{ PKI } Active Directory Certificate Services

Az előadások a következő témára: "{ PKI } Active Directory Certificate Services"— Előadás másolata:

1

2 { PKI } Active Directory Certificate Services
Fóti Marcell cégvezető NetAcademia

3 Te mod N = C Cd mod N = T PKI: mi az ördög ez?
Public Key Infrastructure Nyílt kulcsú titkosítás Digitális aláírás RSA-algoritmus Van más is az RSA-n kívül? Te mod N = C Cd mod N = T

4 A PKI alapja, a nyílt kulcsú titkosítás
Ki generálja a kulcsokat? Mi a tanúsítványszolgáltató szerepe? Mi az a tanúsítvány? Hogyan ellenőrzöm? És mikor? Minek a tanúsítvány a kulcsokhoz? Mi történik, ha elveszítem az aláírókulcsomat? Mi történik, ha elveszítem a titkosítókulcsomat?

5 { Egy tanúsítvány vizsgálata }
demó

6 PKI a mindennapokban… Titkosító fájlrendszer SSL
HTTPS, POP3/SSL, SMTP/SLL Tanúsítványalapú autentikáció Kódok digitális aláírása AuthentiCode Software Restriction Policy Biztonságos bejelentkezés Tartományi bejelentkezés VPN-kapcsolat Digital Rights Management S/MIME

7 Tanúsítványokat használ….
Exchange Server 200x OWA, HTTPS over RPC ISA Server 200x Publikálás System Center Operations Manager Workgroup környezetben Gateway szervereknél System Center Configurations Manager Natív üzemmód esetén Office Communications Server 2007 Minden kommunikációhoz! Sharepoint 2007 Webes űrlapok digitális aláírása Windows szerver/kliens: Active Directory Domain Controller (DC-k tanúsítvány alapú hitelesítése) Active Directory Federation Services SSTP NAP (IPSec Enforcement) VPN (IPSec alapon) Domain izoláció (IPSec alapon)

8 PKI: a NAP összetevője! Hozzávalók (PKI részről)
1 db tartomány (megvan) 1 db Certificate Services 1 db tanúsítványsablon 1 db házirend X db tanúsítvány

9 1 db Certificate Services
A Windows 2000 óta része a rendszernek Tanúsítványkiállító központ Lehet root vagy subordinate Lehet standalone vagy enterprise Tanúsítványkibocsátás, tanúsítványsablonok Központi kulcsarchiválás…

10 { Certificate Services telepítése }
demó

11 1 db tanúsítványsablon Mit tartalmaz a tanúsítvány?
A sablon a „blabla” összetételét határozza meg Felhasználási célok Kibocsátási feltételek Kulcshosszok, CSP-k Jogosultságok Azonosítás

12 { Tanúsítványsablon létrehozása, kibocsátása }
demó

13 Központi kulcsarchiválás
Milyen veszélyekkel jár a titkosító kulcspár elvesztése? Hogyan védekezhetünk ellene? Kézzel kiexportáljuk, elmentjük valahova, vagy A privát kulcsok elmentése a Certificate Server adatbázisába Ki fér hozzá a mentett kulcsokhoz? Ki az a KRA? (Hol az ő kulcsa???) Hogyan kell elveszített kulcsot visszaállítani? Parancssorból: Certutil –getkey Grafice: KRT.EXE

14 Szerepek szétválasztása
Négy fontos szerep CA Administrator Certificate Manager Auditor Backup Operator Common Criteria követelmény: a „malicsusz” rendszergazda kizárása! Role Separation Certutil –setreg CA\RoleSeparationEnabled 1 Mindenki csak egyetlenegy szerepkörben lehet Ha esetleg kettőben van, akkor egyben sincs!

15 1 db házirend Tanúsítványok kibocsátása IPSec esetén a GÉP a játékos!
Kézzel Automatikusan IPSec esetén a GÉP a játékos! Automata kibocsátás GPO-val

16 { Tanúsítványkérő GPO }
demó

17 A Windows Server 2008 PKI-újdonságai
Átnevezés: Active Directory Certificate Server ECC és SHA2 támogatás Cryptography Next Generation A CryptoAPI és így a CAPICOM utódja Network Device Enrollment Ez nem más, mint egy Simple Certificate Enrollment Protocol implementáció (HTTP) OCSP …

18 Online Certificate Status Protocol
A tanúsítványok ellenőrzése hagyományosan offline történik Érvényességi határok Visszavonási listák A visszavonási listák publikálása időzített Az Online megoldás az OCSP Most már szerveroldalon is!

19