marc grote telta citynetz eberswalde + it training grote
TRANSCRIPT
Windows Server 2008 PKI
Marc GroteTelta Citynetz Eberswalde + IT Training
Grote
Inhalte
Bestandteile einer PKICA-HierarchienWindows 2008 PKICA-ArtenZertifikatvorlagenCertificate Lifecycle Manager
OCSP / CRLSchlüssel ArchivierungCA-KonsoleCertutilPKI Health
Was ist eine PKI
Als Public-Key-Infrastruktur bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet.
Einsatzgebiete
SmartcardsE-Mail Signatur und –VerschlüsselungIPSecPPTP EAP-TLSL2TP/IPSecSSL / TLSEFSCode Signatur
Bestandteile einer PKI
Digitale ZertifikateCertification AuthorityRegistration AuthorityCertificate Revocation ListsVerzeichnisdienstValidierungsdienst
CA-Hierarchien
Windows Server 2008 CA
Windows Server 2008 StandardAlle Basisfunktionen einer Windows 2003 PKISpäter erwähnte Erweiterungen
Windows 2008 Enterprise und Datacenter
Schlüssel Archivierung und WiederherstellungV3 Certificate Templates ausstellenRole Separation (ISIS-MTT)OCSP / SCEP Unterstützung
Windows Server 2008 PKI VersionenFunktion Standar
d EditionEnterprise Edition
Erweiterte Kryptografie-Unterstützung
Ja Ja
Failover Cluster Unterstützung Ja Ja
Enterprise PKI (PKIview) Ja Ja
Rollenbasierte Installation Ja Ja
Upgrademöglichkeiten Von Standard CA
Von Standard oder Enterprise CA
Unbeaufsichtigte Installation Ja Ja
V3 Zertifikatvorlagen Nein Ja
Windows Server 2008 PKI VersionenFunktion Standar
d EditionEnterprise Edition
Einschränkung von Registrierungs-Agenten
Nein Ja
Einschränkungen der Zertifikat-Verwaltung
Nein Ja
Erweiterungen der Schlüsselarchivierung
Nein Ja
SCEP Nein Ja
OCSP Nein Ja
Windows Server 2008 CA-Arten
Stammzertifizierungsstelle des UnternehmensUntergeordnete Zertifizierungsstelle des UnternehmensEigenständige StammzertifizierungsstelleEigenständige untergeordnete Zertifizierungsstelle
Was ist neu?
Cryptography Next Generation (CNG)Online Certificate Status Protocol SupportNetwork Device Enrollment ServiceWeb Enrollment ErweiterungenNeue GruppenrichtlinieneinstellungenRestricted Enrollment AgentEnterprise PKI (PKIView)
CNG – Crypto Next Generation
Installation von zusätzlichen CSPMöglichkeit zur Nutzung eigener CSPUnterstützung für Kernel Mode BetriebFIPS 140-2 Level 2 mit CC (Common Criteria)Unterstützung für alle CryptoAPI 1.0 AlgorithmenUnterstützung für Elliptic Curve Cryptography (ECC)
Suite B - Algorithmen
Elliptic Curve Cryptography (ECC)ECDSA_P256, ECDSA_P384, ECDSA_P521ECDH_P256, ECDH_P384, ECDH_P521
Hash: SHA2SHA256, SHA384, SHA512
Symmetrisch: AESAES128, AES192, AES256
Installation
{ Installation }
Demo
Verwaltung
CA-KonsoleServer ManagerZertifikatvorlagenCertutil.exeWebkonsole (http://caserver/certsrv)PKIview.msc (CA Health) KRT.EXE (W2K3 Reskit)Microsoft Certificate Lifecycle Manager
{ Verwaltung}
Demo
Zertifikatvorlagen
Version 1 ZertifikatvorlagenWindows 2000 / 2003 Standard CA
Version 2 ZertifikatvorlagenWindows Server 2003 Enterprise CA, Windows Server 2008 Standard und Enterprise CA
Version 3 ZertifikatvorlagenWindows Server 2008 Enterprise CA
Autoenrollment
Zertifikate werden automatisch mit Hilfe von Gruppenrichtlinien auf den Clients „ausgerollt“Anpassung der Zertifikatsvorlagen + Berechtigungen + GPO EinstellungWindows 2000 CA
Nur für ComputerWindows 2003/Windows 2008 CA
