শংসাপত্রগুলি ব্যবহার করে পছন্দসই স্টেট কনফিগারেশনে শংসাপত্রগুলি সুরক্ষিত করা

আমি ডিএসসিতে নতুন এবং এটি কীভাবে আমাদের জন্য কাজ করবে তা নির্ধারণের চেষ্টা করছি।

আমি যা আটকেছি তা হ'ল শংসাপত্রগুলি কীভাবে প্রকৃতপক্ষে সুরক্ষিত থাকে। আমার বর্তমান উপলব্ধিটি হ'ল এটি এত দুর্দান্ত কিছু নয়।

বড় তিনটি সমস্যা হ'ল এগুলি। কীভাবে একটি ডিক্রিপশন উত্স হিসাবে পাবলিক কী ব্যবহার করা সত্যিই সেই শংসাপত্রগুলিকে সুরক্ষা দেয়? কোন কম্পিউটারে দৃশ্যের টানতে এবং টানতে শংসাপত্রের প্রয়োজন? এই বিষয়গুলির আলোকে শংসাপত্রাদি নিয়ে কাজ করার জন্য সেরা অনুশীলনগুলি কী কী?

শংসাপত্রের সার্বজনীন কী ব্যবহার করা সংক্রমণটির উত্স প্রমাণীকরণের পক্ষে ভাল। তবে এটিকে একটি ডিক্রিপশন কী হিসাবে ব্যবহার করার অর্থ শংসাপত্রের পাবলিক কীতে অ্যাক্সেস পাসওয়ার্ডে অ্যাক্সেস নির্ধারণ করে।

আপনাকে যদি এমওএফ ফাইলগুলি ডিক্রিপ্ট করার দরকার হয় এমন প্রতিটি কম্পিউটারে শংসাপত্রটি চাপতে হয় তবে গড় ব্যবহারকারীদের শংসাপত্রটি অ্যাক্সেস পাওয়া থেকে বা এমওএফটি ডিক্রিপ্ট করতে সক্ষম হওয়ার কী আছে? সক্রিয় ডিরেক্টরি সুরক্ষা বলার অর্থ হ'ল আপনি এটিকে সরল পাঠ্যে রেখে যেতে পারেন এবং কেবল AD সুরক্ষার উপর নির্ভর করতে পারেন।

কেউ কি আমার চারপাশে আমার মাথা পেতে সাহায্য করতে পারে?

বেসিক আইডিয়া

1. কনফিগার করা হোস্টের অবশ্যই একটি শংসাপত্র ইনস্টল করা থাকতে হবে (ব্যক্তিগত কী সহ)।
2. টার্গেট নোডের স্থানীয় কনফিগারেশন ম্যানেজার (এলসিএম) সেটআপ করার সময় আপনাকে অবশ্যই সেই শংসাপত্রের থাম্বপ্রিন্ট নির্দিষ্ট করতে হবে। এটি LCM কে বলে যে কোন স্থানীয় সার্টিটি (বা আরও সঠিকভাবে কোন সার্টের ব্যক্তিগত কী) শংসাপত্রগুলি ডিক্রিপ্ট করতে ব্যবহৃত হবে।
3. আপনার ডিএসসি কনফিগারেশনে অবশ্যই কোনও ফাইলের দিকে নির্দেশ করতে হবে যাতে একই শংসাপত্রের শংসাপত্র (পাবলিক কী) থাকে। এটি কনফিগারেশন ডেটাতে করা হয়, সুতরাং আপনি যদি প্রতিটি নোডের জন্য একই কনফিগারেশন ব্যবহার করতে চান তবে আপনি প্রতিটি নোডের জন্য আলাদা আলাদা সার্টিফিকেট নির্দিষ্ট করতে পারেন।
4. যখন এমওএফটি তৈরি করা হয়, তখন পাবলিক কী মেশিনটি এমওএফ তৈরির মাধ্যমে শংসাপত্রগুলি এনসিটি করার জন্য ব্যবহৃত হয় ।
5. লক্ষ্য নোডের এলসিএম যখন পুল সার্ভার (এমওএফ আকারে) থেকে কনফিগারটি পুনরুদ্ধার করে, এটি শংসাপত্রের ডিক্রিপ্ট করার জন্য থাম্বপ্রিন্ট দ্বারা চিহ্নিত শংসাপত্রের ব্যক্তিগত কী ব্যবহার করে ।

