Master Class: Public Key Infrastructure (PKI) Deep Dive
Master Class: Public Key Infrastructure (PKI) Deep Dive: In fünf Tagen wirst du zu einem PKI-Fachmann
Zu den TerminenFür viele ist das Thema PKI ein Buch mit (mindestens) sieben Siegeln. Zertifikate sind aus der heutigen Welt nicht mehr wegzudenken – gerade im Thema Sicherheit ist das Thema PKI tief verwurzelt. Wir haben diesen Kurs komplett neu aufgebaut mit dem Wissen aus unseren PKI-Trainings der letzten Jahrzehnte. In fünf Tagen wirst du zu einem PKI-Fachmann. Angefangen bei den Grundlagen (private & öffentliche Schlüssel, digitale Signatur und TLS) bis zu High-End-Themen wie mehrstufige PKIs, Algorithmen, virtuelle SmartCards und vieles mehr: Public Key Infrastructure – nach diesem Kurs jonglierst du mit allen Themen rund um das Thema PKI!
Lernziele
Nach dem Seminar Master Class: Public Key Infrastructure (PKI) Deep Dive wirst du in der Lage sein, Public Key Infrastrukturen zu designen, zu erstellen und hochsicher zu betreiben.
Inhalte
Block 1 Grundlagen:
Windows Server 2016 / 2019 / 2022 PKI
Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
Anwendungen durch PKI
Mehrstufige PKI (2-stufig, 3-stufig)
Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
NIST, NSA Suite-B Cryptography
Kryptographische Standards: X509v3, PKCS etc.
CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
Digital Certificate X.509v3 und die Felder
Windows Cipher Suite
PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec
Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:
Design und Implementierung einer mehrstufigen 2019 PKI:
Design einer PKI (einstufig, zweistufig und dreistufig)
Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
Publizieren CDP und AIA in Active Directory und auf dem Webserver
Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)
Block 3 Administration:
PKI-Administration mit Rollenseparation
Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
CA-Ereignisse senden per E-Mail
Zertifikatsvorlagen Typ 1, 2, 3 und 4
Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
Kopieren von Zertifikatsvorlagen
Die wichtigsten Zertifikatsvorlagen-Einstellungen:
Anforderungsverarbeitung
Anwendungs- und Ausstellungsrichtlinien
Ausstellungsvoraussetzungen
Delegieren der Zertifikatsvorlagenverwaltung
Gültigkeitsdauer und Erweiterungszeitraum
Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung
Key Archivierung und Recovery
Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
Publizieren von Zertifikat
Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
Key Archivierung und Recovery
Windows CA mit Private Key Archivierung
Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
Verschlüsselung von Privatkeys und Zertifikat PKCS#12
Export und Import von Zertifikat und Privat Keys
Archivieren von EFS-Private Key
Wiederherstellen von archivierten Private Keys
Windows 10 & Windows Server 2019 Enrollment
Neue Features von Windows 10 und Server 2019
Einfachere Auswahl von Zertifikat im Certificate Store
Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM
Block 4 PKI-Anwendungen:
Smart Cards
Kerberos Authentication Zertifikat für alle Domain Controller
Installieren SmartCard-Reader
SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer
Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation
Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
Arbeiten mit TPMVSCMgr und Mini-Driver manager
TPM Key Attestation ab 2012 R2 CA
Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)
EFS Encrypted File System
Funktionsweise von EFS
Selbstsigniertes und CA signiertes EFS-Zertifikat
Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
Verschlüsseln von lokalen Dateien
Block 5 Erneuerung von Zertifikat und CRL
Certificate Revocation List – CRLOverlap
Lebensdauer einer Base CRL und Delta CRL
Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
Standardwerte von CRLOverlap und CRLDeltaOverlap
Wie soll ein CRLOverlap eingestellt werden?
Online Certificate Status Protocol (OCSP)
OCSP-Vorlage erstellen
OCSP-Array erstellen und einrichten.
CA Revocation Konfiguration mit CRL Refresh Time einrichten
OCSP Response optimieren
OCSP Stapling
Lokal CRL – On-Demand Sperrung
Certificate Erneuerung
Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
CA in eine neue PKI-Struktur umhängen
Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
Cross RootCA Zertifikat
Migration oder Konsolidierung in eine neue PKI-Struktur
Block 6 Auditing & Troubleshooting
Auditing & Troubleshooting
Audit von PKI konfigurieren
Auswerten der Ereignisse
Troubleshooting von Zertifikatsenrollment
E-Mail Benachrichtigung
Network Device Enrollment Service (NDES)
Einrichtung und Konfiguration
Kerberos Delegation
Anfordern eines Zertifikates
Backup / Recovery von PKI-Database
Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
„Kleine“ und „große“ Datenbank-Sicherung
Wiederherstellen von CA-Keys und Datenbank
Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten
Certificate Lifecycle Notification (Optional)
Konfigurieren von Task Scheduler
Event 1001 bis 1007
PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
SCOM Monitor
Master Class: Public Key Infrastructure (PKI) Deep Dive Zielgruppe:
Der Kurs Master Class: Public Key Infrastructure (PKI) Deep Dive wendet sich an erfahrene System-Administratoren, Consultants und Active-Directory-Designer.
Master Class: Public Key Infrastructure (PKI) Deep Dive Voraussetzungen:
Für deinen Besuch der Schulung Master Class: Public Key Infrastructure (PKI) Deep Dive empfehlen wir mindestens 5 Jahre Erfahrung mit Servern und Client-Systemen, mindestens 3 Jahre Erfahrung im Active Directory.
Schulungen, die dich interessieren könnten
Unternehmen in Deutschland, Österreich und der Schweiz, die uns vertrauen
Das sagen unsere Kunden
Wir arbeiten ständig daran uns zu verbessern. Dafür sind wir auf das Feedback unserer Kunden angewiesen.

Kompetentes Online-Training mit Learning by Doing. Besser geht nicht. Jeannette M.
Sehr gute Planung und Organisation aller Microsoft Office Schulungen. Incas Training ist sehr zu empfehlen! Christopher M.
Toller Service. Hatte auf Ihrer Seite KOSTENLOS den Weg gefunden, sämtliche Animationen mit einem Schritt zu entfernen. Hat super geklappt. Vielen lieben Dank dafür. Wenn ich schon nichts bezahlen muss, dann wenigstens eine passenden Bewertung :-) Thomas S.