|
|
|
| Intensivkurs PKI2008-R2 |
Aktualisiert 08.07.2010 |
|
Aufbau und Management einer Windows 2008 R2 PKI
- inkl. Migration 2003 PKI -
|
|
SCHULUNGSZIEL
In diesem neu aufgelegten Intensivkurs wird eine mehrstufige (2 und 3) Windows 2008 R2 PKI (Public Key Infrastruktur) in einem Windows 2003/2008 Active
Directory Forest nach dem strengeren "German" PKI-Standard ISIS-MTT aufgebaut und verwaltet. Alle PKI-fähigen Anwendungen wie
SmartCard-Authentifizierung, E-Mails (S/MIME), Websites (SSL/TLS), Software-Signierung, Encrypted File System (EFS) sowie IPSec
werden praktiziert. Die neueste Möglichkeit in der Windowswelt, um Windows 2008 Server remote zu verwalten, ist WinRM / WinRS over HTTPS, die wir im Kurs auch praktizieren.
Im ersten Block verschaffen wir uns einen Überblick über die verschiedenen Verschlüsselungs- (Secret Key, Public Key, One-Way-Hash) und Authentifizierungsmethoden (Kerberos, MS-CHAP, EAP mit Smartcards)
sowie diverse Verschlüsselungsalgorithmen.
Im zweiten Block wird eine 3-stufige PKI mit Standalone Root-CA (offline), Standalone Policy CA (offline) und Enterprise
SubCA (online) mit OCSP korrekt aufgebaut. Auch 2-stufige PKIs können unter der gemeinsamen Root-CA aufgebaut und später in
eine 3-stufige PKI erweitert werden. Dabei wird jede CA mit CAPOLICY.INF und Script konfiguriert, sodass Revocation List (*.CRL)
und CA-Zertifikat (*.CRT) in Active Directory und Webserver publiziert werden können. Von vorne herein wird der Standard
ISIS-MTT beachtet. Mit dem neuen Best-Practice Analyzer von 2008 R2 kann die gesamte PKI getestet werden. Windows Server 2008
R2 Server Core und die Virtualisierung sind prädestiniert für die CAs. Wir praktizieren im Kurs die CA auf Hyper-V zu
installieren und auch remote zu verwalten. Die Hyper-V virtuellen Maschinen können Windows Server 2008 R2 "full" oder Server Core sein.
Die Administration im dritten Block beginnt mit der Rollenseparation und der Konfiguration der CA. Zertifikatsvorlagen
des Typs 2 und 3 müssen für die unterschiedlichen Anwendungen erstellt und konfiguriert werden. Zu Beginn ist es wichtig die CA
für die Private Key Archivierung zu aktivieren. Bevor PKI-Anwendungen ausgerollt werden können, muss das Key-Recovery
konfiguriert und getestet werden. Auch die verschiedenen Enrollment-Methoden - manuell und automatisch (Auto-Enroll) - für Zertifikate an Benutzer und Computer werden praktiziert.
Im vierten Block werden die unterschiedlichen PKI-Anwendungen durchgeführt. Interessant sind die neuen Features von 2008 R2 in
Kombination mit Windows 7 . Dazu gehören BitLocker und BitLocker-To-Go, sowie die Möglichkeit mit BitLocker zusammen
mit Smart Card zu arbeiten. Mit 2008 R2 kann ein CA über AD-Forest hinweg Zertifikate ausstellen. Die neue Technik Cross-Forest
Certificate Enrollment vereinfacht, zentralisiert und konsolidiert die PKI-Verwaltung in einer Multi-Forest Umgebung, die
bisher mit Cross-Certificate (Kreuzzertifizierung) zwischen 2 PKIs abgewickelt werden musste.
Im Kurs praktizieren wir nicht nur die IPSec Domain Isolation mit Zertitifikatsauthentifizierung, sondern auch die Kombination von IPSec mit NAP (Network Access Protection). Dabei
müssen IPSec-konforme Clients in einer Hochsicherheitsumgebung zusätzlich einem NAP Health Check unterzogen werden, bevor sie mit anderen Clients und Servern kommunizieren dürfen.
Im letzten Block werden die Themen Backup & Recovery, Troubleshooting sowie Auditing von der CA behandelt.
Moderne Tools wie PowerShell V2 und umfangreiche Events erleichtern die Fehlersuche.
Optional: Auf Wunsch und wenn die Zeit zuläßt, können wir die
Migration von 2003 auf 2008 R2 PKI besprechen.
Der Intensivkurs ist so konzipiert, dass die Teilnehmer durch praktische Übungen rasch in die sehr komplexe Thematik Sicherheit
mit PKI einsteigen und nach 5 Tagen in der Lage sind, eine moderne mehrstufige PKI mit Windows Server 2008-R2 PKI aufzubauen und zu verwalten.
Dieser Kurs wird durch die Kurse PowerSERVER, SCVMM2008-R2, SEC2008-R2 sowie
ADS2008 und AdvADS ergänzt.
 |
|
| Certificate Revocation & Status Checking |
ZIELGRUPPE
PKI-Systemmanager, Sicherheitsbeauftragte, Systemmanager.
