Intensivkurs PKI - Level 5

Aufbau & Management einer Windows Server 2019 PKI

LIVE CLASS
Mit Microsoft TEAMS

Sehr geehrte Kunden!

Mit Microsoft TEAMS bieten wir hochwertige interaktive Online Kurse an, die gesondert als LIVE CLASS (LC) gekennzeichnet werden.
Die interaktiven LIVE CLASS Kurse befreien uns von den CORONA Schutzbestimmungen und können immer stattfinden!
Die sehr gute Erfahrungen mit den ersten LIVE CLASS Kursen verleiten uns dazu beide Arten von Schulungen auch in Zukunft anzubieten:

LIVE CLASS via Microsoft TEAMS
PRÄSENT vor Ort in Böblingen

Nach und nach stellen wir weitere Kurse in LIVE CLASS um, besonders alle AZURE Kurse, die per Internet leicht zu erreichen sind.
Besonders Themenorientierte Trainings werden demnächst als kurze LIVE CLASS Trainings (1 oder 2 Tage) angeboten.
Erfahren Sie hier mehr zu LIVE CLASS und Teilnahmebedingungen.

LIVE CLASS Inhalt

LIVE CLASS
Mit Microsoft TEAMS
Erläuterungen und Teilnahmebedingungen

Welche Kurse werden als LIVE CLASS (LC) angeboten?
Zuerst bieten wir folgende Kurse, Workshops & Consulting sowohl PRÄSENT Kurse (vor Ort) als auch LIVE CLASS (LC) an:
1. Azure für Administratoren (4 Tage)
2. Azure Hybrid (4 Tage)
3. Azure Monitor (4 Tage)
4. Azure SQL (4 Tage)
5. Aufbau & Management von Windows 2019 Active Directory (5 Tage)
6. ESAE ASAI Competence Center (EAC) - Workshops & Consulting (1 Tag)
7. AD Health & Security Check (2 Tage)
8. Microsoft Endpoint Configuration Manager - Deployment OS & Update Management (2 Tage)

Weitere Azure Kurse werden folgen: Azure Automation, Exchange Hybrid, TEAMS und noch mehr AZURE!

Welche Kurse werden nicht als LIVE CLASS angeboten?
On-Premises Kurse wie ASAI, ASAI-2, Windows Hello for Business können nicht als LC angeboten werden.
Diese Kurse nutzen Smart Card und haben auch sehr umfangreiche Installation.

Hardware Voraussetzungen für LIVE CLASS
Empfehlungen zur Teilnahme als HOK (Home Office Kursteilnehmer)
- Webcam » Pflicht!
- 2x Bildschirme (1x für TEAMS und 1x für Azure Übungen) » Pflicht!
- Dritter Bildschirm oder iPAD für die PDF-Dokumentation » zu empfehlen.
- Kabelanschluss direkt an Router/Switch anstatt WLAN » zu empfehlen.
- Hochwertiges MONO Headset (z.B. Jabra Envolve2 65) » zu empfehlen.

Die Audio und Video Qualität der hoch interaktiven LIVE CLASS Schulung ist stark abhängig von o.g. Komponenten.
Wir nutzen in Böblingen zwei Glasfaser Standleitungen mit je 512 Mbit/s (jeder Zeit erweiterbar auf 1 GB/s bzw. 10 GB/s) für Internet.
Unser LAN ist in der Regel 10 Gbit/s.

Trainer im LIVE CLASS
Zwei Trainer plus ein TEAMS Organisator

Dokumentation für LIVE CLASS und PRÄSENT Kurse
1. LIVE CLASS Teilnehmer bekommen die Kurs-Dokumentation in PDF.
Die personalisierte Doku kann ein paar Tage vorher nach Erhalt der Zugangsdaten heruntergeladen werden.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Print-Version (A4-Ordner), die wir Ihnen zuschicken.
2. PRÄSENT Kursteilnehmer bekommen die gedruckte Kurs-Dokumentation in einem A4-Ordner.
Gegen einen Aufpreis von 450,- € zzgl. Mwst. erhalten Sie auch die Digital-Version (in PDF) am ersten Kurstag.

