Tanúsítványok… …a hétköznapokon Gál Tamás

Slides:



Advertisements
Hasonló előadás
Dolgozni már bárhonnan lehet…
Advertisements

Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Kliens-szerver architektúra
Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben.
A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Active Directory.
Microsoft Forefront biztonsági megoldások
Mobil eszközök alkalmazása vállalati környezetben
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
Korszerű kommunikációs infrastruktúrák
Áttekintés Egyszerű architektúrák Nagyvállalati architektúrák Tervezési útmutató.
Köszöntő Budai Péter Programmenedzser – IT szakmai programok Microsoft Magyarország.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Elektronikus archiválórendszer fejlesztése PKI alapokon Készítette: Kollár Balázs november 11.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Az ETR technológia DEXTER Informatikai kft..
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Erős bástya – biztonsági újdonságok
SharePoint Adminisztráció
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
Az informatika, mint szakma fejlődik Egyre több dologra és több helyen használjuk Nagyobbak és komplexebbek a rendszereink Rugalmasan kell reagálnunk.
Operációs Rendszerek WindowsXP®.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
A tőkepiaci közzétételek elektronikus hitelesítése június 12. dr
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Hálózatkezelési újdonságok Windows 7 / R2
Windows Server 2012 Kiadások, licencelés, lehetőségek
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Üzleti funkciók a SCOM-ban Somogyi Csaba IT üzemeltetési szakértő Microsoft Magyarország.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Network Access Protection
Webszolgáltatás szabványok Simon Balázs
Levelezés a Jedlikben Borbély Balázs rendszergazda-helyettes Jedlik Ányos Gimnázium.
Amit már ismer(het)ünk GPMC v2 újdonságok Group Policy Preferences.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Webfejlesztés, Internet Explorer 10 Komjáthy Szabolcs
és más Microsoft oktató anyagok
Ismerkedés az Active Directory-val
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Microsoft tananyagok Oktatási anyagok a DVD-n Takács Attila, Jedlik Ányos Gimnázium Budapest.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Alapszolgáltatások A fájlszerver – milyen tárolókon?
Microsoft TechDays eseménysorozat Informatikai szakember képzés.
Rövid áttekintés a MOK/HEFOP kártyák használhatóságáról Készítette: Nádor Szabolcs,
ELEKTRONIKUS ALÁÍRÁS E-JOG.
Internet és kommunikáció
Microsoft SQL licenselés a gyakorlatban
Előadás másolata:

Tanúsítványok… …a hétköznapokon Gál Tamás v-tagal@microsoft.com Szakmai vezető - TechNet Microsoft Magyarország

Tartalom Elrettentés - OWA SSL nélkül PKI – „vajon mi”? Tanúsítványkiadók Tanúsítványok Alkalmazások és szolgáltatások

A demókörnyezet Két szálon litwareinc.com fenestra.net EX07SP1 EXCLI WS03 - 10.0.1.18 EXCLI WS03 - 10.0.1.19 fenestra.net WS08-DC – WS08 172.16.0.1 WS08-SRV – WS08 172.16.0.2

OWA SSL nélkül Jelszólopás NetMonnal

Még elmenekülhetünk… …mert most jön az Áttekintés témakör.

PKI - „vajon mi”? „…Ez a nyomorult PKI egyébként sem egyszerű dolog, se a megértése, se az implementálása nem könnyű...” Nyilvános kulcsú infrastuktúra = kriptográfia (a matek) + komplex háttérrendszer

PKI - „vajon mi”? Lemez- és fájl titkosítás, multifaktoros hitelesítés (SmartCard), IPSec, digitális aláírások, RADIUS / 802.1x hitelesítés, Vezetéknélküli hálózatok, NAP, Software Restriction Policy, S/MIME, SSL / TLS… POP3S, SMTPS, IMAPS, LDAPS, NNTPS, SIPS, FTPS, RDP, L2TP+IPSec, RPC/RDP/VPN over HTTPS… AD DS, AD FS, IIS/FTP, Exchange, SQL, ISA, WSUS, TS*, SCE, SCOM, SCCM, OCS, SPS, Hyper-V, RMS…

PKI összetevők Tanúsítványkiadó, ill. tanúsítvány kezelő eszközök Tanúsítványkiadó szolgáltatás Tárolási és terjesztési megoldások Tanúsítvány sablonok Tanúsítványok Tanúsítvány visszavonási listák Alkalmazások és szolgáltatások

Felügyeleti és egyéb eszközök Kategória Eszközök MMC - Certificate Manager (certmgr.msc) - Certification Authority (certsrv.msc) - Certificate Templates (certtmpl.msc) - Enterprise PKI View (PKIview.msc) Parancssor - Certutil.exe - Certreq.exe Egyéb - netsh - Eseménynapló - ADUC

Még elmenekülhetünk… …mert most jön a Tanúsítványkiadók témakör.

