Teknologi

Memahami Otoritas Sertifikat

December 2, 2021 comments off

Tinjauan tentang Otoritas Sertifikat

Dalam Infrastruktur Kunci Publik (PKI), sertifikat digital didasarkan pada kriptografi kunci publik. PKI terdiri dari satu set komponen, kebijakan, protokol, dan teknologi yang menyediakan otentikasi data, integritas, dan kerahasiaan melalui penggunaan sertifikat, dan kunci publik dan pribadi. Data dilindungi dengan menerapkan algoritma hashing dan algoritma tanda tangan ke pesan asli. Algoritma hashing adalah algoritma matematika yang rumit yang diterapkan pada pesan. Algoritma hashing yang umum digunakan adalah MD2, MD4, MD5, dan SHA-1. Algoritme penyedia kriptografi kuat Microsoft adalah algoritme tanda tangan default yang digunakan di Windows Server 2003. Algoritme ini diterapkan pada apa yang disebut intisari pesan. Dengan kriptografi kunci publik, kunci yang mengenkripsi data disebut kunci publik. Kunci yang digunakan untuk mendekripsi data disebut kunci privat. Sementara kunci publik dapat didistribusikan secara publik, kunci privat tetap aman.

Kemampuan memang ada bagi organisasi untuk mengunduh perangkat lunak dan alat yang menghasilkan sertifikat digital dan pasangan kunci privat dan publik, tetapi bagaimana Anda tahu bahwa sumber perangkat lunak dan alat ini aman. Dengan cara yang sama, PKI lokal dapat membuat kunci publik dan pribadinya sendiri, dan mengirimkannya ke pihak lain. Setelah mendapatkan, bagaimana pihak-pihak ini memverifikasi sumber sertifikat ketika tidak ada yang mengautentikasinya.

Pemanfaatan Otoritas Sertifikat (CA) mengatasi masalah keamanan ini. Otoritas Sertifikat dapat didefinisikan sebagai entitas yang menghasilkan dan memvalidasi sertifikat digital. CA menambahkan tanda tangannya sendiri ke kunci publik klien. Ini pada dasarnya menunjukkan bahwa kunci publik dapat dianggap valid, oleh pihak-pihak yang mempercayai CA. Entitas pihak ketiga yang menyediakan dan menerbitkan sertifikat digital adalah VeriSign, Entrust, dan GlobalSign. Karena entitas ini mengeluarkan sertifikat digital dengan biaya tertentu, itu bisa menjadi pengeluaran yang mahal di organisasi besar. Dengan menggunakan alat yang disediakan oleh Microsoft, Anda dapat membuat struktur CA internal dalam organisasi Anda. Anda dapat menggunakan Layanan Sertifikat Windows Server 2003 untuk membuat sertifikat bagi pengguna dan komputer di domain direktori aktif.

Sebelum membahas CA lebih jauh, mari kita lihat dulu peran yang dimainkan CA dalam Public Key Infrastructure (PKI).

  1. Permintaan untuk sertifikat dikirim ke CA.
  2. CA mengotentikasi pengguna, dan kemudian mengeluarkan sertifikat digital kepada pemohon.
  3. CA menerbitkan sertifikat di penyimpanan sertifikat publik, sehingga penerima pesan dapat mengotentikasi CA.
  4. Ketika kunci digunakan untuk menandatangani pesan, algoritma hashing diterapkan pada pesan. Hasil akhirnya adalah intisari pesan.
  5. Selanjutnya, algoritma penandatanganan (dengan kunci pribadi) diterapkan pada intisari pesan.
  6. Pesan terenkripsi kemudian dikirim.
  7. Penerima pesan memvalidasi detail sertifikat menggunakan repositori sertifikat publik.
  8. Penerima kemudian mendekripsi pesan.

