Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

…a hétköznapokon Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "…a hétköznapokon Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország."— Előadás másolata:

1 …a hétköznapokon Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország

2 Elrettentés - OWA SSL nélkül PKI – „vajon mi”? TanúsítványkiadókTanúsítványok Alkalmazások és szolgáltatások

3 Két szálon litwareinc.com fenestra.net EX07SP1 WS EXCLI WS WS08-DC – WS WS08-SRV – WS

4 Jelszólopás NetMonnal

5 …mert most jön az Áttekintés témakör.

6 „…Ez a nyomorult PKI egyébként sem egyszerű dolog, se a megértése, se az implementálása nem könnyű...” Nyilvános kulcsú infrastuktúra = kriptográfia (a matek) + komplex háttérrendszer

7 Lemez- és fájl titkosítás, multifaktoros hitelesítés (SmartCard), IPSec, digitális aláírások, RADIUS / 802.1x hitelesítés, Vezetéknélküli hálózatok, NAP, Software Restriction Policy, S/MIME, SSL / TLS… POP3S, SMTPS, IMAPS, LDAPS, NNTPS, SIPS, FTPS, RDP, L2TP+IPSec, RPC/RDP/VPN over HTTPS… AD DS, AD FS, IIS/FTP, Exchange, SQL, ISA, WSUS, TS*, SCE, SCOM, SCCM, OCS, SPS, Hyper-V, RMS…

8 Tanúsítványkiadó, ill. tanúsítvány kezelő eszközök Tanúsítványkiadó szolgáltatás Tárolási és terjesztési megoldások Tanúsítvány sablonok Tanúsítványok Tanúsítvány visszavonási listák Alkalmazások és szolgáltatások

9

10 …mert most jön a Tanúsítványkiadók témakör.

11 Certification Authority (CA) Feladatai Tanúsítványkérelem feldolgozása, a tanúsítványkérő ellenőrzése Nyílt kulcsú tanúsítványok kiadása A tanúsítványok közzététele, terjesztése (Active Directory, fájlrendszer) Tanúsítványok életútjának kezelése Megújítás, visszavonás

12 Nyílt kulcsú tanúsítványok kiadása Hitelesítés saját digitális aláírással Ez az aláírás származhat Más CA-tól (pl. egy Trusted Root CA-tól) Egy „közbülső” CA-tól (Subordinate CA) Sőt: Intermediate vs. Issuer CA Önmagától (ekkor Root CA) A lényeg, hogy a hitelesítési útvonal végén lévő CA-ban megbízzunk Informatikai szemszögből majdnem teljesen mind1, hogy honnan kapjuk, jogilag viszont…

13 A Windows 2000 óta rendelkezésre áll Viszonylag egyszerűen telepíthető Ami nem azt jelenti, hogy tervezni nem kell… Két fő komponens CA szolgáltatás és Web Enrollment (IIS) Windows 2008-ban plusz kettő Online Responder Network Device Enrollment Service

14

15 Enterprise Root CA telepítés

16 Self-Signed azaz „önaláíró” Tipikusan csak alkalmazásokhoz Az alkalmazáson „belül” generáljuk Terminal Services Gateway Forefront TMG Exchange 2007 De van kivétel is, pl. IIS6 (SelfSSL.exe) Ugyanazt a tanúsítványt használjuk Trusted Root CA-ként is

17 Külső, „profi” szervezet Netlock, Microsec, Verisign, Entrust, stb. Garantáltan megbízhatunk benne Cserébe bennünk is megbíznak majd Alapos adatszolgáltatás és bizonyítás után Kompatibilitási kérdések felmerülhetnek Láncolt Külső CA „alá becsúszó” belső CA A külső CA nem feltétlenül csak ismert, profi lehet > szervezetek együttműködése

18

19 Enterprise Root CA MMC bővítmények

20 …mert most jön a Tanúsítványok témakör.

21 Digitális adatcsomag, amely Szavatolja a felhasználó, a gép vagy a szoftver eredetiségét… …az aláíró CA jóvoltából. Tartalma (RFC2459): A tulajdonos publikus kulcsa, adatai A tanúsítványkiadó adatai Egyéb információk (érvényességi idő, privát kulcs megléte, stb.)

22 A tanúsítványmezők 4 csoportja: Általános információk (kötelező) Bővítmények (nem kötelező, zöld nyíl) Kritikus bővítmények (sárga felkiáltójel) Ha egy szükséges kritikus bővítmény nincs jelen, vagy nem felismerhető… …akkor az OS érvénytelennek látja Egyéb (pl. ujjlenyomat infók)

23 Szerkezet, információk, mezők

24 Webszerver tanúsítvány igénylése

25 Subject Alternative Name (SAN) Több hostnév szerepelhet a tanúsítványban Akár eltérő tartományokból is NetBIOS és FQDN Van, hogy készen kapjuk (E2007) Mi is tudunk ilyet csinálni

26 Wildcard = *.domain.hu

27 …mert most jön a gyakorlati felhasználás témakör

28 Aláírt kódok Encrypting File System Smart Card belépés Smart Card belépés 802.1x IP Security Internetes hitelesítés Biztonságos Windows Server 200x Tanúsítványszolgáltatás Software Restriction Policy Software Restriction Policy Digitális aláírás Digitális aláírás

29 Felhasználók Rendszerszolgáltatások Számítógépek

30 Terjesztés Aláíró tanúsítvány igénylés + kódaláírás + Software Restriction Policy

31 Megademó eksön – IIS, Exchange, TSG > következő előadás

32 …de már nincs értelme …de már nincs értelme

33

34

35 Kezdés: 30 perc múlva

36

37

38 Entry modul Fogadja a beérkező tanúsítványkéréseket (webes, RPC) Tanúsítványsablonok (Ent CA) Az AD-ban több, előre elkészített tanúsítványsablont találunk Policy Module Különböző információk alapján eldönti, hogy a kért tanúsítvány kiadható-e

39 Certificate Services Kiszolgálja / elutasítja a kéréseket, létre- hozza és tárolja a tanúsítványokat, gene- rálja a visszavont tanúsítványok listáját CryptoAPI, CSP-k A konkrét kriptográfiai műveleteket a CryptoAPI, ill. az adott CSP modul végzi Exit Module Feladata az elkészült tanúsítványok közzététele (AD / fájlrendszer)


Letölteni ppt "…a hétköznapokon Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország."

Hasonló előadás


Google Hirdetések