Active Directory Certificate Services
Active Directory Certificate Services (AD CS), Microsoft’un Windows Server işletim sistemlerinde sunduğu bir rol servisidir ve dijital sertifika altyapısını (PKI – Public Key Infrastructure) kurmak ve yönetmek için kullanılır.
AD CS, kuruluşlara kendi Sertifika Yetkilisi (CA - Certificate Authority) sunucularını kurma ve yönetme imkânı sunar. Bu sistem, kullanıcıların, bilgisayarların, cihazların ve hizmetlerin kimlik doğrulaması ve veri şifreleme işlemlerinde kullanılacak dijital sertifikaları üretir ve yönetir.
? Nasıl Çalışır?
- Sen Enterprise Root CA kurduğunda, bu CA'nın kök sertifikası: Active Directory’nin özel bir deposuna (Configuration\Public Key Services\Certification Authorities) yazılır. Bu bilgi, domain içinde replikasyonla yayılır.
- Bir bilgisayar domain’e katıldığında: İlk oturum açışta, Group Policy Client çalışır. Arka planda, sertifika otoriteleri ve kök sertifikalar istemciye aktarılır.
- Sonuç olarak certmgr.msc altında → Trusted Root Certification Authorities içinde CA görünür. CA sertifikası manuel müdahale olmadan otomatik gelir.
? AD CS Ne İşe Yarar?
✅ Kimlik Doğrulama: Kullanıcıların, bilgisayarların, hizmetlerin kimliğini doğrulamak için dijital sertifikalar kullanılır.
✅ Güvenli İletişim (SSL/TLS): Web sunucularına SSL sertifikası vererek HTTPS bağlantı sağlar (IIS, Exchange, vb.).
✅ E-posta Güvenliği: S/MIME kullanarak e-posta imzalama ve şifreleme imkânı sunar.
✅ Dosya Şifreleme (EFS): Sertifika ile dosya şifreleme işlemleri yapılabilir.
✅ IPSec / VPN / 802.1x Kimlik Doğrulama: Ağ güvenliği için kimlik doğrulama protokollerinde sertifika tabanlı yetkilendirme sağlar.
✅ Otomatik Sertifika Dağıtımı: Group Policy ile kullanıcı ve cihazlara otomatik sertifika dağıtımı yapılabilir (Enterprise CA ile).
? AD CS’nin Sağladığı Temel Bileşenler
| Bileşen | Açıklama |
|---|---|
| Certificate Authority (CA) | Sertifikaları oluşturan, dağıtan ve iptal eden merkezdir. |
| Certificate Templates | Önceden tanımlanmış sertifika türleridir (örneğin, kullanıcı girişi, EFS, sunucu kimliği). |
| Online Responder | CRL (Certificate Revocation List) yerine anlık sertifika geçerlilik kontrolü sağlar (OCSP protokolü ile). |
| Network Device Enrollment Service (NDES) | Router, switch gibi cihazlara otomatik sertifika sağlar. |
| Certificate Enrollment Web Services | Domain dışında olan istemcilerin HTTPS üzerinden sertifika alabilmesini sağlar. |
? AD CS Türleri
| Tür | Açıklama |
|---|---|
| Enterprise CA | AD ile entegre çalışır. Sertifika dağıtımı otomatik olabilir. Domain üyelerine uygundur. |
| Standalone CA | AD entegrasyonu yoktur. Sertifikalar manuel onayla verilir. Daha çok test/özel senaryolarda kullanılır. |
Active Directory Certificate Services Install
Kuruluma başlamadan önce aşağıdaki gereksinimleri karşılayın.
- ? Sunucu domain'e katılmış olmalı. (example.local)
- ? Domain Admin yetkisine sahip bir hesapla oturum açılmış olmalı.
- ? DNS ve AD erişimi çalışıyor olmalı.
- ? Windows Server kurulu (2016/2019/2022 desteklenir).
Sunucuda oturum açtıktan sonra, Server Manager → Manage → Add Roles and Features kısmından Active Directory Certificate Services rolünü seçerek devam edin.
Role Services kısmından Certification Authority ve Certification Authority Web Enrollment seçeneklerini işaretleyerek kurulumunu tamamlayın.
İşlem bitince, Configure Active Directory Certificate Services on the destination server seçeneği ile devam edin.
Açılan pencerede, Credentials ekranında kurulumu tamamlanan servislerin yönetimi için kullanılacak kullanıcı domain admin hesap bilgilerini belirleyin.
Role Services ekranında Certification Authority ve Certification Authority Web Enrollment seçeneğini işaretleyerek Next bile evam ediniz.
Setup Type ekranında Enterprise seçeneğini işaretleyerek devam edin.
Enterprise CA kısmı pasif gelirse hesabın domain admin olduğundan emin olunuz. Eğer sorun devam ederse makinayı yeniden başlatıp işlemleri tekrarlayın.
CA Type ekranında Root CA seçeneğini seçerek devam edin.
Private Key ekranında Create a new private key seçeneğini seçerek devam edin.
Cryptography ekranında varsayılan ayarları değiştirmeden devam ediniz.
CA Name ekranında, servis hangi makina üzerinde kurulu ise adını otomatik olarak doldurulacaktır.
Validity Period ekranında, sertifikanın geçerlilik süresi varsayılan olarak 5 yıl olarak belirlenmiştir. Ancak ben root sertifika olduğu için daha uzun bir süre vererek devam edeceğim.
Certificate Database ekranında, sertifikaların kaydedileceği veritabanı ve log dosyalarının konumu değiştirmeden devam ediyoruz.
Configure butonuna tıklayarak işlemi başlatın.
Bu adımları tamamladıktan sonra Windows Certification Authority (CA) başarıyla kurulmuş olacaktır.
Kurulum sonrası certsrv.msc komutuyla Certificate Authority MMC açılır. Buradan yayınlanan sertifikaları, talepleri, şablonları yönetebilirsin.
Tarayıcı üzerinden http://localhost/CertSrv adresine girdikten sonra:
- CSR (certificate request) yükleyebilir
- CA’dan sertifika talep edebilir
- Dağıtılmış sertifikaları indirebilirsin
Yukarıdaki gibi bir hata alırsanız. IIS yönetiminden Require SSL seçeneğini kapatmanız yeterli olacaktır.
Tekrar kontrol ettiğiniz zaman sayfanın geldiğini görebilirsiniz.
