HomeConsultingTrainingAktuellesÜber unsKundenKontakt

In diesem Kurs werden die Details sowie das Einrichten einer mehrstufigen Public Key Infrastruktur (PKI) in einer Windows 2003 / 2008 Active Directory Umgebung behandelt. Bei der Installation und Einrichtung wird auch der deutsche Standard für Zertifizierungsstellen „Common PKI Specification“ (früher ISIS-MTT) umgesetzt. Abläufe der Zertifikatsanforderung, -ausstellung und -sperrung werden verständlich erläutert und spezielle Anforderungen live umgesetzt. Ein wichtiger Punkt sind auch die Prozesse, die bei der Integration in Active Directory umgesetzt werden, wie z.B. Autoenrollment oder der Smart Card Anmeldung.

Wichtige Einsatzszenarien wie E-Mail Verschlüsselung und Signatur (S/MIME), SmartCard-Authentifizierung, Software-Signierung, sowie Verschlüsselung von Dateien und Festplatten werden praxisbezogen betrachtet. Die Verschlüsselungsmethoden (Secret Key, Public Key, One-Way-Hash) und Authentifizierungsmethoden (Kerberos, MS-CHAP, EAP mit Smartcard) bilden dabei die Grundlagen.

Der Kurs behandelt alle Funktionen einer Windows 2003 / 2008 PKI wie Version 2 und 3 Zertifikatsvorlagen (Certificate Templates) sowie die automatische Zertifikat-Registrierung (AutoEnrollment). Auch sämtliche neuen PKI Funktionen einer Windows Server 2008 PKI (Longhorn) werden behandelt, wie z.B. das Ausstellen von ECC Zertifikaten (Elliptic Curve Cryptosystem) nach der NSA Suite B und OCSP (Online Certificate Status Protocol).

Der PKI Kurs ist so konzipiert, dass die Teilnehmer durch praktische Übungen (auch mit Smart Card) rasch in die sehr komplexe Thematik der Active Directory Sicherheit einsteigen und nach 5 Tagen in der Lage sind, eine mehrstufige PKI nach Common PKI Standard aufzubauen und zu verwalten. Der Kurs sollte Sie in die Lage versetzen,  alle Prozesse, die für eine Microsoft PKI wichtig sind,  in Details zu verstehen und auch komplexe Szenarien abbilden oder Probleme lösen zu können.

Es gehen auch viele Tipps aus der langjährigen Erfahrung in der Umsetzung von PKI Projekten in den Kurs mit ein.

Überblick über die Windows 2003 / 2008 PKI sowie Grundlagen der Kryptographie

  • PKI-Anwendungen: Smart Card, SSL/TLS, S/MIME, EFS, Authenticode, IPSec
  • Anwendungsschicht: SSL/TLS, S/MIME, Kerberos
  • Netzwerkschicht: IPsec Interaktive und Netzwerk-Authentifizierung
  • Authentifizierungsprotokolle: Kerberos, LM, NTLM, Anmelden mit Passwort und Smart Card
  • Symmetrische und Asymmetrische Kryptographie, Public Key Verfahren, One-Way-Hash, MD5, SHA-1, HMAC
  • Sicherheit und Schlüssellänge, Kryptographische Standards PKCS und X.509v3
  • Echtheitsnachweis und Digitale Signatur: RSA- und DSS-Signatur, X.509-Zertifikat v1 und v3
  • Schlüsselaustausch-Verfahren: Diffie-Hellman, RSA-Schlüsselaustausch, ISAKMP/Oakley und IKE

PKI-Design und Implementierung einer Mehrstufigen CA

  • Domänenmodell und Sicherheit, Design einer PKI für unterschiedliche Firmengrößen (einstufig, mehrstufig)
  • Stammzertifizierungsstelle (Certificate Authority = CA), SubCA bzw. IssuingCA
  • Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise IssuingCA
  • NEU! Verwenden eines Hardware Security Moduls (HSM) zum Schutz der Keys auf den CAs innerhalb der PKI
  • Alle Zertifizierungsstellen werden nach dem ISIS-MTT (German Standard) eingerichtet!
  • Erstellen einer Capolicy.inf für die CA-Installation (Key-Länge, Lebensdauer, AIA, CDP, etc.)
  • Anpassen der CRL Distribution Points (CDP) und des AIA (Authority Information Access), Basis- und Delta-CRL
  • Publizieren CDP und AIA in Active Directory und auf Webserver
  • Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Keylänge, Registry-Einstellungen mit Certutil
  • Implementieren von Offline Policy CAs und mehreren ausstellenden Online Enterprise SubCAs (Issue)
  • Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)

Zertifikatsvalidierung - Pfadgenerierung

Internals PKI

  • Detaillierte Architektur einer Microsoft PKI unter Windows 2003 / 2008
  • Details zu Zertifikaten, Formaten und Standards ( X.509, ASN.1, PEM base64, PKCS#1 und PKCS#7)