Pada Langkah 1 dari proses di atas, pengguna atau komputer membuat dirinya dikenal oleh CA. Proses ini disebut registrasi, dan dapat dilakukan secara manual atau otomatis. Pengguna atau komputer yang mengirim permintaan ke CA memberikan informasi ke CA, yang digunakan CA untuk mengotentikasi entitas.

Langkah awal dalam mengimplementasikan PKI, adalah menginstal CA. CA pertama yang diinstal, menjadi CA root. Root CA membentuk dasar dari PKI karena mengeluarkan pasangan kunci privat dan publik yang digunakan untuk mengamankan data saat ditransmisikan melalui jaringan.

Perbedaan antara CA Internal dan CA Eksternal

Sementara organisasi kecil mungkin hanya membutuhkan satu CA, organisasi besar akan membutuhkan banyak CA, yang dapat mencakup kombinasi CA internal dan eksternal. Ketika CA internal dan eksternal digunakan dalam suatu organisasi, Layanan Sertifikat Windows Server 2003 dapat digunakan untuk menyediakan kapabilitas CA internal untuk organisasi, sementara pihak ketiga seperti VeriSign dapat digunakan sebagai CA eksternal. Penggunaan CA eksternal menjadi penting jika organisasi perlu bertukar sertifikat digital dengan organisasi lain.

Kebutuhan keamanan organisasi akan menentukan apakah CA internal, CA eksternal, atau keduanya digunakan. Organisasi biasanya menggunakan CA internal untuk mengamankan data yang dikomunikasikan melalui jaringan internal, dan CA eksternal untuk mengamankan data yang dikomunikasikan ke entitas eksternal.

Keuntungan menggunakan CA internal yang secara singkat di bawah ini:

  • Penyederhanaan dan kemudahan manajemen mungkin merupakan keuntungan utama yang terkait dengan penggunaan CA internal. Anda tidak perlu bergantung pada entitas eksternal untuk melakukan tugas administratif.
  • Struktur CA internal dapat diintegrasikan dalam Active Directory. Ini semakin menyederhanakan pengelolaan struktur CA.
  • Tidak ada biaya per sertifikat yang terkait dengan CA internal.
  • Lebih murah untuk mengkonfigurasi, dan memperluas PKI.
  • Fitur pendaftaran otomatis Windows Server 2003 dapat digunakan untuk pengguna.

kerugian dari menggunakan CA internal yang secara singkat di bawah ini:

  • Menerapkan CA internal lebih rumit daripada menggunakan CA eksternal.
  • Ketika organisasi menggunakan CA internal, mereka harus bertanggung jawab atas kegagalan PKI.
  • Pihak eksternal seperti mitra bisnis, atau pelanggan organisasi; biasanya tidak akan mempercayai sertifikat digital yang ditandatangani oleh CA internal.
  • Overhead manajemen sertifikat CA internal lebih tinggi daripada CA eksternal.

Keuntungan menggunakan CA eksternal secara singkat di bawah ini:

  • CA eksternal bertanggung jawab atas kegagalan PKI.
  • Organisasi eksternal umumnya akan mempercayai sertifikat digital yang ditandatangani oleh CA eksternal tepercaya, seperti VeriSign.
  • Overhead manajemen sertifikat CA eksternal lebih rendah daripada CA internal.

kerugian dari menggunakan CA eksternal secara singkat di bawah ini:

  • Tingkat integrasi yang mungkin antara CA eksternal dan infrastruktur organisasi terbatas.
  • Biaya per biaya sertifikat yang terkait dengan CA eksternal bisa menjadi terlalu tinggi di organisasi besar.
  • Ada sedikit fleksibilitas dalam hal mengonfigurasi, memperluas, dan mengelola sertifikat.