KOMPLEXITÄTSGRAD
Sehr komplex (Stufe 4 von 5)
VORAUSSETZUNG
Gute Kenntnisse eines Windows 2000 / 2003 ADS Netzwerks.
TEILNEHMERURTEIL
Sie können sich durch Teilnehmerurteile von unserer hohen Qualität überzeugen.
ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.
DAUER - GEBÜHR - BUCHUNG
| Dauer: 5 Tage |
| Böblingen |
Vor-Ort-Schulung |
01.02. - 05.02.2010 (ausgebucht)
12.04. - 16.04.2010
25.10. - 29.10.2010 |
Wegen der komplexen Hardwareausstattung wird dieser Kurs nur bei uns angeboten. |
|
| Preis: 3.150,- € zzgl. Mwst. |
inkl. Mittagessen (10,- € /Tag) |
|
|
INHALT
1. Block: Einführung
- Überblick Windows 2003/2008/2008-R2 PKI
- Notwendigkeit von Public Key Infrastructure
- Anwendungsschicht: SSL/TLS, S/MIME, Kerberos
- Netzwerkschicht: IPsec Interaktive und Netzwerk-Authentifizierung
- Authentifizierungsprotokolle: Kerberos, LM, NTLM, Anmelden mit Passwort und SmartCard.
- Anwendungen durch PKI
- Neue Features von Windows Server 2008 und 2008 R2 sowie Windows 7
- Windows Server 2008 R2 Server Core als CA
- Grundlagen Kryptografie
- Symmetrische und Asymmetrische Kryptografie, Public Key Verfahren, One-Way-Hash, MD5, SHA-1, HMAC.
- Sicherheit und Schlüssellänge, Kryptografische Standards PKCS und X.509v3
- Echtheitsnachweis und Digital Signatur: RSA- und DSS-Signatur, Digital Zertifikat, X.509-Zertifikat v1 und v3.
- Schlüsselaustausch-Verfahren: Diffie-Hellman, RSA-Schlüsselaustausch, ISAKMP/Oakley und IKE.
- PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec.
- Neue Algorithmen von Elliptic Curve Cryptography (ECC) durch 2008 und 2008 R2 CA
2. Block: Aufbau
- PKI-Design und Implementierung einer mehrstufigen CA (2003 und 2008-R2)
- Design einer PKI für unterschiedliche Firmengröße (einstufig, zweistufig und dreistufig).
- Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA.
- Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
- Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (German Standard) eingerichtet!
- Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer,etc.).
- Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL.
- Publizieren CDP und AIA in Active Directory und auf Webserver.
- Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Keylänge, Registry-Einstellungen mit Certutil -setreg.
- Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue).
- Gezieltes Publizieren von Certificate Templates, z.B. Domain Controller Authentication, Smartcard Enrollment Agent etc...
- Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung).
- Konfigurieren von Online Certificate Status Protocol (OCSP) Responder
- Testen der Installation mit dem 2008 R2 Best Practice Analyzer (BPA)
|
 |
|
| |
|
 |
|
| CA Best Practice Analyzer (2008 R2) |
3. Block: Administration
- PKI-Administration mit Rollenseparation
- Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten;Key Archivierung.
- Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung.
- Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten.
- Auditing von Zertifizierungsstellen: Dienst Starten/Stopen, Veröffentlichen von CRL, Key Recovery;
- Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung.
- CA-Ereignisse senden per E-Mail.
- Zertifikatsvorlagen Typ 1, 2 und 3
- Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2 und 3 (2008 CA)
- Enterprise CA und Typ 2 Zertifikat auf einem Windows 2003/2008-R2 Enterprise Server.
- Abwärtskompatibilität zu Windows 2000 Typ 1 Zertifikat.
- Kopieren von Zertifikatsvorlagen.
- Die wichtigsten Zertifikatsvorlagen-Einstellungen:
- Anforderungsverarbeitung
- Anwendungs- und Ausstellungsrichtlinien
- Ausstellungsvoraussetzungen
- Delegieren der Zertifikatsvorlagenverwaltung
- Gültigkeitsdauer und Erweiterungszeitraum
- Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung,
- Key Archivierung und Recovery
- Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer.
- Publizieren von Zertifikat
- Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
- Erweiterung von 2008 R2: No-Persist und No-Revocation
- Key Archivierung und Recovery
- Windows 2003/2008-R2 CA mit Private Key Archivierung.
- Aktivierung der Archivierung von Private Keys.
- Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat.
- Verschlüsselung von Privatkeys und Zertifikat PKCS#12.
- Export und Import von Zertifikat und Privat Keys.
- Archivieren von EFS-Private Key
- S/MIME , Archivieren von S/MIME-Encrypt Key.
- Wiederherstellen von archivierten Private Keys.