Voraussetzung ist Vorkasse
- Erst nach Zahlungseingang können die Zugangsdaten für TEAMS übermittelt werden.
- Ohne Vorkasse ist ein Besuch eines LIVE CLASS Kurses nicht möglich!
- Ohne Vorkasse ist ein Besuch eines anderen Kurses bei uns ab Mai 2020 nicht möglich!
- Dokumentation für LIVE CLASS kann nach der Authentifizierung in TEAMS heruntergeladen werden.

In diesem "high level" Intensivkurs lernen Sie eine mehrstufige (2 und 3) Windows Server 2019 PKI mit neuem Key Storage Provider (KSP) und SHA-256 aufzubauen und zu verwalten. Die Sicherheit von der gesamten PKI soll auf das 128-Bit Sicherheitsniveau von Suite-B "Secret" angehoben werden, auch wenn "nur" RSA Key (Digital Signature und Key Exchange) und noch kein Elliptic Curve ECDSA (Digital Signature) und ECDH (Key Exchange) wegen diversen Anwendungen eingesetzt werden soll.

In diesem Kurs wird auch SCAMA (Smart Card Authentication Mechanism Assurance) praktiziert um die höchste Sicherheit bei der Anmeldung zu erreichen. SCAMA sorgt dafür, dass erst nach der Anmeldung mit Smart Card (mit Issuance Policy) der angemeldete Benutzer einer Universal Gruppe z.B. T0-DomAdmins auf dem Kerberos Ticket (PAC) zugeordnet wird. Die UG bleibt auch danach leer. Somit ist der Benutzer, selbst nach der Anmeldung, unsichtbar!

Neue Sicherheitsfeatures wie Virtual Smart Card und TPM Key Attestation werden praktiziert.

ZIELGRUPPE
Das Seminar richtet sich an PKI-Administratoren.
Gute Kenntnisse in ADS.

NIVEAU
Level 5 — ziemlich anspruchsvoll

DAUER
5 Tage

ORT
NT Systems Schulungszentrum Böblingen (Karte)

TERMINE

14.09. - 18.09.2020 ^★	✓ ausgebucht
02.11. - 06.11.2020	✓ noch Plätze frei

★ Teilnehmerzahl wegen Corona Kontaktbeschränkung reduziert!

Zur Anmeldung

PREIS
4.250,- € zzgl. Mwst.
Kursbesuch nur gegen Vorkasse möglich!

MINDEST-TEILNEHMERZAHL
Das Seminar findet ab einer Mindestzahl von drei Teilnehmern garantiert statt.

SCHULUNGSZEITEN
Am ersten Tag 09:00 - 17:00 Uhr
An Folgetagen 08:30 - 17:00 Uhr
Am letzten Tag (Freitag) 08:30 - 13:00 Uhr

ZERTIFIKAT
Nach erfolgreicher Teilnahme erhalten die Kursteilnehmer ein Zertifikat von NT Systems.

AUSFÜHRLICHE INFORMATIONEN

Im Folgenden finden besonders interessierte Leser ausführliche Informationen zu den im Kurs behandelten Themen.

Aktuell ist das Thema Umstellung von SHA1 auf SHA256, weil ab Januar 2016 keine Windows CA noch mit SHA1 und "Legacy CSP" arbeiten soll. Sie lernen im Kurs selbstverständlich alle CA-Stufen (Root CA, Policy CA, Issuing CA) mit dem Key Storage Provider und SHA-256 zu konfigurieren. Da viele Anwendungen noch Probleme mit den Elliptic Curve Cryptography, die in der Suite-B Cryptography durch NSA und NIST publiziert wurden, setzen wir im Moment noch RSA anstatt ECDSA (Signatur) und ECDH (Key Exchange) ein. Auch in vielen RFCs werden RSA und 2048 vorgeschrieben. Um dennoch die kryptographische Gesamtstärke auf das 128-Bit Niveau von Suite-B Level "Secret" zu erreichen, arbeiten wir ab 2018 nur noch mit RSA 4096 Key, sowohl für alle CA inkl. Issuing CA als auch für die normalen Zertifikate. Bis 2017 haben wir RSA 4096 nur für die Root CA und Policy CA eingesetzt.

Vergleichstabelle Gesamtstärke RSA vs. ECDSA (Quelle: NIST, USA)

Alle PKI-fähigen Anwendungen wie SmartCard-Authentifizierung, E-Mails (S/MIME), Websites (SSL/TLS), Software-Signierung, Encrypted File System (EFS), Code Signing etc. werden im Kurs praktiziert.

