Windows Server 2008 PKI

Marc GroteTelta Citynetz Eberswalde + IT Training

Grote

Inhalte

Bestandteile einer PKICA-HierarchienWindows 2008 PKICA-ArtenZertifikatvorlagenCertificate Lifecycle Manager

OCSP / CRLSchlüssel ArchivierungCA-KonsoleCertutilPKI Health

Was ist eine PKI

Als Public-Key-Infrastruktur bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet.

Einsatzgebiete

SmartcardsE-Mail Signatur und –VerschlüsselungIPSecPPTP EAP-TLSL2TP/IPSecSSL / TLSEFSCode Signatur

Bestandteile einer PKI

Digitale ZertifikateCertification AuthorityRegistration AuthorityCertificate Revocation ListsVerzeichnisdienstValidierungsdienst

CA-Hierarchien

Windows Server 2008 CA

Windows Server 2008 StandardAlle Basisfunktionen einer Windows 2003 PKISpäter erwähnte Erweiterungen

Windows 2008 Enterprise und Datacenter

Schlüssel Archivierung und WiederherstellungV3 Certificate Templates ausstellenRole Separation (ISIS-MTT)OCSP / SCEP Unterstützung

Windows Server 2008 PKI VersionenFunktion Standar

d EditionEnterprise Edition

Erweiterte Kryptografie-Unterstützung

Ja Ja

Failover Cluster Unterstützung Ja Ja

Enterprise PKI (PKIview) Ja Ja

Rollenbasierte Installation Ja Ja

Upgrademöglichkeiten Von Standard CA

Von Standard oder Enterprise CA

Unbeaufsichtigte Installation Ja Ja

V3 Zertifikatvorlagen Nein Ja

Windows Server 2008 PKI VersionenFunktion Standar

d EditionEnterprise Edition

Einschränkung von Registrierungs-Agenten

Nein Ja

Einschränkungen der Zertifikat-Verwaltung

Nein Ja

Erweiterungen der Schlüsselarchivierung

Nein Ja

SCEP Nein Ja

OCSP Nein Ja

Windows Server 2008 CA-Arten

Stammzertifizierungsstelle des UnternehmensUntergeordnete Zertifizierungsstelle des UnternehmensEigenständige StammzertifizierungsstelleEigenständige untergeordnete Zertifizierungsstelle

Was ist neu?

Cryptography Next Generation (CNG)Online Certificate Status Protocol SupportNetwork Device Enrollment ServiceWeb Enrollment ErweiterungenNeue GruppenrichtlinieneinstellungenRestricted Enrollment AgentEnterprise PKI (PKIView)

CNG – Crypto Next Generation

Installation von zusätzlichen CSPMöglichkeit zur Nutzung eigener CSPUnterstützung für Kernel Mode BetriebFIPS 140-2 Level 2 mit CC (Common Criteria)Unterstützung für alle CryptoAPI 1.0 AlgorithmenUnterstützung für Elliptic Curve Cryptography (ECC)

Suite B - Algorithmen

Elliptic Curve Cryptography (ECC)ECDSA_P256, ECDSA_P384, ECDSA_P521ECDH_P256, ECDH_P384, ECDH_P521

Hash: SHA2SHA256, SHA384, SHA512

Symmetrisch: AESAES128, AES192, AES256

Installation

{ Installation }

Demo

Verwaltung

CA-KonsoleServer ManagerZertifikatvorlagenCertutil.exeWebkonsole (http://caserver/certsrv)PKIview.msc (CA Health) KRT.EXE (W2K3 Reskit)Microsoft Certificate Lifecycle Manager

{ Verwaltung}

Demo

Zertifikatvorlagen

Version 1 ZertifikatvorlagenWindows 2000 / 2003 Standard CA

Version 2 ZertifikatvorlagenWindows Server 2003 Enterprise CA, Windows Server 2008 Standard und Enterprise CA

