Windows Start Up - Secure Channel

Intensivkurs PKI

Aufbau & Management einer Windows 2016 (2012 R2) PKI

- inkl. Umstellung SHA1 auf SHA256 und Key Storage Provider -

In diesem "high level" Intensivkurs lernen Sie eine mehrstufige (2 und 3) Windows 2016 PKI nach dem strengeren "German" PKI-Standard ISIS-MTT mit neuem Key Storage Provider (KSP) und SHA-256 aufzubauen und zu verwalten.
Neue Sicherheitsfeatures wie Virtual Smart Card und TPM Key Attestation werden praktiziert.

ZIELGRUPPE
Das Seminar richtet sich an PKI-Systemmanager, Sicherheitsbeauftragte und Systemmanager.
Gute Kenntnisse in ADS.

NIVEAU
★★★★☆ — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

13.11. - 17.11.2017 noch Plätze frei
29.01. - 02.02.2018 noch Plätze frei
09.04. - 13.04.2018 noch Plätze frei
18.06. - 22.06.2018 noch Plätze frei

Zur Anmeldung

PREIS
3.650,- € zzgl. Mwst. – inkl. Mittagessen 14,- € / Tag

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 10:00 - 17:30 Uhr
An Folgetagen 09:00 - 17:30 Uhr
Am letzten Tag (Freitag) 09:00 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.


AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Sehr aktuell ist das Thema Umstellung von SHA1 auf SHA256, weil ab Januar 2016 keine Windows CA noch mit SHA1 ihre Zertifikate signieren soll. Sie lernen im Kurs selbstverständlich eine neue CA mit dem Key Storage Provider und SHA256 zu konfigurieren. Aber wie kann eine bestehende CA mit älterem CSP (Cryptographic Service Provider) mit SHA1 auf neueren Key Storage Provider mit SHA256 im Nachhinein umgestellt werden? Die Umstellung ist nicht einfach, aber wir zeigen im Kurs, wie das gemacht werden kann.

Alle PKI-fähigen Anwendungen wie SmartCard-Authentifizierung, E-Mails (S/MIME), Websites (SSL/TLS), Software-Signierung, Encrypted File System (EFS), Code Signing etc. werden im Kurs praktiziert.

Im ersten Einführungsblock verschaffen wir uns einen Überblick über die verschiedenen Verschlüsselungsmethoden (Secret Key, Public Key, One-Way-Hash) und über die Windows PKI Komponenten.

Im zweiten Block wird eine 3-stufige PKI mit Standalone Root-CA (offline), Standalone Policy CA (offline) und Enterprise SubCA (online) mit OCSP korrekt aufgebaut. Auch 2-stufige PKIs können unter der gemeinsamen Root-CA aufgebaut und später in eine 3-stufige PKI erweitert werden. Dabei wird jede CA mit Capolicy.Inf und Script ConfigMe.cmd konfiguriert, sodass die Revocation List (*.CRL) und CA-Zertifikat (*.CRT) in Active Directory und auf Webserver publiziert werden können. Von vorne herein wird der Standard ISIS-MTT beachtet. Wir praktizieren im Kurs, die CA auf Hyper-V zu installieren und auch remote zu verwalten.

Die Administration im dritten Block beginnt mit der Konfiguration der CA. Die Zertifikatsvorlagen des Typs 2, 3 und 4 müssen für die unterschiedlichen Anwendungen erstellt und konfiguriert werden. Zu Beginn ist es wichtig, die CA für die Private Key Archivierung zu aktivieren. Bevor eine PKI-Anwendung wie z.B. S/MIME mit Nutzung von Private Key ausgerollt werden kann, muss das Key-Recovery konfiguriert und getestet werden. Auch die verschiedenen Enrollment-Methoden - manuell und automatisch (Auto-Enroll) - für Zertifikate an Benutzer und Computer werden praktiziert.

Im vierten Block werden die unterschiedlichen PKI-Anwendungen durchgeführt. Interessant sind die neuen Features von 2012 R2 in Kombination mit Windows 7 und nun auch Windows 10 und Windows Server 2016. Dazu gehören BitLocker, sowie die Zusammenarbeit mit Smart Card und TPM Virtual Smart Card (VSC).
Die Smart Card Authentifizierung spielt eine immer wichtigere Rolle, da die Kerberos Pre-Authentifizierung nicht sicher ist. Smart Card bzw. Virtual Smart Card wird im Kurs auch für andere Zwecke wie S/MIME, EFS-Recovery Agent, Smart Card Enrollment Agent, Key Recovery Agent etc. eingesetzt.
Mit 2012 CA ist es zum ersten Mal möglich durch TPM Key Attestation eine höhere Sicherheit für Zertifikate wie Virtual Smart Card zu erreichen, sodass nur Applikationen mit Zertifikaten, deren Private Key TPM geschützt ist, auf Hochsicherheitsanwendungen zugreifen dürfen. Das Thema TPM Key Attestation spielt in Windows 10 und Server 2016 eine noch größere Rolle. Device Guard und UEFI Measured Boot setzen TPM 2.0 mit Key Attestation voraus.

