{ PKI } Active Directory Certificate Services

Fóti MarcellcégvezetőNetAcademia

PKI: mi az ördög ez?

Public Key InfrastructureNyílt kulcsú titkosításDigitális aláírásRSA-algoritmus

Van más is az RSA-n kívül?

Te mod N = CCd mod N = T

A PKI alapja, a nyílt kulcsú titkosítás

Ki generálja a kulcsokat?Mi a tanúsítványszolgáltató szerepe?Mi az a tanúsítvány?

Hogyan ellenőrzöm? És mikor?

Minek a tanúsítvány a kulcsokhoz?Mi történik, ha elveszítem az aláírókulcsomat?Mi történik, ha elveszítem a titkosítókulcsomat?

{ Egy tanúsítvány vizsgálata }

demó

PKI a mindennapokban…Titkosító fájlrendszerSSL

HTTPS, POP3/SSL, SMTP/SLLTanúsítványalapú autentikáció

Kódok digitális aláírásaAuthentiCodeSoftware Restriction Policy

Biztonságos bejelentkezésTartományi bejelentkezésVPN-kapcsolat

Digital Rights ManagementS/MIME

Tanúsítványokat használ….Exchange Server 200x

OWA, HTTPS over RPC

ISA Server 200xPublikálás

System Center Operations ManagerWorkgroup környezetbenGateway szervereknél

System Center Configurations ManagerNatív üzemmód esetén

Office Communications Server 2007Minden kommunikációhoz!

Sharepoint 2007Webes űrlapok digitális aláírása

Windows szerver/kliens:Active Directory Domain Controller (DC-k tanúsítvány alapú hitelesítése)Active Directory Federation ServicesSSTPNAP (IPSec Enforcement)VPN (IPSec alapon)Domain izoláció (IPSec alapon)

PKI: a NAP összetevője!

Hozzávalók (PKI részről)1 db tartomány (megvan)1 db Certificate Services1 db tanúsítványsablon1 db házirendX db tanúsítvány

1 db Certificate Services

A Windows 2000 óta része a rendszernekTanúsítványkiállító központLehet root vagy subordinateLehet standalone vagy enterpriseTanúsítványkibocsátás, tanúsítványsablonokKözponti kulcsarchiválás…

{ Certificate Services telepítése }

demó

1 db tanúsítványsablon

Mit tartalmaz a tanúsítvány?A sablon a „blabla” összetételét határozza meg

Felhasználási célokKibocsátási feltételekKulcshosszok, CSP-kJogosultságokAzonosítás

{ Tanúsítványsablon létrehozása, kibocsátása }

demó

Központi kulcsarchiválás

Milyen veszélyekkel jár a titkosító kulcspár elvesztése?Hogyan védekezhetünk ellene?

Kézzel kiexportáljuk, elmentjük valahova, vagyA privát kulcsok elmentése a Certificate Server adatbázisába

Ki fér hozzá a mentett kulcsokhoz? Ki az a KRA? (Hol az ő kulcsa???)Hogyan kell elveszített kulcsot visszaállítani?

Parancssorból: Certutil –getkeyGrafice: KRT.EXE

Szerepek szétválasztásaNégy fontos szerep

CA AdministratorCertificate ManagerAuditorBackup Operator

Common Criteria követelmény: a „malicsusz” rendszergazda kizárása!Role Separation

Certutil –setreg CA\RoleSeparationEnabled 1Mindenki csak egyetlenegy szerepkörben lehetHa esetleg kettőben van, akkor egyben sincs!

1 db házirend

Tanúsítványok kibocsátásaKézzelAutomatikusan

IPSec esetén a GÉP a játékos!Automata kibocsátás GPO-val

{ Tanúsítványkérő GPO }

demó

A Windows Server 2008 PKI-újdonságai

Átnevezés: Active Directory Certificate ServerECC és SHA2 támogatásCryptography Next Generation

A CryptoAPI és így a CAPICOM utódja

Network Device EnrollmentEz nem más, mint egy Simple Certificate Enrollment Protocol implementáció (HTTP)

OCSP …

Online Certificate Status Protocol

A tanúsítványok ellenőrzése hagyományosan offline történik

Érvényességi határokVisszavonási listák

A visszavonási listák publikálása időzítettAz Online megoldás az OCSP

Most már szerveroldalon is!