Jan 12, 2016
{ PKI } Active Directory Certificate Services
Fóti MarcellcégvezetőNetAcademia
PKI: mi az ördög ez?
Public Key InfrastructureNyílt kulcsú titkosításDigitális aláírásRSA-algoritmus
Van más is az RSA-n kívül?
Te mod N = CCd mod N = T
A PKI alapja, a nyílt kulcsú titkosítás
Ki generálja a kulcsokat?Mi a tanúsítványszolgáltató szerepe?Mi az a tanúsítvány?
Hogyan ellenőrzöm? És mikor?
Minek a tanúsítvány a kulcsokhoz?Mi történik, ha elveszítem az aláírókulcsomat?Mi történik, ha elveszítem a titkosítókulcsomat?
{ Egy tanúsítvány vizsgálata }
demó
PKI a mindennapokban…Titkosító fájlrendszerSSL
HTTPS, POP3/SSL, SMTP/SLLTanúsítványalapú autentikáció
Kódok digitális aláírásaAuthentiCodeSoftware Restriction Policy
Biztonságos bejelentkezésTartományi bejelentkezésVPN-kapcsolat
Digital Rights ManagementS/MIME
Tanúsítványokat használ….Exchange Server 200x
OWA, HTTPS over RPC
ISA Server 200xPublikálás
System Center Operations ManagerWorkgroup környezetbenGateway szervereknél
System Center Configurations ManagerNatív üzemmód esetén
Office Communications Server 2007Minden kommunikációhoz!
Sharepoint 2007Webes űrlapok digitális aláírása
Windows szerver/kliens:Active Directory Domain Controller (DC-k tanúsítvány alapú hitelesítése)Active Directory Federation ServicesSSTPNAP (IPSec Enforcement)VPN (IPSec alapon)Domain izoláció (IPSec alapon)
PKI: a NAP összetevője!
Hozzávalók (PKI részről)1 db tartomány (megvan)1 db Certificate Services1 db tanúsítványsablon1 db házirendX db tanúsítvány
1 db Certificate Services
A Windows 2000 óta része a rendszernekTanúsítványkiállító központLehet root vagy subordinateLehet standalone vagy enterpriseTanúsítványkibocsátás, tanúsítványsablonokKözponti kulcsarchiválás…
{ Certificate Services telepítése }
demó
1 db tanúsítványsablon
Mit tartalmaz a tanúsítvány?A sablon a „blabla” összetételét határozza meg
Felhasználási célokKibocsátási feltételekKulcshosszok, CSP-kJogosultságokAzonosítás
{ Tanúsítványsablon létrehozása, kibocsátása }
demó
Központi kulcsarchiválás
Milyen veszélyekkel jár a titkosító kulcspár elvesztése?Hogyan védekezhetünk ellene?
Kézzel kiexportáljuk, elmentjük valahova, vagyA privát kulcsok elmentése a Certificate Server adatbázisába
Ki fér hozzá a mentett kulcsokhoz? Ki az a KRA? (Hol az ő kulcsa???)Hogyan kell elveszített kulcsot visszaállítani?
Parancssorból: Certutil –getkeyGrafice: KRT.EXE
Szerepek szétválasztásaNégy fontos szerep
CA AdministratorCertificate ManagerAuditorBackup Operator
Common Criteria követelmény: a „malicsusz” rendszergazda kizárása!Role Separation
Certutil –setreg CA\RoleSeparationEnabled 1Mindenki csak egyetlenegy szerepkörben lehetHa esetleg kettőben van, akkor egyben sincs!
1 db házirend
Tanúsítványok kibocsátásaKézzelAutomatikusan
IPSec esetén a GÉP a játékos!Automata kibocsátás GPO-val
{ Tanúsítványkérő GPO }
demó
A Windows Server 2008 PKI-újdonságai
Átnevezés: Active Directory Certificate ServerECC és SHA2 támogatásCryptography Next Generation
A CryptoAPI és így a CAPICOM utódja
Network Device EnrollmentEz nem más, mint egy Simple Certificate Enrollment Protocol implementáció (HTTP)
OCSP …
Online Certificate Status Protocol
A tanúsítványok ellenőrzése hagyományosan offline történik
Érvényességi határokVisszavonási listák
A visszavonási listák publikálása időzítettAz Online megoldás az OCSP
Most már szerveroldalon is!