Marc Grote. Telta Citynetz Eberswalde + IT Training Grote

Transkript

1 Marc Grote Telta Citynetz Eberswalde + IT Training Grote

2 Bestandteile einer PKI CA-Hierarchien Windows 2008 PKI CA-Arten Zertifikatvorlagen Certificate Lifecycle Manager OCSP / CRL Schlüssel Archivierung CA-Konsole Certutil PKI Health

3 Als Public-Key-Infrastruktur bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet.

4 Smartcards Signatur und Verschlüsselung IPSec PPTP EAP-TLS L2TP/IPSec SSL / TLS EFS Code Signatur

5 Digitale Zertifikate Certification Authority Registration Authority Certificate Revocation Lists Verzeichnisdienst Validierungsdienst

6

7 Windows Server 2008 Standard Alle Basisfunktionen einer Windows 2003 PKI Später erwähnte Erweiterungen Windows 2008 Enterprise und Datacenter Schlüssel Archivierung und Wiederherstellung V3 Certificate Templates ausstellen Role Separation (ISIS-MTT) OCSP / SCEP Unterstützung

8 Funktion Standard Edition Erweiterte Kryptografie-Unterstützung Ja Ja Failover Cluster Unterstützung Ja Ja Enterprise PKI (PKIview) Ja Ja Rollenbasierte Installation Ja Ja Upgrademöglichkeiten Von Standard CA Unbeaufsichtigte Installation Ja Ja V3 Zertifikatvorlagen Nein Ja Enterprise Edition Von Standard oder Enterprise CA

9 Funktion Einschränkung von Registrierungs- Agenten Einschränkungen der Zertifikat- Verwaltung Erweiterungen der Schlüsselarchivierung Standard Edition Nein Nein Nein SCEP Nein Ja OCSP Nein Ja Enterprise Edition Ja Ja Ja

10 Stammzertifizierungsstelle des Unternehmens Untergeordnete Zertifizierungsstelle des Unternehmens Eigenständige Stammzertifizierungsstelle Eigenständige untergeordnete Zertifizierungsstelle

11 Cryptography Next Generation (CNG) Online Certificate Status Protocol Support Network Device Enrollment Service Web Enrollment Erweiterungen Neue Gruppenrichtlinieneinstellungen Restricted Enrollment Agent Enterprise PKI (PKIView)

12 Installation von zusätzlichen CSP Möglichkeit zur Nutzung eigener CSP Unterstützung für Kernel Mode Betrieb FIPS Level 2 mit CC (Common Criteria) Unterstützung für alle CryptoAPI 1.0 Algorithmen Unterstützung für Elliptic Curve Cryptography (ECC)

13 Elliptic Curve Cryptography (ECC) ECDSA_P256, ECDSA_P384, ECDSA_P521 ECDH_P256, ECDH_P384, ECDH_P521 Hash: SHA2 SHA256, SHA384, SHA512 Symmetrisch: AES AES128, AES192, AES256

14

15 { Installation }

16 CA-Konsole Server Manager Zertifikatvorlagen Certutil.exe Webkonsole ( PKIview.msc (CA Health) KRT.EXE (W2K3 Reskit) Microsoft Certificate Lifecycle Manager

17 { Verwaltung}

18 Version 1 Zertifikatvorlagen Windows 2000 / 2003 Standard CA Version 2 Zertifikatvorlagen Windows Server 2003 Enterprise CA, Windows Server 2008 Standard und Enterprise CA Version 3 Zertifikatvorlagen Windows Server 2008 Enterprise CA

19 Zertifikate werden automatisch mit Hilfe von Gruppenrichtlinien auf den Clients ausgerollt Anpassung der Zertifikatsvorlagen + Berechtigungen + GPO Einstellung Windows 2000 CA Nur für Computer Windows 2003/Windows 2008 CA Computer und Benutzer (Windows XP und Windows Vista)

20 Problem Alte API war schwer zu verwalten und zu benutzen Lösung Ablösung der xenroll.dll und scrdernl.dll Neue API COM basiert Entwickler freundlich Einfach zu implementieren Funktionen können gescripted werden

21 { Gruppenrichtlinien}

22 CA muss für KA aktiviert werden KRA Key Recovery Agent Certificate Zertifikatvorlagen müssen für Schlüsselarchivierung eingerichtet sein Wiederherstellung mit CERTUTIL.EXE oder KRT.EXE Export in.pfx Datei Sicherer Transfer zum Benutzer

23 Aufgrund der Brisanz der Schlüsselwiederherstellungsagenten wird das Zertifikat nicht sofort ausgestellt, sondern muss vom CA-Verwalter ausgestellt werden

24

25

26 Das Online Certificate Status Protocol ist ein Internet-Protokoll, das es Clients ermöglicht, den Status von X.509- Zertifikaten bei einem Validierungsdienst abzufragen. Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem OSCP- Responder abgefragt werden.

27 Der OCSP-Responder liefert als Antwort good (Zertifikat ist gültig und nicht gesperrt) oder revoked (Zertifikat ist gesperrt) oder unknown (Zertifikat ist unbekannt)

28 { OCSP }

29 CRL = Zertifikatsperrliste Eine einfache Tabelle welche widerrufene oder abgelaufene Zertifikate einer Zertifizierungsstelle enthält Clients / Applikationen rufen in bestimmten Intervallen vollständige oder Delta- Sperrlisten ab

30

31 Vorteile OCSP OCSP-Responder sind zeitgenauer als Sperrlisten OCSP kann nicht gesperrte von gefälschten Zertifikaten unterscheiden Nachteile OCSP OCSP liefert nur Auskünfte zum Sperrstatus von Zertifikaten

32 Vorteile CRL Einfache Implementierung Relativ weit verbreitet auf der Client-Seite Nachteile CRL Sperrlisten sind nur Negativlisten und prüfen nicht die Zertifikatsgültigkeit Sperrlisten können sehr gross werden. Sperrlisten können veraltet sein, da keine Online-Abfrage erfolgt

33 Ehemals Bestandteil des Windows Server 2003 Ressource Kit Bestandteil der AD CS Rolle

34 { PKI Health}

35 Überwachung aller relevanten CryptoAPI- Operationen Überwachung muss manuell aktiviert werden Event Viewer Applications and Services Logs Microsoft Windows CAPI2 - Operational CryptoAPI1 und 2 Unterstützung

36 { CAPI2 Diagnostics}

37 Identity Management Solution Nachfolger des MIIS Vereinfachte Verwaltung von Zertifikaten Vereinfachte Smartcard-Verwaltung Self Service Portal Vollständige Active Directory Integration

38 { Certificate Lifecylce Manager }

39 Windows PKI blog Technology Centers - Public Key Infrastructure for Windows Server /technologies/pki/default.mspx Cryptography API: Next Generation

40 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

41 weitere Ressourcen Windows Server 2008 Tech Center hnol/windowsserver/2008/default.mspx Windows Server 2008 Webcasts: ts/windowsserver2008.mspx Windows Server 2008 Produktseite: /default.mspx Microsoft Virtualization: x

42 Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.