยืนยันตัวตน โดยการออก Certificate นั้นใช้เทคโนโลยีของ Public Key Infrastructure (PKI) ในการ Generate Key เพื่อในการใช้งานครับ
ในการ Design นั้นส่วนใหญ่ก็จะขึ้นอยู่กับลักษณะขององค์กร ครับ โดยการ Design นั้นควรที่จะแบ่งออกมาเป็นดังต่อไปนี้
1. Root Tier (Root CAs) แนะนำให้ท่านตั้งเป็น Standard Root CAs (Offiline Mode) เนื่องจาก Root CAs จะทำหน้าที่ ในการถือ Primary Key (*ถ้าต้องการด้านความปลอดภัยเพิ่ม แนะนำให้ เอา Primary Key มาเก็บกับอุปกรณ์ HSM : Hardware Security Module ครับ)
2. Issuer Tier ทำหน้าที่ในการบริหารจัดการ Certificate ครับ
3. Front End Tier ทำหน้าที่ในการ ขอออกใบ Certificate และตรวจสอบ ความถูกต้องของ Certificate ครับ เช่น Certificate นั้นหมดอายุหรือยัง รวมถึง มีการไม่อนุญาติให้ใช้งาน Certificate นั้นไปแล้วหรือยังครับ
4. DMZ Tier จะเป็นในส่วนของที่องค์กรท่านมีการนำ Certificate ไปใช้งานภายนอกองค์กร จะต้องมีการตรวจสอบอยู่เสมอว่า Certificate ของท่านถูกต้องหรือไม่ครับ
แต่ว่าส่วนใหญ่ที่ผมสัมผัสกับ องค์กรต่างๆนั้น มักจะ Design แค่ว่า ตั้ง Root CAs เครื่องเดียวและทำทุกอย่างเลยไม่ว่าจะ เป็น บริหารจัดการ Certificate (Issuer), ขอออกใบ Certificate (Web Enroll), ตรวจสอบใบ Certificate (CDP/AIA) ซึ่งถ้าในทางการใช้งานสามารถทำได้นะครับ แต่ผมไม่แนะนำให้ทำ เนื่องจากไม่ปลอดภัย เพราะมีโอกาสที่ Primary Key ที่เก็บอยู่ที่ Root CAs ของท่านจะหลุดได้ครับ
ก็เสมือนกับว่า ท่านทำกุญแจ หายไปนั่นเอง ซึ่งคนที่ได้กุญแจไป ก็จะเข้ามาเมื่อไรก็ได้ครับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น