courseoutline_metadesc.tpl

Master Class: Public Key Infrastructure (PKI) Deep Dive (PKIDD) – Details

Detaillierter Kursinhalt

Windows Server 2016 / 2019 / 2022 PKI
  • Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
  • Anwendungen durch PKI
  • Mehrstufige PKI (2-stufig, 3-stufig)
  • Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
  • Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
  • NIST, NSA Suite-B Cryptography
  • Kryptographische Standards: X509v3, PKCS etc.
  • CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
  • CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
  • Digital Certificate X.509v3 und die Felder
  • Windows Cipher Suite
  • PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec

Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:
Design und Implementierung einer mehrstufigen 2019 PKI:
  • Design einer PKI (einstufig, zweistufig und dreistufig)
  • Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
  • Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
  • Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
  • Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
  • Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
  • Publizieren CDP und AIA in Active Directory und auf dem Webserver
  • Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
  • Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
  • Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
  • Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)
Block 3 Administration:
PKI-Administration mit Rollenseparation
  • Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
  • Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
  • Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
  • Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
  • Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
  • CA-Ereignisse senden per E-Mail
  • Zertifikatsvorlagen Typ 1, 2, 3 und 4
  • Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
  • Kopieren von Zertifikatsvorlagen
  • Die wichtigsten Zertifikatsvorlagen-Einstellungen:
  • Anforderungsverarbeitung
  • Anwendungs- und Ausstellungsrichtlinien
  • Ausstellungsvoraussetzungen
  • Delegieren der Zertifikatsvorlagenverwaltung
  • Gültigkeitsdauer und Erweiterungszeitraum
  • Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung
  • Key Archivierung und Recovery
  • Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
  • Publizieren von Zertifikat
  • Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
Key Archivierung und Recovery
  • Windows CA mit Private Key Archivierung
  • Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
  • Verschlüsselung von Privatkeys und Zertifikat PKCS#12
  • Export und Import von Zertifikat und Privat Keys
  • Archivieren von EFS-Private Key
  • Wiederherstellen von archivierten Private Keys
Windows 10 & Windows Server 2019 Enrollment
  • Neue Features von Windows 10 und Server 2019
  • Einfachere Auswahl von Zertifikat im Certificate Store
  • Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM
Block 4 PKI-Anwendungen:
Smart Cards
  • Kerberos Authentication Zertifikat für alle Domain Controller
  • Installieren SmartCard-Reader
  • SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
  • Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer
Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation
  • Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
  • TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
  • Arbeiten mit TPMVSCMgr und Mini-Driver manager
  • TPM Key Attestation ab 2012 R2 CA
  • Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)
EFS Encrypted File System
  • Funktionsweise von EFS
  • Selbstsigniertes und CA signiertes EFS-Zertifikat
  • Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
  • Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
  • Verschlüsseln von lokalen Dateien
Block 5 Erneuerung von Zertifikat und CRL
Certificate Revocation List – CRLOverlap
  • Lebensdauer einer Base CRL und Delta CRL
  • Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
  • Standardwerte von CRLOverlap und CRLDeltaOverlap
  • Wie soll ein CRLOverlap eingestellt werden?
Online Certificate Status Protocol (OCSP)
  • OCSP-Vorlage erstellen
  • OCSP-Array erstellen und einrichten.
  • CA Revocation Konfiguration mit CRL Refresh Time einrichten
  • OCSP Response optimieren
  • OCSP Stapling
  • Lokal CRL – On-Demand Sperrung
Certificate Erneuerung
  • Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
  • Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
  • CA in eine neue PKI-Struktur umhängen
  • Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
  • Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
  • Cross RootCA Zertifikat
  • Migration oder Konsolidierung in eine neue PKI-Struktur
Block 6 Auditing & Troubleshooting
Auditing & Troubleshooting
  • Audit von PKI konfigurieren
  • Auswerten der Ereignisse
  • Troubleshooting von Zertifikatsenrollment
  • E-Mail Benachrichtigung
Network Device Enrollment Service (NDES)
  • Einrichtung und Konfiguration
  • Kerberos Delegation
  • Anfordern eines Zertifikates
Backup / Recovery von PKI-Database
  • Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
  • „Kleine“ und „grosse“ Datenbank-Sicherung
  • Wiederherstellen von CA-Keys und Datenbank
  • Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten
Certificate Lifecycle Notification (Optional)
  • Konfigurieren von Task Scheduler
  • Event 1001 bis 1007
  • PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
  • SCOM Monitor