Detaillierter Kursinhalt
Windows Server 2016 / 2019 / 2022 PKI
- Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
- Anwendungen durch PKI
- Mehrstufige PKI (2-stufig, 3-stufig)
- Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
- Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
- NIST, NSA Suite-B Cryptography
- Kryptographische Standards: X509v3, PKCS etc.
- CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
- CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
- Digital Certificate X.509v3 und die Felder
- Windows Cipher Suite
- PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec
Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:
Design und Implementierung einer mehrstufigen 2019 PKI:
- Design einer PKI (einstufig, zweistufig und dreistufig)
- Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
- Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
- Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
- Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
- Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
- Publizieren CDP und AIA in Active Directory und auf dem Webserver
- Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
- Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
- Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
- Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)
Block 3 Administration:
PKI-Administration mit Rollenseparation
- Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
- Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
- Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
- Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
- Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
- CA-Ereignisse senden per E-Mail
- Zertifikatsvorlagen Typ 1, 2, 3 und 4
- Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
- Kopieren von Zertifikatsvorlagen
- Die wichtigsten Zertifikatsvorlagen-Einstellungen:
- Anforderungsverarbeitung
- Anwendungs- und Ausstellungsrichtlinien
- Ausstellungsvoraussetzungen
- Delegieren der Zertifikatsvorlagenverwaltung
- Gültigkeitsdauer und Erweiterungszeitraum
- Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung
- Key Archivierung und Recovery
- Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
- Publizieren von Zertifikat
- Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
Key Archivierung und Recovery
- Windows CA mit Private Key Archivierung
- Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
- Verschlüsselung von Privatkeys und Zertifikat PKCS#12
- Export und Import von Zertifikat und Privat Keys
- Archivieren von EFS-Private Key
- Wiederherstellen von archivierten Private Keys
Windows 10 & Windows Server 2019 Enrollment
- Neue Features von Windows 10 und Server 2019
- Einfachere Auswahl von Zertifikat im Certificate Store
- Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM
Block 4 PKI-Anwendungen:
Smart Cards
- Kerberos Authentication Zertifikat für alle Domain Controller
- Installieren SmartCard-Reader
- SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
- Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer
Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation
- Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
- TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
- Arbeiten mit TPMVSCMgr und Mini-Driver manager
- TPM Key Attestation ab 2012 R2 CA
- Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)
EFS Encrypted File System
- Funktionsweise von EFS
- Selbstsigniertes und CA signiertes EFS-Zertifikat
- Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
- Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
- Verschlüsseln von lokalen Dateien
Block 5 Erneuerung von Zertifikat und CRL
Certificate Revocation List – CRLOverlap
- Lebensdauer einer Base CRL und Delta CRL
- Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
- Standardwerte von CRLOverlap und CRLDeltaOverlap
- Wie soll ein CRLOverlap eingestellt werden?
Online Certificate Status Protocol (OCSP)
- OCSP-Vorlage erstellen
- OCSP-Array erstellen und einrichten.
- CA Revocation Konfiguration mit CRL Refresh Time einrichten
- OCSP Response optimieren
- OCSP Stapling
- Lokal CRL – On-Demand Sperrung
Certificate Erneuerung
- Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
- Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
- CA in eine neue PKI-Struktur umhängen
- Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
- Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
- Cross RootCA Zertifikat
- Migration oder Konsolidierung in eine neue PKI-Struktur
Block 6 Auditing & Troubleshooting
Auditing & Troubleshooting
- Audit von PKI konfigurieren
- Auswerten der Ereignisse
- Troubleshooting von Zertifikatsenrollment
- E-Mail Benachrichtigung
Network Device Enrollment Service (NDES)
- Einrichtung und Konfiguration
- Kerberos Delegation
- Anfordern eines Zertifikates
Backup / Recovery von PKI-Database
- Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
- „Kleine“ und „große“ Datenbank-Sicherung
- Wiederherstellen von CA-Keys und Datenbank
- Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten
Certificate Lifecycle Notification (Optional)
- Konfigurieren von Task Scheduler
- Event 1001 bis 1007
- PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
- SCOM Monitor