Zertifikatsstruktur

  • Details zu Begriffen und Verfahren im PKI-Management (PKCS#10 Zertifikats-Request, CMP / CMC / SCEP, OCSP / SCVP)
  • Details zum POLICY und EXIT Modul der Zertifizierungsstelle

Internals Active Directory Integration

  • Verstehen aller Active Directory Bestandteile der PKI
  • Automatische Ausstellung und Verwaltung von Zertifikaten für Domain Controller (SMTP, Smartcard Authentifizierung)
  • Offline Ausstellung von Zertifikaten für Domain Controller und Anforderungen an Fremdzertifikate

Richtlinien für PKI-Prozesse und die Zertifikatsausstellung (Policy)

  • Festlegen von Richtlinien für Zertifizierungsstellen
  • Anpassen der internen Verarbeitungsrichtlinie der Zertifizierungsstelle

PKI-Administration mit Rollenseparation

  • Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
  • Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
  • Rollentrennung
  • Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL, Key Recovery
  • Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
  • CA-Ereignisse senden per E-Mail

Zertifikatsvorlagen Typ 1 und 2

  • Unterschiede zwischen Zertifikatsvorlagen Typ 1 und 2
  • Enterprise CA und Typ 2 Zertifikat auf einem Windows 2003 Enterprise Server
  • Abwärtskompatibilität zu Windows 2000 Typ 1 Zertifikat
  • Kopieren von Zertifikatsvorlagen
  • Die wichtigsten Zertifikatsvorlagen-Einstellungen:
      Anforderungsverarbeitung
      Anwendungs- und Ausstellungsrichtlinien
      Ausstellungsvoraussetzungen
      Delegieren der Zertifikatsvorlagenverwaltung
      Gültigkeitsdauer und Erweiterungszeitraum
      Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung

Advanced Certificate Enrollment

  • Erstellen eines .inf Files für eine Zertifikatsanforderung
  • Erstellen von Offline Anforderungen mit Certreq.exe
  • Eingreifen in den Anforderungs- und Austellungsprozess über Certutil.exe
  • Ausstellungsprozesse für Fremdsysteme über Network Device Enrollment Service (NDES = SCEP Implementierung von Microsoft) und OpenSSL
  • Spezielle Anpassungen der Zertifikatsinhalte und Felder über Certutil.exe
  • Arbeiten mit Zertifikatsspeichern und Certutil.exe

Key Archivierung und Recovery

  • Änderung bestehender Zertifikatsvorlagen und Erneuern von Zertifikaten
  • Windows 2003 / 2008 CA mit Private Key Archivierung und Recovery
  • Aktivierung der Archivierung von Private Keys
  • Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
  • Verschlüsselung von Private Keys und Zertifikat PKCS#12
  • Export und Import von Zertifikat und Private Keys
  • Wiederherstellen von archivierten Privaten Schlüsseln

Einsatz von Smart Cards

  • Kerberos-Erweiterung PKINIT für Smart Card-Anmeldung
  • NEU! Einsatz der Smart Card Minidriver Specification für Windows Base Cryptographic Service Provider (Base CSP) und dem Smart Card Key Storage Provider (KSP) anhand von .NET Smart Cards
  • Smart Card Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
  • Konfigurieren von Gruppenrichtlinien für Smart Card

Email Verschlüsselung und Signierung (S/MIME)

  • Schützen von E-Mails mit S/MIME, Signieren von E-Mails mit Private Key, Verschlüsseln von E-Mails mit Public Key. Einsatz von Outlook / Exchange mit S/MIME
  • S/MIME mit Dual Key Pair (Trennung von Signatur- und Verschlüsselungszertifikat)
  • Vorführung von S/MIME über einen Verschlüsselungsgateway

Verschlüsselung von Dateien / Festplatten

  • Einsatzmöglichkeiten von EFS unter Windows XP und Vista und Darstellung von Nachteilen
  • Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
  • Kerberos Trust for Delegation für Verschlüsselung über Freigaben
  • Problembehandlung von verschlüsselten Daten mit selbstsignierten Zertifikaten
  • Demo: Einsatz von ThirdParty Verschlüsselungsprodukten

Software-Signierung (Authenticode)

  • Signieren von Skripten mit CodeSign-Zertifikat
  • Softwareeinschränkung mit Gruppenrichtlinien und Zertifikat

Troubleshooting

  • Erkennen und Lösen von PKI Problemen in Windows XP, Windows Vista und Windows 2003 / 2008
  • Anzeigen von Problemen in der Cypto API Schnittstelle
  • Lösen von Problemen beim Autoenrollment von Zertifikaten
  • Lösen von Problemen bei der Zertifikatsvalidierung und der Zertifikatssperrung

Backup / Recovery von PKI-Database

  • Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
  • Sicherung über Kommandozeile oder über Backup Anwendung (VSC Provider)
  • Wiederherstellen von CA-Keys und Datenbank