Tanúsítványkiadók Certification Authority (CA) Feladatai Tanúsítványkérelem feldolgozása, a tanúsítványkérő ellenőrzése Nyílt kulcsú tanúsítványok kiadása A tanúsítványok közzététele, terjesztése (Active Directory, fájlrendszer) Tanúsítványok életútjának kezelése Megújítás, visszavonás

Tanúsítványkiadók Nyílt kulcsú tanúsítványok kiadása Hitelesítés saját digitális aláírással Ez az aláírás származhat Más CA-tól (pl. egy Trusted Root CA-tól) Egy „közbülső” CA-tól (Subordinate CA) Sőt: Intermediate vs. Issuer CA Önmagától (ekkor Root CA) A lényeg, hogy a hitelesítési útvonal végén lévő CA-ban megbízzunk Informatikai szemszögből majdnem teljesen mind1, hogy honnan kapjuk, jogilag viszont…

Tanúsítványkiadók Windows CA A Windows 2000 óta rendelkezésre áll Viszonylag egyszerűen telepíthető Ami nem azt jelenti, hogy tervezni nem kell… Két fő komponens CA szolgáltatás és Web Enrollment (IIS) Windows 2008-ban plusz kettő Online Responder Network Device Enrollment Service

Tanúsítványkiadók Windows CA Standalone Enterprise Mikor használjuk? Offline tanúsítványok, AD nélkül Magasabb igények Active Directory Nem szükséges Kötelező Tanúsítvány típusa Csak a standard típusok Speciális, sablonokon alapuló tanúsítványok is Tanúsítvány kezelés Manuálisan a rendszergazda Az AD infók alapján automatikus

Windows tanúsítványkiadó Enterprise Root CA telepítés

Egyéb tanúsítványkiadók Self-Signed azaz „önaláíró” Tipikusan csak alkalmazásokhoz Az alkalmazáson „belül” generáljuk Terminal Services Gateway Forefront TMG Exchange 2007 De van kivétel is, pl. IIS6 (SelfSSL.exe) Ugyanazt a tanúsítványt használjuk Trusted Root CA-ként is

Egyéb tanúsítványkiadók Külső, „profi” szervezet Netlock, Microsec, Verisign, Entrust, stb. Garantáltan megbízhatunk benne Cserébe bennünk is megbíznak majd Alapos adatszolgáltatás és bizonyítás után Kompatibilitási kérdések felmerülhetnek Láncolt Külső CA „alá becsúszó” belső CA A külső CA nem feltétlenül csak ismert, profi lehet > szervezetek együttműködése

Tanúsítványkiadók szumma Melyik az ajánlott, ergo az „igazi”? Önaláíró Windows CA Külső Garantáltan megbízható Nem Igen Csak belső használat Külső használat Nem / Talán Üzleti célokra Komplexitás Egyszerű bevezetés, felügyelet

Windows tanúsítványkiadó Enterprise Root CA MMC bővítmények

Még elmenekülhetünk… …mert most jön a Tanúsítványok témakör.

Tanúsítvány – „vajon mi”? Digitális adatcsomag, amely Szavatolja a felhasználó, a gép vagy a szoftver eredetiségét… …az aláíró CA jóvoltából. Tartalma (RFC2459): A tulajdonos publikus kulcsa, adatai A tanúsítványkiadó adatai Egyéb információk (érvényességi idő, privát kulcs megléte, stb.)

Tanúsítvány – „vajon mi”? A tanúsítványmezők 4 csoportja: Általános információk (kötelező) Bővítmények (nem kötelező, zöld nyíl) Kritikus bővítmények (sárga felkiáltójel) Ha egy szükséges kritikus bővítmény nincs jelen, vagy nem felismerhető… …akkor az OS érvénytelennek látja Egyéb (pl. ujjlenyomat infók)

A tanúsítvány Szerkezet, információk, mezők

Windows tanúsítványkiadó Webszerver tanúsítvány igénylése

Összetett tanúsítványok Subject Alternative Name (SAN) Több hostnév szerepelhet a tanúsítványban Akár eltérő tartományokból is NetBIOS és FQDN Van, hogy készen kapjuk (E2007) Mi is tudunk ilyet csinálni

Összetett tanúsítványok Wildcard = *.domain.hu Előnyök Hátrányok Kevesebb publikus IP szükséges Ha viszont gond van, az minden publikálást, listener-t, és URL-t érint Egyszerűbb az IP felügyelet Csak egy domain-t érinthet Kedvezőbb a költsége Ugyanakkor lényegesen drágább maga az 1 db tanúsítvány Összekapcsolható a SAN-nal Nem minden kliens kompatibilis (WM5) A tanúsítványok kezelése, megújítása, stb. is egyszerűbb Biztonsági szempontból megfontolandó: függjünk-e egyetlen tanúsítványtól?

Még elmenekülhetünk… …mert most jön a gyakorlati felhasználás témakör

Alkalmazások, eszközök Digitális aláírás Smart Card belépés Encrypting File System Windows Server 200x Tanúsítványszolgáltatás Biztonságos e-mail Internetes hitelesítés Aláírt kódok Software Restriction Policy IP Security 802.1x

Rendszerszolgáltatások Fiókok Felhasználók Számítógépek Rendszerszolgáltatások

Csoportházirend műveletek Terjesztés Aláíró tanúsítvány igénylés + kódaláírás + Software Restriction Policy

Vegyes felvágott Megademó eksön – IIS, Exchange, TSG > következő előadás

Még elmenekülhetünk… …de már nincs értelme 

Amit ma elmondtam

Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás…

Kezdés: 30 perc múlva

Függelék

Tanúsítványkiadók Windows CA - modulok Entry modul Fogadja a beérkező tanúsítványkéréseket (webes, RPC) Tanúsítványsablonok (Ent CA) Az AD-ban több, előre elkészített tanúsítványsablont találunk Policy Module Különböző információk alapján eldönti, hogy a kért tanúsítvány kiadható-e

Tanúsítványkiadók Windows CA - modulok Certificate Services Kiszolgálja / elutasítja a kéréseket, létre-hozza és tárolja a tanúsítványokat, gene-rálja a visszavont tanúsítványok listáját CryptoAPI, CSP-k A konkrét kriptográfiai műveleteket a CryptoAPI, ill. az adott CSP modul végzi Exit Module Feladata az elkészült tanúsítványok közzététele (AD / fájlrendszer)