Jika Anda telah memilih untuk menggunakan CA internal dalam organisasi Anda, Anda harus menentukan berapa banyak CA yang akan dibutuhkan, untuk memenuhi persyaratan keamanan organisasi Anda. Setelah Anda memutuskan jumlah CA yang harus diinstal, Anda perlu menentukan di mana CA akan ditempatkan. Memiliki dua atau lebih CA memberikan manfaat seperti toleransi kesalahan. Dengan beberapa CA, ketika satu server CA gagal, klien dapat terus meminta sertifikat. Jika organisasi Anda memiliki banyak cabang, Anda dapat mengonfigurasi CA untuk setiap cabang. Ini mengurangi lalu lintas jaringan area luas (WAN).

Faktor-faktor seperti kinerja CPU server dan kinerja disk memengaruhi kinerja CA, dan dapat memengaruhi jumlah CA yang Anda butuhkan. Ingatlah juga bahwa panjang kunci enkripsi dalam sertifikat juga memengaruhi kinerja server CA. Kunci yang lebih panjang biasanya membutuhkan lebih banyak waktu pemrosesan.

Perbedaan antara Root CA dan Subordinat CA

CA pertama yang diinstal menjadi CA root. Akar CA membentuk dasar PKI. Praktik umum adalah menginstal CA root terlebih dahulu, lalu menggunakan CA root untuk memvalidasi semua CA lain dalam organisasi. Root CA adalah CA paling tepercaya dalam hierarki CA. Saat CA root mengeluarkan sertifikat ke CA lain, CA ini menjadi CA subordinat dari CA root. Ketika root CA tetap online, digunakan untuk mengeluarkan sertifikat ke CA bawahan. Root CA biasanya tidak pernah secara langsung mengeluarkan sertifikat kepada pengguna, komputer, aplikasi, atau layanan.

CA bawahan juga dapat menerbitkan sertifikat ke CA bawahan lainnya. CA bawahan ini disebut CA perantara. Sementara CA perantara berada di bawah CA root, CA tersebut dianggap lebih unggul dari CA bawahan yang mengeluarkan sertifikat. CA bawahan yang hanya mengeluarkan sertifikat kepada pengguna, dan bukan untuk CA bawahan lainnya, disebut CA daun.

Perbedaan antara Enterprise CA dan Stand-alone CA

Baik CA perusahaan maupun CA yang berdiri sendiri dapat digunakan untuk menerbitkan sertifikat untuk hal-hal berikut:

  • Sertifikat digital
  • Email, S/MIME
  • Server web, SSL

Namun mereka dibedakan satu sama lain, berdasarkan lokasi mereka:

  • Enterprise CA: Enterprise CA menyimpan informasi sertifikatnya di Active Directory. Enterprise CA pada dasarnya bergantung pada Active Directory untuk menyimpan dan mereplikasi data sertifikat. Artinya, CA perusahaan harus dikonfigurasi sebagai pengontrol domain. Ini pada gilirannya berarti bahwa CA perusahaan hanya dapat mengeluarkan sertifikat kepada pengguna dan komputer yang dimiliki oleh hutan.
  • CA yang berdiri sendiri: CA yang berdiri sendiri menyimpan data sertifikatnya dalam folder bersama yang dapat diakses melalui URL Web. Ketika pengguna ingin meminta sertifikat dari CA yang berdiri sendiri, mereka harus menggunakan pendaftaran Web.

Template sertifikat hanya dapat digunakan dengan CA perusahaan. Templat sertifikat digunakan untuk menentukan format dan isi sertifikat, berdasarkan tujuan penggunaan sertifikat. Melalui templat sertifikat, Anda dapat menentukan pengguna dan grup yang diizinkan untuk meminta sertifikat tertentu.

