SchulungenNetzwerkNetzwerk Master ClassMaster Class: Public Key Infrastructure (PKI) Deep Dive
Lade Schulungen
vollständiger Stern vollständiger Stern vollständiger Stern vollständiger Stern halber Stern
4.8
(416)

Master Class: Public Key Infrastructure (PKI) Deep Dive Seminar

Master Class: Public Key Infrastructure (PKI) Deep Dive: In fünf Tagen wirst du zu einem PKI-Fachmann

Für viele ist das Thema PKI ein Buch mit (mindestens) sieben Siegeln.

Zertifikate sind aus der heutigen Welt nicht mehr wegzudenken – gerade im Thema Sicherheit ist das Thema PKI tief verwurzelt. Wir haben diesen Kurs komplett neu aufgebaut mit dem Wissen aus unseren PKI-Trainings der letzten Jahrzehnte. In fünf Tagen wirst du zu einem PKI-Fachmann.

Angefangen bei den Grundlagen (private & öffentliche Schlüssel, digitale Signatur und TLS) bis zu High-End-Themen wie mehrstufige PKIs, Algorithmen, virtuelle SmartCards und vieles mehr: Public Key Infrastructure – nach diesem Kurs jonglierst du mit allen Themen rund um das Thema PKI!

Lernziele Public Key Infrastructure (PKI) Seminar

Nach dem Seminar Master Class: Public Key Infrastructure (PKI) Deep Dive wirst du in der Lage sein, Public Key Infrastrukturen zu designen, zu erstellen und hochsicher zu betreiben.

Inhalte Public Key Infrastructure (PKI) Seminar

Block 1 Grundlagen:

Windows Server 2016 / 2019 / 2022 PKI

  • Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
  • Anwendungen durch PKI
  • Mehrstufige PKI (2-stufig, 3-stufig)
  • Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
  • Kryptographische Algorithmen: Symmetric Key (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
  • NIST, NSA Suite-B Cryptography
  • Kryptographische Standards: X509v3, PKCS etc.
  • CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
  • CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
  • Digital Certificate X.509v3 und die Felder
  • Windows Cipher Suite
  • PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec

Block 2 Aufbau der 2019 PKI – RSA 4096 und KSP:

Design und Implementierung einer mehrstufigen 2019 PKI:

  • Design einer PKI (einstufig, zweistufig und dreistufig)
  • Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA
  • Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
  • Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (Europa Standard) eingerichtet!
  • Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
  • Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL
  • Publizieren CDP und AIA in Active Directory und auf dem Webserver
  • Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg
  • Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue)
  • Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
  • Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung)

Block 3 Administration:

PKI-Administration mit Rollenseparation

  • Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung
  • Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung
  • Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten
  • Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL
  • Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung
  • CA-Ereignisse senden per E-Mail
  • Zertifikatsvorlagen Typ 1, 2, 3 und 4
  • Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (ab 2012)
  • Kopieren von Zertifikatsvorlagen
  • Die wichtigsten Zertifikatsvorlagen-Einstellungen:
  • Anforderungsverarbeitung
  • Anwendungs- und Ausstellungsrichtlinien
  • Ausstellungsvoraussetzungen
  • Delegieren der Zertifikatsvorlagenverwaltung
  • Gültigkeitsdauer und Erweiterungszeitraum
  • Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung

Key Archivierung und Recovery

  • Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer
  • Publizieren von Zertifikat
  • Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
  • Key Archivierung und Recovery
  • Windows CA mit Private Key Archivierung
  • Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat
  • Verschlüsselung von Privatkeys und Zertifikat PKCS#12
  • Export und Import von Zertifikat und Privat Keys
  • Archivieren von EFS-Private Key
  • Wiederherstellen von archivierten Private Keys

Windows 10 & Windows Server 2019 Enrollment

  • Neue Features von Windows 10 und Server 2019
  • Einfachere Auswahl von Zertifikat im Certificate Store
  • Neues HTTP/HTTPS-Enrollment (wird im Kurs nur Besprechen) vs. RPC/DCOM

Block 4 PKI-Anwendungen:

Smart Cards

  • Kerberos Authentication Zertifikat für alle Domain Controller
  • Installieren SmartCard-Reader
  • SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten
  • Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer

Virtual Smart Card (VSC) – SCAMA – TPM Key Attestation

  • Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
  • TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
  • Arbeiten mit TPMVSCMgr und Mini-Driver manager
  • TPM Key Attestation ab 2012 R2 CA
  • Einrichten SCAMA – Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)

EFS Encrypted File System

  • Funktionsweise von EFS
  • Selbstsigniertes und CA signiertes EFS-Zertifikat
  • Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
  • Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
  • Verschlüsseln von lokalen Dateien

Block 5 Erneuerung von Zertifikat und CRL

Certificate Revocation List – CRLOverlap

  • Lebensdauer einer Base CRL und Delta CRL
  • Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
  • Standardwerte von CRLOverlap und CRLDeltaOverlap
  • Wie soll ein CRLOverlap eingestellt werden?

Online Certificate Status Protocol (OCSP)

  • OCSP-Vorlage erstellen
  • OCSP-Array erstellen und einrichten.
  • CA Revocation Konfiguration mit CRL Refresh Time einrichten
  • OCSP Response optimieren
  • OCSP Stapling
  • Lokal CRL – On-Demand Sperrung

Certificate Erneuerung

  • Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
  • Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
  • CA in eine neue PKI-Struktur umhängen
  • Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Application, Name)
  • Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
  • Cross RootCA Zertifikat
  • Migration oder Konsolidierung in eine neue PKI-Struktur

Block 6 Auditing & Troubleshooting

Auditing & Troubleshooting

  • Audit von PKI konfigurieren
  • Auswerten der Ereignisse
  • Troubleshooting von Zertifikatsenrollment
  • E-Mail Benachrichtigung

Network Device Enrollment Service (NDES)

  • Einrichtung und Konfiguration
  • Kerberos Delegation
  • Anfordern eines Zertifikates

Backup / Recovery von PKI-Database

  • Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei
  • „Kleine“ und „große“ Datenbank-Sicherung
  • Wiederherstellen von CA-Keys und Datenbank
  • Datenbank aufräumen durch das Löschen von abgelaufenen Zertifikaten

Certificate Lifecycle Notification (Optional)

  • Konfigurieren von Task Scheduler
  • Event 1001 bis 1007
  • PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
  • SCOM Monitor

Wir schulen auch bei dir vor Ort!

Diese Public Key Infrastructure (PKI) Schulung führen wir auch bei dir im Unternehmen als individualisierte Public Key Infrastructure (PKI)-Firmenschulung durch.

Master Class: Public Key Infrastructure (PKI) Deep Dive Zielgruppe: Public Key Infrastructure (PKI) Seminar

Der Kurs Master Class: Public Key Infrastructure (PKI) Deep Dive wendet sich an erfahrene System-Administratoren, Consultants und Active-Directory-Designer.

Master Class: Public Key Infrastructure (PKI) Deep Dive Voraussetzungen: Public Key Infrastructure (PKI) Seminar

Für deinen Besuch der Schulung Master Class: Public Key Infrastructure (PKI) Deep Dive empfehlen wir mindestens 5 Jahre Erfahrung mit Servern und Client-Systemen, mindestens 3 Jahre Erfahrung im Active Directory.