1 / 19

{ PKI } Active Directory Certificate Services

{ PKI } Active Directory Certificate Services. Fóti Marcell cégvezető NetAcademia. PKI: mi az ördög ez?. Public Key Infrastructure Nyílt kulcsú titkosítás Digitális aláírás RSA-algoritmus Van más is az RSA-n kívül?. T e mod N = C C d mod N = T.

sitara
Download Presentation

{ PKI } Active Directory Certificate Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. { PKI } Active Directory Certificate Services Fóti MarcellcégvezetőNetAcademia

  2. PKI: mi az ördög ez? • Public Key Infrastructure • Nyílt kulcsú titkosítás • Digitális aláírás • RSA-algoritmus • Van más is az RSA-n kívül? Temod N = C Cdmod N = T

  3. A PKI alapja, a nyílt kulcsú titkosítás • Ki generálja a kulcsokat? • Mi a tanúsítványszolgáltató szerepe? • Mi az a tanúsítvány? • Hogyan ellenőrzöm? És mikor? • Minek a tanúsítvány a kulcsokhoz? • Mi történik, ha elveszítem az aláírókulcsomat? • Mi történik, ha elveszítem a titkosítókulcsomat?

  4. {Egy tanúsítvány vizsgálata } demó

  5. PKI a mindennapokban… • Titkosító fájlrendszer • SSL • HTTPS, POP3/SSL, SMTP/SLL • Tanúsítványalapú autentikáció • Kódok digitális aláírása • AuthentiCode • Software Restriction Policy • Biztonságos bejelentkezés • Tartományi bejelentkezés • VPN-kapcsolat • Digital Rights Management • S/MIME

  6. Tanúsítványokat használ…. • Exchange Server 200x • OWA, HTTPS over RPC • ISA Server 200x • Publikálás • System Center Operations Manager • Workgroup környezetben • Gateway szervereknél • System Center Configurations Manager • Natív üzemmód esetén • Office Communications Server 2007 • Minden kommunikációhoz! • Sharepoint 2007 • Webes űrlapok digitális aláírása • Windows szerver/kliens: • ActiveDirectory Domain Controller (DC-k tanúsítvány alapú hitelesítése) • ActiveDirectoryFederationServices • SSTP • NAP (IPSecEnforcement) • VPN (IPSec alapon) • Domain izoláció (IPSec alapon)

  7. PKI: a NAP összetevője! • Hozzávalók (PKI részről) • 1 db tartomány (megvan) • 1 db CertificateServices • 1 db tanúsítványsablon • 1 db házirend • X db tanúsítvány

  8. 1 db CertificateServices • A Windows 2000 óta része a rendszernek • Tanúsítványkiállító központ • Lehet root vagy subordinate • Lehet standalone vagy enterprise • Tanúsítványkibocsátás, tanúsítványsablonok • Központi kulcsarchiválás…

  9. {Certificate Services telepítése } demó

  10. 1 db tanúsítványsablon • Mit tartalmaz a tanúsítvány? • A sablon a „blabla” összetételét határozza meg • Felhasználási célok • Kibocsátási feltételek • Kulcshosszok, CSP-k • Jogosultságok • Azonosítás

  11. {Tanúsítványsablon létrehozása, kibocsátása } demó

  12. Központi kulcsarchiválás • Milyen veszélyekkel jár a titkosító kulcspár elvesztése? • Hogyan védekezhetünk ellene? • Kézzel kiexportáljuk, elmentjük valahova, vagy • A privát kulcsok elmentése a Certificate Server adatbázisába • Ki fér hozzá a mentett kulcsokhoz? Ki az a KRA? (Hol az ő kulcsa???) • Hogyan kell elveszített kulcsot visszaállítani? • Parancssorból:Certutil –getkey • Grafice: KRT.EXE

  13. Szerepek szétválasztása • Négy fontos szerep • CA Administrator • Certificate Manager • Auditor • Backup Operator • CommonCriteria követelmény: a „malicsusz” rendszergazda kizárása! • RoleSeparation • Certutil –setreg CA\RoleSeparationEnabled 1 • Mindenki csak egyetlenegy szerepkörben lehet • Ha esetleg kettőben van, akkor egyben sincs!

  14. 1 db házirend • Tanúsítványok kibocsátása • Kézzel • Automatikusan • IPSec esetén a GÉP a játékos! • Automata kibocsátás GPO-val

  15. {Tanúsítványkérő GPO } demó

  16. A Windows Server 2008 PKI-újdonságai • Átnevezés: ActiveDirectoryCertificate Server • ECC és SHA2 támogatás • CryptographyNextGeneration • A CryptoAPI és így a CAPICOM utódja • Network DeviceEnrollment • Ez nem más, mint egy SimpleCertificateEnrollmentProtocol implementáció (HTTP) • OCSP …

  17. Online Certificate Status Protocol • A tanúsítványok ellenőrzése hagyományosan offline történik • Érvényességi határok • Visszavonási listák • A visszavonási listák publikálása időzített • Az Online megoldás az OCSP • Most már szerveroldalon is!

More Related