Singkatnya, jenis CA yang dapat Anda instal tercantum di bawah ini:

  • CA root perusahaan: Ini adalah CA teratas dalam hierarki CA, dan merupakan CA pertama yang diinstal di perusahaan. CA root perusahaan bergantung pada Active Directory. CA root perusahaan menerbitkan sertifikat kepada CA bawahan
  • Enterprise Subordinate CA: CA ini juga membutuhkan Active Directory, dan digunakan untuk mengeluarkan sertifikat kepada pengguna dan komputer.
  • Root CA yang berdiri sendiri : Root CA yang berdiri sendiri juga merupakan CA paling atas dalam rantai sertifikat. Root CA yang berdiri sendiri tidak bergantung pada Active Directory, dan dapat dihapus dari jaringan. Ini menjadikan CA root yang berdiri sendiri sebagai solusi untuk menerapkan CA root offline yang aman.
  • CA Bawahan yang berdiri sendiri: CA jenis ini juga tidak bergantung pada Active Directory, dan digunakan untuk menerbitkan sertifikat kepada pengguna, komputer, dan CA lainnya.

Hierarki CA

Dalam caral CA tunggal, hanya ada satu CA di PKI organisasi. Semua pengguna atau pihak diberikan kunci publik CA ini ketika mereka meminta sertifikat.

Dalam hierarki CA, ketika root CA diinstal, Anda dapat menggunakan CA ini untuk menerbitkan sertifikat CA ke server sertifikat lainnya. CA bawahan ini pada gilirannya dapat menerbitkan sertifikat ke CA bawahan lainnya. Proses penginstalan CA dan penerbitan sertifikat antara server CA ini memulai pembentukan hierarki CA. Terminologi lain yang digunakan untuk merujuk pada hierarki CA adalah rantai kepercayaan. Ketika ada beberapa CA dalam suatu organisasi, hubungan yang mereka miliki satu sama lain didasarkan pada hubungan induk/anak antara CA. Penting untuk dicatat bahwa root CA memiliki sertifikat yang ditandatangani sendiri. Artinya, sertifikat CA root tidak ditandatangani oleh otoritas lain yang lebih tinggi, tetapi dengan sendirinya. Root CA yang sebenarnya mengeluarkan dan menandatangani sertifikat.

CA di bawah CA root dalam rantai sertifikat disebut CA perantara. Jenis CA bawahan ini digunakan untuk menerbitkan sertifikat kepada CA bawahan lainnya. CA yang terletak di bawah CA perantara berada di bawah CA perantara. Nama yang digunakan untuk menggambarkan CA yang terletak di bawah CA perantara adalah CA daun. CA Daun mengeluarkan sertifikat kepada pengguna, komputer, aplikasi, dan layanan.

h2>Fitur Baru yang disediakan oleh Windows Server 2003 CAs

Fitur yang disediakan Windows Server 2003 CAs saat Anda menjalankan Windows Server 2003 Enterprise Edition atau Windows Server 2003 Datacenter Edition diuraikan di bawah ini. Ini adalah peningkatan kemampuan Windows 2000 CA, dan juga hanya tersedia ketika templat sertifikat Versi 2 digunakan untuk menerbitkan sertifikat.

  • Pengarsipan dan pemulihan kunci: Fitur ini memungkinkan Anda untuk mengarsipkan kunci, dan menerbitkannya kembali saat pengguna kehilangan kunci mereka.
  • Pendaftaran otomatis pengguna: Anda dapat mengonfigurasi pengguna untuk mendaftar otomatis untuk sertifikat Pengguna.
  • Delta CRL: Dengan CRL delta, klien hanya dikirimi pembaruan yang harus ditambahkan ke CRL dasar mereka saat perubahan dibuat.
  • Subordinasi yang memenuhi syarat: Melalui fitur ini, Anda dapat mengontrol jenis sertifikat yang dapat diterbitkan oleh CA bawahan.

CA dan Daftar Pencabutan Sertifikat (CRL)

Fungsi lain yang terkait dengan CA di PKI, adalah penerbitan Daftar Pencabutan Sertifikat (Certificate Revocation Lists/CRLs). CRL adalah daftar yang berisi nomor seri semua sertifikat yang telah dicabut. CA bertanggung jawab untuk
memelihara CRL. Ketika CA memvalidasi sertifikat, CA memeriksa CRL untuk menentukan apakah masih valid atau tidak. Jika sertifikat ada di CRL, CA mengumumkan sertifikat sebagai dicabut.