Im ersten Einführungsblock verschaffen wir uns einen Überblick über die verschiedenen Kryptographische Verfahren (Secret Key AES-128, AES-256, Public Key RSA vs. ECDSA und ECDH, One-Way-Hash SHA-128, SHA-256, SHA-512) und über die Windows Server 2019 PKI Komponenten. Eine 2019 PKI ist kaum anders als eine 2016 PKI. Es gibt keine neue Komponenten und auch keine neue Features bei 2019. Der Grund ist, dass Microsoft eher Azure Cloud CA forciert. Dennoch die On-Premises PKI bleibt uns noch eine Weile erhalten, denn wer will schon seine komplette PKI in der Microsofts Azure Cloud haben?

Im zweiten Block wird eine 3-stufige PKI mit Standalone Root-CA (offline), Standalone Policy CA (offline) und Enterprise SubCA (online) mit OCSP korrekt aufgebaut. Auch 2-stufige PKI können unter der gemeinsamen Root-CA aufgebaut und später in eine 3-stufige PKI erweitert werden. Dabei wird jede CA mit Capolicy.Inf und Script ConfigMe.cmd konfiguriert, sodass die Revocation List (*.CRL) und CA-Zertifikat (*.CRT) in Active Directory und auf Webserver publiziert werden können. Von vorne herein wird der Standard ISIS-MTT (Common Criteria) beachtet. Dabei wird der Verwendungszweck der Private Key einer CA eingeschränkt, dass dieser nur für Zertifikatsignierung und nicht für Dokumentensignierung eingesetzt werden darf.

Im dritten Block beginnt die Administration mit der Konfiguration der CA. Die Zertifikatsvorlagen des Typs 2 (Legacy CSP), 3 und 4 müssen für die unterschiedlichen Anwendungen erstellt und konfiguriert werden. Zu Beginn ist es wichtig, die CA für die Private Key Archivierung zu aktivieren. Bevor eine PKI-Anwendung wie z.B. S/MIME mit Nutzung von Private Key ausgerollt werden kann, muss das Key-Recovery konfiguriert und getestet werden. Auch die verschiedenen Enrollment-Methoden - manuell und automatisch (Auto-Enroll) - für Zertifikate an Benutzer und Computer werden praktiziert.

Im vierten Block werden die unterschiedlichen PKI-Anwendungen durchgeführt.
Die Smart Card Authentifizierung spielt eine immer wichtigere Rolle, da die Kerberos Pre-Authentifizierung nicht sicher ist. Noch wichtiger als die "normale" Smart Card Anmeldung ist aber SCAMA (Smart Card Authentication Mechanism Assurance). Mit SCAMA ist es durch Issuance Policy und eindeutiger OID möglich bei der Anmeldung eine dynamische Zuordnung des angemeldeten Benutzers zu einer Universal Gruppe (UG) zu erreichen. Der SCAMA User sieht seine Gruppenmitgliedschaft nur auf seinem Windows Access Token (Whoami /all), die UG bleibt immer leer. Somit ist ein Administratorkonto in der UG unsichtbar und wird dadurch stark geschützt.
» SCAMA wird zusammen mit anderen Sicherheitsmassnahmen in unserem Kurs ASAI (Advanced Security Active Directory Infrastructure) detailliert behandelt.
Virtual Smart Card (VSC) wird von einem TPM Chip abgeleitet, wobei bis zu 10 VSC von einem TPM erstellt werden können. Mit 2012 CA ist es zum ersten Mal möglich durch TPM Key Attestation eine höhere Sicherheit für Zertifikate wie Virtual Smart Card zu erreichen, sodass nur Applikationen mit Zertifikaten, deren Private Key TPM geschützt ist, auf Hochsicherheitsanwendungen zugreifen dürfen.

