SchulungenNetzwerkNetzwerk Master ClassMaster Class: Public Key Infrastructure (PKI) Deep Dive
Lade Schulungen
vollständiger Stern vollständiger Stern vollständiger Stern vollständiger Stern halber Stern
4.8
(416)

Master Class: Public Key Infrastructure (PKI) Deep Dive Seminar

Master Class: Public Key Infrastructure (PKI) Deep Dive: In fünf Tagen wirst du zu einem PKI-Fachmann

Für viele ist das Thema PKI ein Buch mit (mindestens) sieben Siegeln.

Zertifikate sind aus der heutigen Welt nicht mehr wegzudenken – gerade im Thema Sicherheit ist das Thema PKI tief verwurzelt. Wir haben diesen Kurs komplett neu aufgebaut mit dem Wissen aus unseren PKI-Trainings der letzten Jahrzehnte. In fünf Tagen wirst du zu einem PKI-Fachmann.

Angefangen bei den Grundlagen (private & öffentliche Schlüssel, digitale Signatur und TLS) bis zu High-End-Themen wie mehrstufige PKIs, Algorithmen, virtuelle SmartCards und vieles mehr: Public Key Infrastructure – nach diesem Kurs jonglierst du mit allen Themen rund um das Thema PKI!

Lernziele Public Key Infrastructure (PKI) Seminar

Nach dem Seminar Master Class: Public Key Infrastructure (PKI) Deep Dive wirst du in der Lage sein, Public Key Infrastrukturen zu designen, zu erstellen und hochsicher zu betreiben.

Inhalte Public Key Infrastructure (PKI) Seminar

Block 1 Grundlagen:

Windows Server 2016 / 2019 / 2022 PKI

  • Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
  • Anwendungen durch PKI
  • Mehrstufige PKI (2-stufig, 3-stufig)
  • Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
  • Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
  • NIST, NSA Suite-B Cryptography
  • Kryptographische Standards: X509v3, PKCS etc.
  • CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
  • CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
  • Digital Certificate X.509v3 und die Felder
  • Windows Cipher Suite
  • PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec

Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:

Design und Implementierung einer mehrstufigen 2019 PKI:

  • Design einer PKI (einstufig, zweistufig und dreistufig)
  • Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
  • Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
  • Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
  • Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
  • Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
  • Publizieren CDP und AIA in Active Directory und auf dem Webserver
  • Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
  • Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
  • Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
  • Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)

Block 3 Administration:

PKI-Administration mit Rollenseparation

  • Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
  • Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
  • Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
  • Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
  • Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
  • CA-Ereignisse senden per E-Mail
  • Zertifikatsvorlagen Typ 1, 2, 3 und 4
  • Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
  • Kopieren von Zertifikatsvorlagen
  • Die wichtigsten Zertifikatsvorlagen-Einstellungen:
  • Anforderungsverarbeitung
  • Anwendungs- und Ausstellungsrichtlinien
  • Ausstellungsvoraussetzungen
  • Delegieren der Zertifikatsvorlagenverwaltung
  • Gültigkeitsdauer und Erweiterungszeitraum
  • Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung

Key Archivierung und Recovery

  • Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
  • Publizieren von Zertifikat
  • Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
  • Key Archivierung und Recovery
  • Windows CA mit Private Key Archivierung
  • Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
  • Verschlüsselung von Privatkeys und Zertifikat PKCS#12
  • Export und Import von Zertifikat und Privat Keys
  • Archivieren von EFS-Private Key
  • Wiederherstellen von archivierten Private Keys

Windows 10 & Windows Server 2019 Enrollment

  • Neue Features von Windows 10 und Server 2019
  • Einfachere Auswahl von Zertifikat im Certificate Store
  • Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM

Block 4 PKI-Anwendungen:

Smart Cards

  • Kerberos Authentication Zertifikat für alle Domain Controller
  • Installieren SmartCard-Reader
  • SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
  • Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer

Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation

  • Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
  • TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
  • Arbeiten mit TPMVSCMgr und Mini-Driver manager
  • TPM Key Attestation ab 2012 R2 CA
  • Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)

EFS Encrypted File System

  • Funktionsweise von EFS
  • Selbstsigniertes und CA signiertes EFS-Zertifikat
  • Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
  • Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
  • Verschlüsseln von lokalen Dateien

Block 5 Erneuerung von Zertifikat und CRL

Certificate Revocation List – CRLOverlap

  • Lebensdauer einer Base CRL und Delta CRL
  • Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
  • Standardwerte von CRLOverlap und CRLDeltaOverlap
  • Wie soll ein CRLOverlap eingestellt werden?

