Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Tanúsítványok… …a hétköznapokon Gál Tamás

KiadtaDávid Kocsis Megváltozta több, mint 10 éve

Hasonló előadás

Az előadások a következő témára: "Tanúsítványok… …a hétköznapokon Gál Tamás"— Előadás másolata:

1 Tanúsítványok… …a hétköznapokon Gál Tamás v-tagal@microsoft.com
Szakmai vezető - TechNet Microsoft Magyarország

2 Tartalom Elrettentés - OWA SSL nélkül PKI – „vajon mi”?
Tanúsítványkiadók Tanúsítványok Alkalmazások és szolgáltatások

3 A demókörnyezet Két szálon litwareinc.com fenestra.net EX07SP1 EXCLI
WS EXCLI WS fenestra.net WS08-DC – WS08 WS08-SRV – WS08

4 OWA SSL nélkül Jelszólopás NetMonnal

5 Még elmenekülhetünk… …mert most jön az Áttekintés témakör.

6 PKI - „vajon mi”? „…Ez a nyomorult PKI egyébként sem egyszerű dolog, se a megértése, se az implementálása nem könnyű...” Nyilvános kulcsú infrastuktúra = kriptográfia (a matek) + komplex háttérrendszer

7 PKI - „vajon mi”? Lemez- és fájl titkosítás, multifaktoros hitelesítés (SmartCard), IPSec, digitális aláírások, RADIUS / 802.1x hitelesítés, Vezetéknélküli hálózatok, NAP, Software Restriction Policy, S/MIME, SSL / TLS… POP3S, SMTPS, IMAPS, LDAPS, NNTPS, SIPS, FTPS, RDP, L2TP+IPSec, RPC/RDP/VPN over HTTPS… AD DS, AD FS, IIS/FTP, Exchange, SQL, ISA, WSUS, TS*, SCE, SCOM, SCCM, OCS, SPS, Hyper-V, RMS…

8 PKI összetevők Tanúsítványkiadó, ill. tanúsítvány kezelő eszközök
Tanúsítványkiadó szolgáltatás Tárolási és terjesztési megoldások Tanúsítvány sablonok Tanúsítványok Tanúsítvány visszavonási listák Alkalmazások és szolgáltatások

9 Felügyeleti és egyéb eszközök
Kategória Eszközök MMC - Certificate Manager (certmgr.msc) - Certification Authority (certsrv.msc) - Certificate Templates (certtmpl.msc) - Enterprise PKI View (PKIview.msc) Parancssor - Certutil.exe - Certreq.exe Egyéb - netsh - Eseménynapló - ADUC

10 Még elmenekülhetünk… …mert most jön a Tanúsítványkiadók témakör.

11 Tanúsítványkiadók Certification Authority (CA) Feladatai
Tanúsítványkérelem feldolgozása, a tanúsítványkérő ellenőrzése Nyílt kulcsú tanúsítványok kiadása A tanúsítványok közzététele, terjesztése (Active Directory, fájlrendszer) Tanúsítványok életútjának kezelése Megújítás, visszavonás

12 Tanúsítványkiadók Nyílt kulcsú tanúsítványok kiadása
Hitelesítés saját digitális aláírással Ez az aláírás származhat Más CA-tól (pl. egy Trusted Root CA-tól) Egy „közbülső” CA-tól (Subordinate CA) Sőt: Intermediate vs. Issuer CA Önmagától (ekkor Root CA) A lényeg, hogy a hitelesítési útvonal végén lévő CA-ban megbízzunk Informatikai szemszögből majdnem teljesen mind1, hogy honnan kapjuk, jogilag viszont…

13 Tanúsítványkiadók Windows CA
A Windows 2000 óta rendelkezésre áll Viszonylag egyszerűen telepíthető Ami nem azt jelenti, hogy tervezni nem kell… Két fő komponens CA szolgáltatás és Web Enrollment (IIS) Windows 2008-ban plusz kettő Online Responder Network Device Enrollment Service

14 Tanúsítványkiadók Windows CA
Standalone Enterprise Mikor használjuk? Offline tanúsítványok, AD nélkül Magasabb igények Active Directory Nem szükséges Kötelező Tanúsítvány típusa Csak a standard típusok Speciális, sablonokon alapuló tanúsítványok is Tanúsítvány kezelés Manuálisan a rendszergazda Az AD infók alapján automatikus

15 Windows tanúsítványkiadó
Enterprise Root CA telepítés

16 Egyéb tanúsítványkiadók
Self-Signed azaz „önaláíró” Tipikusan csak alkalmazásokhoz Az alkalmazáson „belül” generáljuk Terminal Services Gateway Forefront TMG Exchange 2007 De van kivétel is, pl. IIS6 (SelfSSL.exe) Ugyanazt a tanúsítványt használjuk Trusted Root CA-ként is

17 Egyéb tanúsítványkiadók
Külső, „profi” szervezet Netlock, Microsec, Verisign, Entrust, stb. Garantáltan megbízhatunk benne Cserébe bennünk is megbíznak majd Alapos adatszolgáltatás és bizonyítás után Kompatibilitási kérdések felmerülhetnek Láncolt Külső CA „alá becsúszó” belső CA A külső CA nem feltétlenül csak ismert, profi lehet > szervezetek együttműködése

18 Tanúsítványkiadók szumma Melyik az ajánlott, ergo az „igazi”?
Önaláíró Windows CA Külső Garantáltan megbízható Nem Igen Csak belső használat Külső használat Nem / Talán Üzleti célokra Komplexitás Egyszerű bevezetés, felügyelet

19 Windows tanúsítványkiadó
Enterprise Root CA MMC bővítmények

20 Még elmenekülhetünk… …mert most jön a Tanúsítványok témakör.

21 Tanúsítvány – „vajon mi”?
Digitális adatcsomag, amely Szavatolja a felhasználó, a gép vagy a szoftver eredetiségét… …az aláíró CA jóvoltából. Tartalma (RFC2459): A tulajdonos publikus kulcsa, adatai A tanúsítványkiadó adatai Egyéb információk (érvényességi idő, privát kulcs megléte, stb.)