Im fünften Block wird das Thema Certificate Revocation List (CRL) sowie die Erneuerung der CA-Zertifikate praktiziert. Es ist sehr wichtig zu erkennen, dass eine Base CRL immer verfügbar sein muss, besonders wenn die Smart Card Anmeldung anstelle Benutzername und Passwort erzwungen wird. Ohne eine gültige CRL kann kein Domain Controller eine Smart Card Anmeldung akzeptieren. Auch Emergency CRL-Methoden werden besprochen, also wenn keine CA bzw. gültige CRL verfügbar sind - vor allem aber, wie kann eine Base CRL im Fall eines CA-Ausfalls dennoch eine gewisse Zeit durch CRLOverlap überbrückt werden. Auch wenn keine CRLOverlapPeriod und CRLDeltaOverlapPeriod eingestellt sind, bekommen sowohl eine Base CRL als auch Delta CRL eine Lebensdauerverlängerung durch Overlap von 10% der Gesamtlebensdauer (CRLPeriodUnits) bei Base CRL bzw. 12 Stunden bei einer Delta CRL. Die Erneuerung eines CA-Zertifikats mit demselben oder neuen Schlüsselpaar wird von der Enterprise Issuing-CA, Policy CA bis zu Root CA praktiziert. Besonders interessant ist die Erneuerung des RootCA Zertifikats mit einem NEUEN Schlüsselpaar. Die Kursteilnehmer können sehen, wie das alte und das neue Root Zertifikat durch ein sog. Kreuzzertifikat (Cross CA Certificate) solange einander vertrauen, bis alle SubCA in der PKI vom neuen Root CA Zertifikat signiert worden sind.

Im letzten Block werden die Themen Certificate Lifecycle Notification (Optional), Backup & Recovery, Troubleshooting sowie Auditing von der CA behandelt. Ab Windows 8 und 2012 ist es möglich die Lebensdauer eines Zertifikats zu überwachen. In die neuen Crimson Channel Logs CertificateServicesClient-Lifecycle-System u. -User werden Events eingetragen, die für die Lebensdauer eines Zertifikats in MY Store relevant sind. Das wichtigste Event 1003 erscheint, wenn ein Zertifikat bald abläuft. Wir zeigen wie eine Benachrichtigung per E-Mail mit Hilfe von Task Scheduler und PowerShell Script automatisch erfolgen kann. Eleganter ist natürlich, mit einem SCOM (Operations Manager) Monitor diese Events zu überwachen. Wir demonstrieren im Kurs unser selbst entwickeltes Programm, um u.a. die Lebensdauer von allen Zertifikaten aller CAs aufzulisten und zu analysieren.

Der Intensivkurs ist so konzipiert, dass die Teilnehmer durch praktische Übungen rasch in die relativ komplexe PKI-Thematik einsteigen und nach 5 Tagen in der Lage sind, eine moderne sichere mehrstufige PKI mit Windows Server 2016/2019 aufzubauen und zu verwalten. Zum Schulungskonzept gehört unbedingt, dass der gesamte Zusammenhang einer PKI erklärt und durch praktische Übungen verdeutlicht wird. Der Kurs setzt nicht voraus, dass ein Teilnehmer schon vorher Erfahrung mit PKI haben muss!

Dieser Kurs wird durch die Kurse ASAI sowie ADS 2019 ergänzt.

Certificate Revocation & Status Checking

Certificate Revocation & Status Checking
Automatic Key Archival & User Key Recovery

1. Block: Einführung

Windows Server 2019 PKI Überblick (Teil 1)
- Notwendigkeit von Public Key Infrastructure » Securing Public Key Infrastructure
- Anwendungen durch PKI
- Mehrstufige PKI (2-stufig, 3-stufig)
- Krytographische Verfahren: Symmetric, Asymmetric (Public Key), Hash (One-Way Function)
- Kryptographische Algorithmen: Symmetric (AES-128, AES-256), Hash (SHA-256), Public Key (RSA, Elliptic Curve ECDSA, ECDH)
- NIST, NSA Suite-B Cryptography
- Kryptographische Standards: X509v3, PKCS etc.
2016 / 2019 Certificate Service - Roles

Windows Server 2019 PKI Überblick (Teil 2)
- CryptoAPI (CAPI) und CNG (Cryptography Next Generation) sowie CAPI2
- CSP (Cryptographic Service Provider) und KSP (Key Service Provider)
- Digital Certificate X.509v3 und die Felder
- Windows Cipher Suite
- PKI-Anwendungen: Smartcard, SSL/TLS, S/MIME, EFS, Authenticode, IPSec.

