Master Class: Public Key Infrastructure (PKI) Deep Dive Seminar

Block 1 Grundlagen:

Windows Server 2016 / 2019 / 2022 PKI

• Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
• Anwendungen durch PKI
• Mehrstufige PKI (2-stufig, 3-stufig)
• Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
• Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
• NIST, NSA Suite-B Cryptography
• Kryptographische Standards: X509v3, PKCS etc.
• CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
• CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
• Digital Certificate X.509v3 und die Felder
• Windows Cipher Suite
• PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec

Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:

Design und Implementierung einer mehrstufigen 2019 PKI:

• Design einer PKI (einstufig, zweistufig und dreistufig)
• Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
• Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
• Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
• Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
• Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
• Publizieren CDP und AIA in Active Directory und auf dem Webserver
• Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
• Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
• Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
• Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)

Block 3 Administration:

PKI-Administration mit Rollenseparation

• Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
• Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
• Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
• Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
• Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
• CA-Ereignisse senden per E-Mail
• Zertifikatsvorlagen Typ 1, 2, 3 und 4
• Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
• Kopieren von Zertifikatsvorlagen
• Die wichtigsten Zertifikatsvorlagen-Einstellungen:
• Anforderungsverarbeitung
• Anwendungs- und Ausstellungsrichtlinien
• Ausstellungsvoraussetzungen
• Delegieren der Zertifikatsvorlagenverwaltung
• Gültigkeitsdauer und Erweiterungszeitraum
• Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung

Key Archivierung und Recovery

• Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
• Publizieren von Zertifikat
• Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
• Key Archivierung und Recovery
• Windows CA mit Private Key Archivierung
• Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
• Verschlüsselung von Privatkeys und Zertifikat PKCS#12
• Export und Import von Zertifikat und Privat Keys
• Archivieren von EFS-Private Key
• Wiederherstellen von archivierten Private Keys

Windows 10 & Windows Server 2019 Enrollment

• Neue Features von Windows 10 und Server 2019
• Einfachere Auswahl von Zertifikat im Certificate Store
• Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM

Block 4 PKI-Anwendungen:

Smart Cards

• Kerberos Authentication Zertifikat für alle Domain Controller
• Installieren SmartCard-Reader
• SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
• Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer

Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation

• Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
• TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
• Arbeiten mit TPMVSCMgr und Mini-Driver manager
• TPM Key Attestation ab 2012 R2 CA
• Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)

EFS Encrypted File System

• Funktionsweise von EFS
• Selbstsigniertes und CA signiertes EFS-Zertifikat
• Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
• Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
• Verschlüsseln von lokalen Dateien

Block 5 Erneuerung von Zertifikat und CRL

Certificate Revocation List – CRLOverlap

• Lebensdauer einer Base CRL und Delta CRL
• Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
• Standardwerte von CRLOverlap und CRLDeltaOverlap
• Wie soll ein CRLOverlap eingestellt werden?

Online Certificate Status Protocol (OCSP)

• OCSP-Vorlage erstellen
• OCSP-Array erstellen und einrichten.
• CA Revocation Konfiguration mit CRL Refresh Time einrichten
• OCSP Response optimieren
• OCSP Stapling
• Lokal CRL – On-Demand Sperrung

Certificate Erneuerung

• Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
• Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
• CA in eine neue PKI-Struktur umhängen
• Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
• Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
• Cross RootCA Zertifikat
• Migration oder Konsolidierung in eine neue PKI-Struktur

Block 6 Auditing & Troubleshooting

Auditing & Troubleshooting

• Audit von PKI konfigurieren
• Auswerten der Ereignisse
• Troubleshooting von Zertifikatsenrollment
• E-Mail Benachrichtigung

Network Device Enrollment Service (NDES)

• Einrichtung und Konfiguration
• Kerberos Delegation
• Anfordern eines Zertifikates

Backup / Recovery von PKI-Database

• Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
• „Kleine“ und „große“ Datenbank-Sicherung
• Wiederherstellen von CA-Keys und Datenbank
• Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten

Certificate Lifecycle Notification (Optional)

• Konfigurieren von Task Scheduler
• Event 1001 bis 1007
• PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
• SCOM Monitor