22 Tanúsítvány – „vajon mi”?
A tanúsítványmezők 4 csoportja: Általános információk (kötelező) Bővítmények (nem kötelező, zöld nyíl) Kritikus bővítmények (sárga felkiáltójel) Ha egy szükséges kritikus bővítmény nincs jelen, vagy nem felismerhető… …akkor az OS érvénytelennek látja Egyéb (pl. ujjlenyomat infók)

23 A tanúsítvány Szerkezet, információk, mezők

24 Windows tanúsítványkiadó
Webszerver tanúsítvány igénylése

25 Összetett tanúsítványok
Subject Alternative Name (SAN) Több hostnév szerepelhet a tanúsítványban Akár eltérő tartományokból is NetBIOS és FQDN Van, hogy készen kapjuk (E2007) Mi is tudunk ilyet csinálni

26 Összetett tanúsítványok
Wildcard = *.domain.hu Előnyök Hátrányok Kevesebb publikus IP szükséges Ha viszont gond van, az minden publikálást, listener-t, és URL-t érint Egyszerűbb az IP felügyelet Csak egy domain-t érinthet Kedvezőbb a költsége Ugyanakkor lényegesen drágább maga az 1 db tanúsítvány Összekapcsolható a SAN-nal Nem minden kliens kompatibilis (WM5) A tanúsítványok kezelése, megújítása, stb. is egyszerűbb Biztonsági szempontból megfontolandó: függjünk-e egyetlen tanúsítványtól?

27 Még elmenekülhetünk… …mert most jön a gyakorlati felhasználás témakör

28 Alkalmazások, eszközök
Digitális aláírás Smart Card belépés Encrypting File System Windows Server 200x Tanúsítványszolgáltatás Biztonságos Internetes hitelesítés Aláírt kódok Software Restriction Policy IP Security 802.1x

29 Rendszerszolgáltatások
Fiókok Felhasználók Számítógépek Rendszerszolgáltatások

30 Csoportházirend műveletek
Terjesztés Aláíró tanúsítvány igénylés + kódaláírás + Software Restriction Policy

31 Vegyes felvágott Megademó eksön – IIS, Exchange, TSG > következő előadás

32 Még elmenekülhetünk… …de már nincs értelme 

33 Amit ma elmondtam

34 Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás, Tervezés, Tanulás…

35 Kezdés: 30 perc múlva

36

37 Függelék

38 Tanúsítványkiadók Windows CA - modulok
Entry modul Fogadja a beérkező tanúsítványkéréseket (webes, RPC) Tanúsítványsablonok (Ent CA) Az AD-ban több, előre elkészített tanúsítványsablont találunk Policy Module Különböző információk alapján eldönti, hogy a kért tanúsítvány kiadható-e

39 Tanúsítványkiadók Windows CA - modulok
Certificate Services Kiszolgálja / elutasítja a kéréseket, létre-hozza és tárolja a tanúsítványokat, gene-rálja a visszavont tanúsítványok listáját CryptoAPI, CSP-k A konkrét kriptográfiai műveleteket a CryptoAPI, ill. az adott CSP modul végzi Exit Module Feladata az elkészült tanúsítványok közzététele (AD / fájlrendszer)

Letölteni ppt "Tanúsítványok… …a hétköznapokon Gál Tamás"

Hasonló előadás

Dolgozni már bárhonnan lehet…

Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés

Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton

Készítette: Nagy Márton
Kliens-szerver architektúra

Kliens-szerver architektúra
Hálózati és Internet ismeretek

Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál

Hatékonyságnövelés Office System alapon az E.ON csoportnál
Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben.

Szalontay Zoltán, Tarsoly Balázs rendszermérnökök Microsoft Magyarország Biztonsági szolgáltatások Windows 2000-ben.
A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.

A biztonság három oldala Páger Máté, Göcsei Zsolt, Szabó Gábor.
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.

Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.

Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Active Directory.

Active Directory.
Microsoft Forefront biztonsági megoldások

Microsoft Forefront biztonsági megoldások
Mobil eszközök alkalmazása vállalati környezetben

Mobil eszközök alkalmazása vállalati környezetben
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.

Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
Korszerű kommunikációs infrastruktúrák

Korszerű kommunikációs infrastruktúrák
Áttekintés Egyszerű architektúrák Nagyvállalati architektúrák Tervezési útmutató.

Áttekintés Egyszerű architektúrák Nagyvállalati architektúrák Tervezési útmutató.
Köszöntő Budai Péter Programmenedzser – IT szakmai programok Microsoft Magyarország.

Köszöntő Budai Péter Programmenedzser – IT szakmai programok Microsoft Magyarország.
Távoli elérés és munkavégzés Üzemeltetői szemmel

Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.

NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Titkosítás Digitális aláírás Szabványosított tanúsítványok

Titkosítás Digitális aláírás Szabványosított tanúsítványok

Hasonló előadás

Google Hirdetések