কিছু বিশদে

পাবলিক কী ডিক্রিপ্ট করার জন্য ব্যবহার করা যাবে না এবং আপনি কনফিগার জেনারেশন বা বিতরণ মেশিনের সাথে ব্যক্তিগত কী ভাগ করে নিচ্ছেন না।

দেখে মনে হচ্ছে আপনি কর্মপ্রবাহটি এমনভাবে বিবেচনা করছেন যেন সমস্ত শংসাপত্রের জন্য একটি একক শংসাপত্র ব্যবহার রয়েছে। আপনি এটি করতে পারেন, তবে আমি মনে করি ধারণাটি প্রতিটি নোডের নিজস্ব কী জুড়ি থাকে।

"গড় ব্যবহারকারী" যা আমি প্রশাসনিক প্রশাসনিক ব্যবহারকারীদের বোঝাতে চাইছি, কোনও শংসাপত্রের প্রাইভেট কী রফতানি করতে সক্ষম হয় না (অনুমতি ব্যতীত অনুমতি না দেওয়া), এবং যেহেতু আপনি এই কীটি ঘুরিয়ে নেবেন না, তাই সম্ভাবনা খুব কমই রয়েছে এটি উন্মোচিত হচ্ছে। যদি ব্যবহারকারী প্রশাসক হন তবে অবশ্যই তাদের অ্যাক্সেস রয়েছে।

এটি অনেক বেশি সম্ভাবনা রয়েছে যে কোনও কনফিগারেশনে প্লেইন পাঠ্য শংসাপত্রগুলি সংরক্ষণ করে তা প্রকাশিত হবে না তা এটি অপ্রক্রিয়িত পাওয়ারশেল কনফিগারেশনের মাধ্যমে, বা উত্পন্ন এমওএফের মাধ্যমে। যদি এটি এনক্রিপ্ট না করা থাকে, তবে আপনাকে সুরক্ষিত করতে হবে:

• যেখানে কনফিগারটি সঞ্চয় করা আছে সেখানে ফাইল সিস্টেম / নেটওয়ার্ক ভাগের অবস্থান
• উত্পাদিত এমওএফস সংরক্ষণ করা হয় যেখানে fs / ভাগ
• আপনি টানা সার্ভারে এমওএফগুলি যেখানে সঞ্চয় করেন সেগুলি fs / ভাগ করুন
• নিশ্চিত করুন যে টান সার্ভারটি এসএসএল দিয়ে চলছে (আপনার যাইহোক এটি করা উচিত)
• পুল সার্ভারে প্রমাণীকরণ রয়েছে তা নিশ্চিত করুন, অন্যথায় কোনও বেনামে কোয়েরি উন্মুক্ত শংসাপত্রগুলির সাথে একটি কনফিগার পুনরুদ্ধার করতে পারে।

আমি মনে করি ডিএসসিতে সুরক্ষিত শংসাপত্রগুলি বরং দুর্দান্তভাবে সম্পন্ন করা হয়েছে তবে প্রাথমিকভাবে এটির সাথে সেট আপ করা কিছুটা অগ্নিপরীক্ষা।

এডি পিকেআই এটিকে সহজ করে তোলে

আপনি যদি আপনার এডি পরিবেশে এন্টারপ্রাইজ পিকেআই ব্যবহার করে থাকেন তবে প্রতিটি মেশিন সিএ-র সাথে স্বয়ংক্রিয়ভাবে তালিকাভুক্তির জন্য প্রস্তুত হওয়ার ভাল সম্ভাবনা রয়েছে, সুতরাং এর ইতিমধ্যে একটি মেশিন-নির্দিষ্ট শংসাপত্র রয়েছে যা নিজেই নবায়ন করে। এই উদ্দেশ্যে এটি ব্যবহার করার জন্য প্রয়োজনীয় সেটিংস রয়েছে।