- Windows 7 & Windows Server 2008 R2 Enrollment
- Neue Features von Windows 7 und 2008 R2
- Einfachere Auswahl von Zertifikat im Certificate Store
- Neues HTTP/HTTPS-Enrollment vs. RPC/DCOM
- Windows 7 Biometric Based-Smartcard
|
 |
|
| Active Directory EnrollmentPolicy |
|
 |
|
| Windows 7 Certificate Store - Detaillierte Auflistung |
4. Block: PKI-Anwendungen
- SmartCards bzw. USB-Token
- Kerberos-Erweiterung PKINIT für SmartCard-Anmeldung, NTAuthCertificates.
- Installieren SmartCard-Reader bzw. USB Token (Virtual Reader).
- SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten.
- Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer.
- Windows 7 Biometric Framework und Biometric-Based Smart Card (finger Scan) - wenn verfügbar!
- BitLocker und BitLocker To Go (Windows 7 & 2008 R2)
- Verschlüsselung von Wechselmedien durch BitLocker Drive Encryption
- Einrichten von BitLocker mit Password
- Einrichten von BitLocker mit Smart Card
|
 |
|
| BitLocker Drive Encryption mit Passwort bzw. Smart Card |
- SSL/TLS - Remote Administration mit WinRM / WinRS over HTTPS
- Secure Socket Layer v3.0 und Transport Layer Security v1.0 für Webserver-Authentifizierung.
- Anfordern und Installieren von Server und Client Zertifikaten.
- SSL-Binding für 2008 R2 IIS 7.5 Website
- Einrichten von WinRM-Listener für den HTTPS-Transport mit Zertifikat
- Remote Administration von Server in der DMZ mit WinRS over HTTPS durch die Firewall
|
 |
|
| Remote Administration von 2008 Server in der DMZ mit WinRM / WinRS over HTTPS |
- S/MIME
- Schützen von E-Mails mit S/MIME, Signieren von E-Mails mit Private Key, Verschlüsseln von E-Mails mit Public Key. Konfigurieren von Outlook für S/MIME.
- S/MIME mit Dual Key Pair (S/MIME-Sign und S/MIME-Encrypt)
⇒ Mehr zu Exchange 2010 und OWA over HTTPS Siehe Intensivkurs
EXS2010
- Cross-Forest Certificate Enrollment (2008 R2)
- Windows Server 2008 R2 Cross-Forest Auto-Enrollment vs. 2003 Cross-Zertifizierung (Kreuzzertifizierung) zwischen zwei PKIs.
- Konsolidierung und Zentralisierung von CAs in einem Forest
- Bi-Directional Forest Trust
- Konfigurieren von Certificate Template
- Konfigurieren 2008 R2 CA für Cross-Forest Certificate Enrollment
- Auto-Enrollment von Zertifikaten für Clients im anderen Windows 2003/2008 Forest.
|
| |
 |
|
 |
|
| |
S/MIME-Zertifikat |
|
S/MIME-Zertifikat in einer CrossTrust CA |
- EFS Encrypted File System
- Funktionsweise von EFS
- Selbstsignierte und signierte EFS-Zertifikat
- Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
- Erstellen von EFS-Zertifikat Typ 2 mit Key Recovery und Auto Enrollment
- Verschlüsseln von lokalen Dateien und Dateien auf Netzwerkslaufwerk
- Kerberos Trust for Delegation für Fileserver bzw. virtuelle Clusterserver
- Software-Signierung (Authenticode)
- Signieren von Skripten mit CodeSign-Zertifikat.
- Softwareeinschränkung mit Gruppenrichtlinien und Zertifikat.
- Beispiel Genehmigung-Workflow mit Zertifikat.
- CryptoAPI
- IPSec & NAP
- Windows Server 2008 R2 Firewall with Advanced Security - IPSec Integration
und Domain Isolation
- Kombination NAP (Network Access Protection) & IPSec
- Sichere Kommunikation (Secure Network) durch IPSec Isolation
- Zusätzliche Sicherheit durch NAP Health Check - NAP Health Certificate
|
 |
|
| IPSec Logische Netze - Domain Isolierung & NAP |
 |
|
 |
|
| NAP Client Policy - IPSec Enforcement |
 |
|
 |
|
| IPSec Isolierung - Certificate Authentication |
 |
|
| IPSec & NAP Health Certificate von 3-stufiger PKI |
 |
|
| NAP - IPSec Enforcement |
5. Block: Auditing & Troubleshooting
- Auditing & Troubleshooting
- Audit von PKI konfigurieren
- Auswerten der Ereignisse
- Troubleshooting von Zertifikatsenrollment
- Arbeiten mit PowerShell V2
|
 |
|
 |
|
| Monitoring CA Performance - PowerShell V2 |
- Backup / Recovery von PKI-Database
- Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei.
- "Kleine" und "große" Datenbank-Sicherung.
- Wiederherstellen von CA-Keys und Datenbank.
|
 |
 |
 |
|
| Gemeinsame 1x Root CA und bis 12x Sub CAs |
|
Nach dem richtigen USB-Token unterm Tisch suchen! |
|
|
|
|
| - Vertrauen Sie unserer Kompetenz - |
|
|
Tel +49 (0)
7031 23 09 32 - Fax +49 (0) 7031 2342 10
www.ntsystems.de