Online Certificate Status Protocol (OCSP)

  • OCSP-Vorlage erstellen
  • OCSP-Array erstellen und einrichten.
  • CA Revocation Konfiguration mit CRL Refresh Time einrichten
  • OCSP Response optimieren
  • OCSP Stapling
  • Lokal CRL – On-Demand Sperrung

Certificate Erneuerung

  • Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
  • Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
  • CA in eine neue PKI-Struktur umhängen
  • Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
  • Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
  • Cross RootCA Zertifikat
  • Migration oder Konsolidierung in eine neue PKI-Struktur

Block 6 Auditing & Troubleshooting

Auditing & Troubleshooting

  • Audit von PKI konfigurieren
  • Auswerten der Ereignisse
  • Troubleshooting von Zertifikatsenrollment
  • E-Mail Benachrichtigung

Network Device Enrollment Service (NDES)

  • Einrichtung und Konfiguration
  • Kerberos Delegation
  • Anfordern eines Zertifikates

Backup / Recovery von PKI-Database

  • Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
  • „Kleine“ und „große“ Datenbank-Sicherung
  • Wiederherstellen von CA-Keys und Datenbank
  • Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten

Certificate Lifecycle Notification (Optional)

  • Konfigurieren von Task Scheduler
  • Event 1001 bis 1007
  • PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
  • SCOM Monitor

Wir schulen auch bei dir vor Ort!

Diese Public Key Infrastructure (PKI) Schulung führen wir auch bei dir im Unternehmen als individualisierte Public Key Infrastructure (PKI)-Firmenschulung durch.

Master Class: Public Key Infrastructure (PKI) Deep Dive Zielgruppe: Public Key Infrastructure (PKI) Seminar

Der Kurs Master Class: Public Key Infrastructure (PKI) Deep Dive wendet sich an erfahrene System-Administratoren, Consultants und Active-Directory-Designer.

Master Class: Public Key Infrastructure (PKI) Deep Dive Voraussetzungen: Public Key Infrastructure (PKI) Seminar

Für deinen Besuch der Schulung Master Class: Public Key Infrastructure (PKI) Deep Dive empfehlen wir mindestens 5 Jahre Erfahrung mit Servern und Client-Systemen, mindestens 3 Jahre Erfahrung im Active Directory.

Bewertungen

Public Key Infrastructure (PKI) Schulung
Daumen nach oben (Bewertungsübersicht)
4.8
416 Bewertungen
vollständiger Stern vollständiger Stern vollständiger Stern vollständiger Stern halber Stern
Kundenstimme männlich
Nina P.
GEUTEBRÜCK GmbH
vollständiger Sternvollständiger Sternvollständiger Sternvollständiger Sternvollständiger Stern
Das Seminar hat meine Erwartungen voll erfüllt. Man hat gemerkt, dass der Trainer Spaß an der Sache und sehr viel Ahnung vom Thema hat. Das Gefühl hat man nicht in allen Schulungen (auf Schulungen im Allgemeinen bezogen).
Kundenstimme männlich
Torsten B.
Westdeutscher Rundfunk WDR
vollständiger Sternvollständiger Sternvollständiger Sternvollständiger Sternvollständiger Stern
Das Seminar hat nicht nur Spaß gemacht, sondern auch wirklich 'ne Menge gebracht :-)
Kundenstimme männlich
Lucas F.
Fa. Feld Textil GmbH
vollständiger Sternvollständiger Sternvollständiger Sternvollständiger Sternvollständiger Stern
Kann man nur weiterempfehlen! In kürzestem Zeitraum lernt man alle Basisdaten konkret und ausführlich.
Close Modal

Lade dir ein PDF mit allen Infos zur Schulung herunter

Unterrichtszeiten

Schulungsort

Live Online Schulung

Technische Voraussetzungen

Hinweise zur Anreise

Hinweise zum Schulungsort

Anfrage

Deine Daten für die gewünschte Anfrage

*“ zeigt erforderliche Felder an

Hidden
Bitte gib eine Zahl von 1 bis 99 ein.
Dieses Feld dient zur Validierung und sollte nicht verändert werden.