CA menempatkan CRL di lokasi, yang disebut CRL Distribution Points (CDP), tempat klien dapat mengunduh CRL. Ketika klien tidak dapat menemukan CRL di CDP, ia bekerja dengan asumsi bahwa semua sertifikat yang dikeluarkan oleh CA telah dicabut. Enterprise CA menerbitkan CRL-nya di Active Directory. Objek aktual yang digunakan adalah objek CRLDistributionPoint. CA yang berdiri sendiri menyimpan CRL mereka di folder systemroot%system32certsrvCertEnroll. Anda dapat menggunakan konsol manajemen Otoritas Sertifikasi untuk melihat daftar sertifikat yang disertakan dalam CRL. Cukup, klik kanan Sertifikat yang Dicabut, pilih Properti dari menu pintasan, lalu klik Lihat CRL. Anda juga dapat menggunakan konsol manajemen Otoritas Sertifikasi untuk menerbitkan CRL secara manual. CRL biasanya diterbitkan secara manual ketika sertifikat penting telah disusupi.

Saat Anda menentukan periode validitas yang panjang untuk CA, CRL dapat tumbuh cukup besar. Anda dapat menggunakan delta CRL jika server Anda menjalankan Windows Server 2003 Enterprise Edition, atau Windows Server 2003 Datacenter Edition untuk meminimalkan waktu pembaruan yang diperlukan untuk menerbitkan sertifikat yang dicabut. Saat CRL delta digunakan, klien pertama kali dikirimi CRL dasar. Setelah ini, klien hanya dikirim pembaruan secara berkala.

Konsol manajemen Otoritas Sertifikasi

Konsol Otoritas Sertifikasi adalah snap-in MMC yang digunakan untuk mengelola dan mengelola CA. Anda dapat melakukan tugas administratif utama berikut melalui konsol Otoritas Sertifikasi:

  • Mulai dan hentikan CA
  • Cadangkan dan pulihkan CA
  • Cabut sertifikat
  • Lihat, instal, dan instal ulang sertifikat CA untuk CA
  • Lihat konten CRL
  • Publikasikan CRL
  • Lihat dan ubah titik distribusi CRL
  • Lihat, setujui, atau tolak sertifikat yang tertunda

Cara menginstal CA

  1. Klik Mulai, Panel Kontrol, dan klik Tambah Atau Hapus Program.
  2. Pilih Tambah/Hapus Komponen Windows di kotak dialog Tambah Atau Hapus Program.
  3. Wisaya Komponen Windows diluncurkan.
  4. Pilih kotak centang Layanan Sertifikat.
  5. Klik Ya untuk pesan peringatan bahwa nama CA tidak dapat diubah.
  6. Pada halaman Jenis CA, pilih Enterprise Root CA atau Stand-alone Root CA. Klik Berikutnya.
  7. Pada halaman Informasi Identifikasi CA, masukkan nama untuk CA di kotak Common Name For This CA. Klik Berikutnya.
  8. Anda dapat menerima atau mengubah pengaturan default di halaman Pengaturan Database Sertifikat. Klik Berikutnya.
  9. Layanan sertifikat diinstal dan database CA dimulai. IIS dimulai ulang setelah ini.
  10. Klik OK jika kotak dialog pesan muncul, memperingatkan bahwa ASP harus diaktifkan untuk pendaftaran Web.
  11. Klik Selesai.

Cara melihat CRL

  1. Klik Mulai, Alat Administratif, lalu klik Otoritas Sertifikat.
  2. Klik kanan Sertifikat yang Dicabut dan pilih Properti dari menu pintasan.
  3. Ketika kotak dialog Properti Sertifikat yang Dicabut terbuka, klik Lihat CRL Saat Ini.
  4. Di kotak dialog Daftar Pencabutan Sertifikat, klik tab Daftar Pencabutan.
tatangsma