Im fünften Block wird das wichtige Thema Certificate Revocation List (CRL) sowie die Erneuerung der CA-Zertifikate praktiziert. Es ist sehr wichtig zu erkennen, dass eine Base CRL immer verfügbar sein muss, besonders wenn die Smart Card Anmeldung anstelle Benutzername und Passwort erzwungen wird. Ohne eine gültige CRL kann kein Domain Controller eine Smart Card Anmeldung akzeptieren. Auch Emergency CRL-Methoden werden besprochen, also wenn keine CA bzw. gültige CRL verfügbar sind - vor allem aber, wie kann eine Base CRL im Fall eines CA-Ausfalls dennoch eine gewisse Zeit durch CRLOverlap überbrückt werden. Auch wenn keine CRLOverlapPeriod und CRLDeltaOverlapPeriod eingestellt sind, bekommen sowohl eine Base CRL als auch Delta CRL eine Lebensdauerverlängerung durch Overlap von 10% der Gesamtlebensdauer (CRLPeriodUnits) bei Base CRL bzw. 12 Stunden bei einer Delta CRL. Die Erneuerung eines CA-Zertifikats mit demselben oder neuen Schlüsselpaar wird von der Enterprise Issuing-CA, Policy CA bis zu Root CA praktiziert. Besonders interessant ist die Erneuerung des RootCA Zertifikats mit einem NEUEN Schlüsselpaar. Die Kursteilnehmer können sehen, wie das alte und das neue Root Zertifikat durch ein sog. Kreuzzertifikat solange einander vertrauen, bis alle SubCA in der PKI vom neuen Root CA Zertifikat signiert worden sind.

Im letzten Block werden die Themen Certificate Lifecycle Notification, Backup & Recovery, Troubleshooting sowie Auditing von der CA behandelt. Ab Windows 8 und 2012 ist es möglich die Lebensdauer eines Zertifikats zu überwachen. In die neuen Crimson Channel Logs CertificateServicesClient-Lifecycle-System u. -User werden Events eingetragen, die für die Lebensdauer eines Zertifikats in MY Store relevant sind. Das wichtigste Event 1003 erscheint, wenn ein Zertifikat bald abläuft. Wir zeigen wie eine Benachrichtigung per E-Mail mit Hilfe von Task Scheduler und PowerShell Script automatisch erfolgen kann. Eleganter ist natürlich, mit einem SCOM (Operations Manager) Monitor diese Events zu überwachen. Wir demonstrieren im Kurs unser selbst entwickeltes Programm, um u.a. die Lebensdauer von allen Zertifikaten aller CAs aufzulisten und zu analysieren.

Der Intensivkurs ist so konzipiert, dass die Teilnehmer durch praktische Übungen rasch in die relativ komplexe PKI-Thematik einsteigen und nach 5 Tagen in der Lage sind, eine moderne sichere mehrstufige PKI mit Windows Server 2016 aufzubauen und zu verwalten. Zum Schulungskonzept gehört unbedingt, dass der gesamte Zusammenhang einer PKI erklärt und durch praktische Übungen verdeutlicht wird. Der Kurs setzt nicht voraus, dass ein Teilnehmer schon vorher Erfahrung mit PKI haben muss!

Dieser Kurs wird durch die Kurse ASAI sowie ADS 2016 ergänzt.

Certificate Revocation & Status Checking
Certificate Revocation & Status Checking

Certificate Revocation & Status Checking
Automatic Key Archival & User Key Recovery

Hinweis: Bitte bringen Sie zum Kurs Ihre Evaluation DVD oder ISO mit der gewünschten Sprachversion mit. Wir dürfen keine Volume License für Kurse nutzen!

1. Block: Einführung

2. Block: Aufbau

3. Block: Administration

4. Block: PKI-Anwendungen

5. Block: Erneuerung von Zertifikat und CRL

6. Block: Auditing & Troubleshooting

Zum Seitenanfang

- Vertrauen Sie unserer Kompetenz -