Master Class: Public Key Infrastructure (PKI) Deep Dive

Für viele ist das Thema PKI ein Buch mit (mindestens) sieben Siegeln. Zertifikate sind aus der heutigen Welt nicht mehr wegzudenken – gerade im Thema Sicherheit ist das Thema PKI tief verwurzelt. Wir haben diesen Kurs komplett neu aufgebaut mit dem Wissen aus unseren PKI-Trainings der letzten Jahrzehnte. In fünf Tagen wirst du zu einem PKI-Fachmann. Angefangen bei den Grundlagen (private & öffentliche Schlüssel, digitale Signatur und TLS) bis zu High-End-Themen wie mehrstufige PKIs, Algorithmen, virtuelle SmartCards und vieles mehr: Public Key Infrastructure – nach diesem Kurs jonglierst du mit allen Themen rund um das Thema PKI!

Nach dem Seminar Master Class: Public Key Infrastructure (PKI) Deep Dive wirst du in der Lage sein, Public Key Infrastrukturen zu designen, zu erstellen und hochsicher zu betreiben.

Block 1 Grundlagen:

Windows Server 2016 / 2019 / 2022 PKI

• Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure

• Anwendungen durch PKI

• Mehrstufige PKI (2-stufig, 3-stufig)

• Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)

• Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)

• NIST, NSA Suite-B Cryptography

• Kryptographische Standards: X509v3, PKCS etc.

• CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2

• CSP (Cryptographic Service Provider) und KSP (Key Service Provider)

• Digital Certificate X.509v3 und die Felder

• Windows Cipher Suite

• PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec

Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:

Design und Implementierung einer mehrstufigen 2019 PKI:

• Design einer PKI (einstufig, zweistufig und dreistufig)

• Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA

• Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA

• Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!

• Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)

• Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL

• Publizieren CDP und AIA in Active Directory und auf dem Webserver

• Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg

• Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)

• Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.

• Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)

Block 3 Administration:

PKI-Administration mit Rollenseparation

• Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung

• Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung

• Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten

• Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL

• Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung

• CA-Ereignisse senden per E-Mail

• Zertifikatsvorlagen Typ 1, 2, 3 und 4

• Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)

• Kopieren von Zertifikatsvorlagen

• Die wichtigsten Zertifikatsvorlagen-Einstellungen:

• Anforderungsverarbeitung

• Anwendungs- und Ausstellungsrichtlinien

• Ausstellungsvoraussetzungen

• Delegieren der Zertifikatsvorlagenverwaltung

• Gültigkeitsdauer und Erweiterungszeitraum

• Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung

Key Archivierung und Recovery

• Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer

• Publizieren von Zertifikat

• Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat

• Key Archivierung und Recovery

• Windows CA mit Private Key Archivierung

• Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat

• Verschlüsselung von Privatkeys und Zertifikat PKCS#12

• Export und Import von Zertifikat und Privat Keys

• Archivieren von EFS-Private Key

• Wiederherstellen von archivierten Private Keys

Windows 10 & Windows Server 2019 Enrollment

• Neue Features von Windows 10 und Server 2019

• Einfachere Auswahl von Zertifikat im Certificate Store

• Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM

Block 4 PKI-Anwendungen:

Smart Cards

• Kerberos Authentication Zertifikat für alle Domain Controller

• Installieren SmartCard-Reader

• SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten

• Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer

Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation

• Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus

• TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients

• Arbeiten mit TPMVSCMgr und Mini-Driver manager

• TPM Key Attestation ab 2012 R2 CA

• Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)

EFS Encrypted File System

• Funktionsweise von EFS

• Selbstsigniertes und CA signiertes EFS-Zertifikat

• Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI

• Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment

• Verschlüsseln von lokalen Dateien

Block 5 Erneuerung von Zertifikat und CRL

Certificate Revocation List – CRLOverlap

• Lebensdauer einer Base CRL und Delta CRL

• Verlängerung der Lebensdauer durch CRLOverlap (Überhang)

• Standardwerte von CRLOverlap und CRLDeltaOverlap

• Wie soll ein CRLOverlap eingestellt werden?

Online Certificate Status Protocol (OCSP)

• OCSP-Vorlage erstellen

• OCSP-Array erstellen und einrichten.

• CA Revocation Konfiguration mit CRL Refresh Time einrichten

• OCSP Response optimieren

• OCSP Stapling

• Lokal CRL – On-Demand Sperrung

Certificate Erneuerung

• Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar

• Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung

• CA in eine neue PKI-Struktur umhängen

• Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)

• Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar

• Cross RootCA Zertifikat

• Migration oder Konsolidierung in eine neue PKI-Struktur

Block 6 Auditing & Troubleshooting

Auditing & Troubleshooting

• Audit von PKI konfigurieren

• Auswerten der Ereignisse

• Troubleshooting von Zertifikatsenrollment

• E-Mail Benachrichtigung

Network Device Enrollment Service (NDES)

• Einrichtung und Konfiguration

• Kerberos Delegation

• Anfordern eines Zertifikates

Backup / Recovery von PKI-Database

• Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei

• „Kleine“ und „große“ Datenbank-Sicherung

• Wiederherstellen von CA-Keys und Datenbank

• Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten

Certificate Lifecycle Notification (Optional)

• Konfigurieren von Task Scheduler

• Event 1001 bis 1007

• PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint

• SCOM Monitor

Der Kurs Master Class: Public Key Infrastructure (PKI) Deep Dive wendet sich an erfahrene System-Administratoren, Consultants und Active-Directory-Designer.

Für deinen Besuch der Schulung Master Class: Public Key Infrastructure (PKI) Deep Dive empfehlen wir mindestens 5 Jahre Erfahrung mit Servern und Client-Systemen, mindestens 3 Jahre Erfahrung im Active Directory.