2. Block: Aufbau der 2019 PKI - RSA 4096 und KSP

Design und Implementierung einer mehrstufigen 2019 PKI
- Design einer PKI (einstufig, zweistufig und dreistufig).
- Stammzertifizierungsstelle (Standalone und Enterprise Certificate Authority = CA); SubCA und Ausstellende CA.
- Implementieren einer dreistufigen PKI mit einer Offline RootCA, Offline Policy CA und Online Enterprise SubCA
- Alle Zertifizierungsstellen werden nach dem strengeren ISIS-MTT (German Standard) eingerichtet!
- Konfigurieren von CAPOLICY.INF für die CA-Installation (Key-Länge, Lebensdauer, etc.)
- Postinstallation durch ConfigMe.cmd: Automatisierte Konfiguration der CA-Registry, CDP und AIA, Basis- und Delta-CRL.
- Publizieren CDP und AIA in Active Directory und auf dem Webserver.
- Konfigurieren einer Offline RootCA: Zertifikatslebensdauer, Key-Länge, Registry-Einstellungen mit Certutil -setreg.
- Implementieren von mehreren Offline Policy CAs mit CPS (Certification Practice Statemnents) und mehreren ausstellenden Online Enterprise SubCAs (Issue).
- Gezieltes Publizieren von Certificate Templates, z.B. Kerberos Authentication, Smartcard Enrollment Agent, etc.
- Zertifikatsprüfung: Certificate Discovery, Path Validation (Vertrauenspfad) und Revocation Checking (Sperrung).
- Konfigurieren von Online Certificate Status Protocol (OCSP) Responder
Root CA Certificate - Signaturalgorithmus SHA256RSA

CA (Private) Key Usage nach ISIS-MTT - Nur 3 statt 4

3. Block: Administration

PKI-Administration mit Rollenseparation
- Verwaltungsaufgaben in einer PKI; Installieren und Konfigurieren einer CA; Erneuern von CA-Zertifikaten; Key Archivierung.
- Publizieren von Zertifikatsvorlagen; Einschränken der Zertifikatsverwaltung.
- Rollenseparation: PKI-Admin, PKI-CertManager, PKI-Auditor und Key Recovery Agenten.
- Auditing von Zertifizierungsstellen: Dienst Starten/Stoppen, Veröffentlichen von CRL, Key Recovery;
- Zertifikat registrieren und verweigern, Sicherheitseinstellungen, Datenbank-Sicherung und -Wiederherstellung.
- CA-Ereignisse senden per E-Mail.

Zertifikatsvorlagen Typ 1, 2, 3 und 4
- Unterschiede zwischen Zertifikatsvorlagen Typ 1, 2, 3 (2008 R2) und 4 (2012 R2)
- Kopieren von Zertifikatsvorlagen.
- Die wichtigsten Zertifikatsvorlagen-Einstellungen:
  - Anforderungsverarbeitung
  - Anwendungs- und Ausstellungsrichtlinien
  - Ausstellungsvoraussetzungen
  - Delegieren der Zertifikatsvorlagenverwaltung
  - Gültigkeitsdauer und Erweiterungszeitraum
  - Festlegung der Zertifikatszwecke bzw. Schlüsselverwendung,
  - Key Archivierung und Recovery
- Manuelle und Automatische Registrierung (Enrollment) für Benutzer und Computer.
- Publizieren von Zertifikat
- Änderung bestehender Zertifikatsvorlage und Erneuern von Zertifikat
Certificate Enrollment Web Service & Policy Web Service - Certificate Stores

Key Archivierung und Recovery
- Windows CA mit Private Key Archivierung.
- Aktivierung der Archivierung von Private Keys.
- Vorbereitung der Zertifikatsvorlage für Key Recovery, Key Recovery Agent (KRA) und KRA-Zertifikat.
- Verschlüsselung von Privatkeys und Zertifikat PKCS#12.
- Export und Import von Zertifikat und Privat Keys.
- Archivieren von EFS-Private Key
- S/MIME , Archivieren von S/MIME-Encrypt Key.
- Wiederherstellen von archivierten Private Keys.