আমি কীভাবে এটি বাস্তবায়ন করছি

যেহেতু এই মুহুর্তে ডিএসসির জন্য সরঞ্জামটি এতই খালি, সম্ভবত আপনি যে কোনও উপায়ে সহায়তা করতে কনফিগারেশন তৈরি এবং স্ক্রিপ্টগুলি লেখার জন্য নিজের নিজস্ব কর্মপ্রবাহ তৈরি করবেন।

আমার ক্ষেত্রে আমি এলসিএম মেটা এমওএফ উত্পন্ন করার জন্য এবং নোডের আসল কনফিগারেশন তৈরির জন্য পৃথক স্ক্রিপ্ট পেয়েছি, সুতরাং শংসাপত্রগুলি সুরক্ষিত করার জন্য আমার পদক্ষেপগুলি উভয়ের মধ্যে বিভক্ত হয়ে গেছে।

এলসিএম প্রজন্মের স্ক্রিপ্টে, আমি আসলে ডোমেনের জন্য সিএকে জিজ্ঞাসা করি যা মেশিনটির হোস্টনামটি কনফিগার করা হচ্ছে তার সাথে শংসাপত্রটি সন্ধান করে। আমি শংসাপত্রটি পুনরুদ্ধার করি (সিএতে ব্যক্তিগত কী নেই, কেবল সর্বজনীন) এবং এটি পরবর্তী ব্যবহারের জন্য কোনও পথে সংরক্ষণ করি। মেটা এমওএফটি শংসাপত্রের থাম্বপ্রিন্টটি ব্যবহার করতে কনফিগার করা হয়েছে।

নোড কনফিগারেশন স্ক্রিপ্টে আমি সার্টিফাইট ফাইলটি ব্যবহার করার জন্য কনফিগারেশন ডেটা সেট করেছি (কেবলমাত্র সর্বজনীন কী)। যখন এমওএফ তৈরি করা হয় তখন শংসাপত্রগুলি সেই শংসাপত্রের সাথে এনক্রিপ্ট করা হয় এবং কেবলমাত্র নির্দিষ্ট নোডের ব্যক্তিগত কী দিয়ে ডিক্রিপ্ট করা যায় ted

উল্লেখ

আমি উপরোক্ত ক্ষেত্রে আমার নিজের অভিজ্ঞতার উল্লেখ করেছি, তবে এই নিবন্ধটি সেই পথে একটি বড় সহায়তা ছিল: https : //devblogs.mic Microsoft.com/powershell/ਵੰਤ-to-secure-credentials- in-windows- powershell-desired-state- কনফিগারেশন

আমাকে নিজেই কিছু গর্ত পূরণ করতে হয়েছিল। তারা যে উদাহরণগুলি দেখায় সেগুলি লক্ষ্য করার জন্য একটি বিষয় হ'ল তারা Thumprintনোড কনফিগারেশনটি সরবরাহ করে। নোড কনফিগারেশনের জন্য এটি প্রয়োজনীয় নয়; তারা কেবল একই সময়ে কনফিগারেশন এবং এলসিএম মেটা কনফিগার তৈরি করছে এবং সেখানে ব্যবহারের জন্য থাম্বপ্রিন্ট সংরক্ষণ করতে কনফিগারেশন ডেটা ব্যবহার করছে।

এই শেষ অনুচ্ছেদটি বিভ্রান্তিকর হতে পারে তবে নিবন্ধের প্রসঙ্গে এটি আরও অর্থবোধ করে। আপনি যদি একই সাথে উভয় কনফিগার তৈরি করেন না তবে তাদের উদাহরণটি অদ্ভুত বলে মনে হচ্ছে। আমি এটি পরীক্ষা করেছি; Thumbprintশংসাপত্রগুলি এনক্রিপ্ট করার জন্য কনফিগারেশন ডেটার প্রয়োজন হয় না। CertificateFileযদিও প্রয়োজন হয়, এবং এটি অবশ্যই কনফিগারেশন ডেটাতে থাকা উচিত, সুতরাং আপনি যদি আগে কনফিগার ডেটা ব্যবহার না করতেন তবে আপনি এখনই থাকবেন।