Version 3 ZertifikatvorlagenWindows Server 2008 Enterprise CA

Autoenrollment

Zertifikate werden automatisch mit Hilfe von Gruppenrichtlinien auf den Clients „ausgerollt“Anpassung der Zertifikatsvorlagen + Berechtigungen + GPO EinstellungWindows 2000 CA

Nur für ComputerWindows 2003/Windows 2008 CA

Computer und Benutzer (Windows XP und Windows Vista)

Neue Enrollment API

ProblemAlte API war schwer zu verwalten und zu benutzen

LösungAblösung der xenroll.dll und scrdernl.dllNeue API

COM basiertEntwickler freundlich – Einfach zu implementierenFunktionen können gescripted werden

{ Gruppenrichtlinien}

Demo

Schlüsselarchivierung und -Wiederherstellung

CA muss für KA aktiviert werdenKRA – Key Recovery Agent CertificateZertifikatvorlagen müssen für Schlüsselarchivierung eingerichtet seinWiederherstellung mit CERTUTIL.EXE oder KRT.EXEExport in .PFX DateiSicherer Transfer zum Benutzer

Beantragen eines KRA-Zertifikats

Aufgrund der Brisanz der Schlüsselwiederherstellungsagenten wird das Zertifikat nicht sofort ausgestellt, sondern muss vom CA-Verwalter ausgestellt werden

Wiederherstellung archivierter Schlüssel

Role Separation

OCSP

Das Online Certificate Status Protocol ist ein Internet-Protokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen.Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem OSCP-Responder abgefragt werden.

OCSP-Responder

Der OCSP-Responder liefert als Antwort „good“ (Zertifikat ist gültig und nicht gesperrt) oder „revoked“ (Zertifikat ist gesperrt) oder „unknown“ (Zertifikat ist unbekannt)

{ OCSP }

Demo

CRL – Certificate Revocation List

CRL = ZertifikatsperrlisteEine einfache Tabelle welche widerrufene oder abgelaufene Zertifikate einer Zertifizierungsstelle enthältClients / Applikationen rufen in bestimmten Intervallen vollständige oder Delta-Sperrlisten ab

CRL – Certificate Revocation List

OCSP versus CRL

Vorteile OCSPOCSP-Responder sind zeitgenauer als SperrlistenOCSP kann nicht gesperrte von gefälschten Zertifikaten unterscheiden

Nachteile OCSPOCSP liefert nur Auskünfte zum Sperrstatus von Zertifikaten

OCSP versus CRL

Vorteile CRLEinfache ImplementierungRelativ weit verbreitet auf der Client-Seite

Nachteile CRLSperrlisten sind nur Negativlisten und prüfen nicht die ZertifikatsgültigkeitSperrlisten können sehr gross werden. Sperrlisten können veraltet sein, da keine Online-Abfrage erfolgt

PKI Health

Ehemals Bestandteil des Windows Server 2003 Ressource KitBestandteil der AD CS Rolle

{ PKI Health}

Demo

CAPI 2 Diagnostics

Überwachung aller relevanten CryptoAPI-OperationenÜberwachung muss manuell aktiviert werdenEvent Viewer – Applications and Services Logs – Microsoft – Windows – CAPI2 - OperationalCryptoAPI1 und 2 Unterstützung

{ CAPI2 Diagnostics}

Demo

Certificate Lifecylce Manager

Identity Management SolutionNachfolger des MIIS Vereinfachte Verwaltung von ZertifikatenVereinfachte Smartcard-VerwaltungSelf Service PortalVollständige Active Directory Integration

{ Certificate Lifecylce Manager }

Demo

PKI Links

Windows PKI bloghttp://blogs.technet.com/pkiTechnology Centers - Public Key Infrastructure for Windows Server 2003http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxCryptography API: Next Generationhttp://msdn2.microsoft.com/en-us/library/Aa376210

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Windows Server 2008weitere Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspxWindows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspxWindows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspxMicrosoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.