Windows 10 & Windows Server 2019 Enrollment
- Neue Features von Windows 10 und Server 2019
- Einfachere Auswahl von Zertifikat im Certificate Store
- Neues HTTP/HTTPS-Enrollment vs. RPC/DCOM
Certificate Enrollment Web Service & Policy Web Service - Certificate Stores

Active Directory EnrollmentPolicy

4. Block: PKI-Anwendungen

Smart Cards
- Kerberos Authentication Zertifikat für alle Domain Controller
- Installieren SmartCard-Reader.
- SmartCard Registrierungsagent, Ausstellen von Smartcard-Zertifikaten.
- Konfigurieren von Gruppenrichtlinien für SmartCard-Benutzer und Computer.

Virtual Smart Card (VSC) - SCAMA - TPM Key Attestation
- Virtual Smart Card ist ab Windows 8.1 möglich, setzt TPM 1.2 oder höher voraus
- TPM und Smart Card Zertifikatsvorlage für Windows 10 Clients
- Arbeiten mit TPMVSCMgr und Mini-Driver manager
- TPM Key Attestation ab 2012 R2 CA
- Einrichten SCAMA - Smart Card Vorlage mit Issuance Policy (High, Medium, Low Assurance)
TPM Key Attestation - Ab Windows Server 2012 R2 CA

SCAMA Issuance Policy - High Assurance

SCAMA EInsatz in einer ESAE (Enhanced Security Administrative Environment) mit Tier 0, Tier 1 und Tier 2

S/MIME
- Schützen von E-Mails mit S/MIME, Signieren von E-Mails mit Private Key, Verschlüsseln von E-Mails mit Public Key.
- Konfigurieren von Outlook für S/MIME.
- S/MIME mit Dual Key Pair (S/MIME-Sign und S/MIME-Encrypt)
  Mehr zu Exchange 2016/2019 und OWA over HTTPS » Siehe Intensivkurs Exchange Server
S/MIME Zertifikat - RSA und KSP

EFS Encrypted File System
- Funktionsweise von EFS
- Selbstsigniertes und signiertes EFS-Zertifikat
- Sperren von EFS-Einsatz in einer Active Directory Umgebung ohne PKI
- Erstellen von EFS-Zertifikat Typ 4 mit Key Recovery und Auto Enrollment
- Verschlüsseln von lokalen Dateien.

Software-Signierung (Authenticode)
- Signieren von Skripten mit CodeSign-Zertifikat.
- Beispiel Genehmigung-Workflow mit Zertifikat.
- CryptoAPI.

5. Block: Erneuerung von Zertifikat und CRL

Certificate Revocation List - CRLOverlap
- Lebensdauer einer Base CRL und Delta CRL
- Verlängerung der Lebensdauer durch CRLOverlap (Überhang)
- Standardwerte von CRLOverlap und CRLDeltaOverlap
- Wie soll ein CRLOverlap eingestellt werden?
Certificate Revocation List - CRL Overlap

Certificate Erneuerung
- Erneuerung eines CA Zertifikats mit demselben Schlüsselpaar
- Verändern der PKI-Struktur (2-Stufig in 3-Stufig und umgekehrt) durch CA-Zertifikatserneuerung
- Einschränkung des Wirkungsbereichs eines CA durch Constraints (Path, Policy, Name)
- Erneuerung eines CA Zertifikats mit neuem Schlüsselpaar
- Cross RootCA Zertifikat
Cross Root CA Zertifikat

6. Block: Auditing & Troubleshooting

Auditing & Troubleshooting
- Audit von PKI konfigurieren
- Auswerten der Ereignisse
- Troubleshooting von Zertifikatsenrollment
- E-Mail Benachrichtigung

Network Device Enrollment Service (NDES)
- Einrichtung und Konfiguration.
- Kerberos Delegation.
- Anfordern eines Zertifikates.

Backup / Recovery von PKI-Database
- Die PKI-Datenbank *.edb, Transaktionsdateien *.log und Prüfpunktdatei.
- "Kleine" und "große" Datenbank-Sicherung.
- Wiederherstellen von CA-Keys und Datenbank.

Certificate Lifecycle Notification (Optional)
- Konfigurieren von Task Scheduler
- Event 1001 bis 1007
- PowerShell Script um E-Mail zu versenden, wenn 1003 erscheint
- SCOM Monitor
Certificate Lifecycle

Certificate Lifecycle - Mail Benachrichtigung

- Vertrauen Sie unserer Kompetenz -