Computer und Benutzer (Windows XP und Windows Vista)
Neue Enrollment API
ProblemAlte API war schwer zu verwalten und zu benutzen
LösungAblösung der xenroll.dll und scrdernl.dllNeue API
COM basiertEntwickler freundlich – Einfach zu implementierenFunktionen können gescripted werden
{ Gruppenrichtlinien}
Demo
Schlüsselarchivierung und -Wiederherstellung
CA muss für KA aktiviert werdenKRA – Key Recovery Agent CertificateZertifikatvorlagen müssen für Schlüsselarchivierung eingerichtet seinWiederherstellung mit CERTUTIL.EXE oder KRT.EXEExport in .PFX DateiSicherer Transfer zum Benutzer
Beantragen eines KRA-Zertifikats
Aufgrund der Brisanz der Schlüsselwiederherstellungsagenten wird das Zertifikat nicht sofort ausgestellt, sondern muss vom CA-Verwalter ausgestellt werden
Wiederherstellung archivierter Schlüssel
Role Separation
OCSP
Das Online Certificate Status Protocol ist ein Internet-Protokoll, das es Clients ermöglicht, den Status von X.509-Zertifikaten bei einem Validierungsdienst abzufragen.Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem OSCP-Responder abgefragt werden.
OCSP-Responder
Der OCSP-Responder liefert als Antwort „good“ (Zertifikat ist gültig und nicht gesperrt) oder „revoked“ (Zertifikat ist gesperrt) oder „unknown“ (Zertifikat ist unbekannt)
{ OCSP }
Demo
CRL – Certificate Revocation List
CRL = ZertifikatsperrlisteEine einfache Tabelle welche widerrufene oder abgelaufene Zertifikate einer Zertifizierungsstelle enthältClients / Applikationen rufen in bestimmten Intervallen vollständige oder Delta-Sperrlisten ab
CRL – Certificate Revocation List
OCSP versus CRL
Vorteile OCSPOCSP-Responder sind zeitgenauer als SperrlistenOCSP kann nicht gesperrte von gefälschten Zertifikaten unterscheiden
Nachteile OCSPOCSP liefert nur Auskünfte zum Sperrstatus von Zertifikaten
OCSP versus CRL
Vorteile CRLEinfache ImplementierungRelativ weit verbreitet auf der Client-Seite
Nachteile CRLSperrlisten sind nur Negativlisten und prüfen nicht die ZertifikatsgültigkeitSperrlisten können sehr gross werden. Sperrlisten können veraltet sein, da keine Online-Abfrage erfolgt
PKI Health
Ehemals Bestandteil des Windows Server 2003 Ressource KitBestandteil der AD CS Rolle
{ PKI Health}
Demo
CAPI 2 Diagnostics
Überwachung aller relevanten CryptoAPI-OperationenÜberwachung muss manuell aktiviert werdenEvent Viewer – Applications and Services Logs – Microsoft – Windows – CAPI2 - OperationalCryptoAPI1 und 2 Unterstützung
{ CAPI2 Diagnostics}
Demo
Certificate Lifecylce Manager
Identity Management SolutionNachfolger des MIIS Vereinfachte Verwaltung von ZertifikatenVereinfachte Smartcard-VerwaltungSelf Service PortalVollständige Active Directory Integration
{ Certificate Lifecylce Manager }
Demo
PKI Links
Windows PKI bloghttp://blogs.technet.com/pkiTechnology Centers - Public Key Infrastructure for Windows Server 2003http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspxCryptography API: Next Generationhttp://msdn2.microsoft.com/en-us/library/Aa376210
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Windows Server 2008weitere Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspxWindows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspxWindows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspxMicrosoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.