{ pki } active directory certificate services
DESCRIPTION
{ PKI } Active Directory Certificate Services. Fóti Marcell cégvezető NetAcademia. PKI: mi az ördög ez?. Public Key Infrastructure Nyílt kulcsú titkosítás Digitális aláírás RSA-algoritmus Van más is az RSA-n kívül?. T e mod N = C C d mod N = T. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/1.jpg)
![Page 2: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/2.jpg)
{ PKI } Active Directory Certificate Services
Fóti MarcellcégvezetőNetAcademia
![Page 3: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/3.jpg)
PKI: mi az ördög ez?
Public Key InfrastructureNyílt kulcsú titkosításDigitális aláírásRSA-algoritmus
Van más is az RSA-n kívül?
Te mod N = CCd mod N = T
![Page 4: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/4.jpg)
A PKI alapja, a nyílt kulcsú titkosítás
Ki generálja a kulcsokat?Mi a tanúsítványszolgáltató szerepe?Mi az a tanúsítvány?
Hogyan ellenőrzöm? És mikor?
Minek a tanúsítvány a kulcsokhoz?Mi történik, ha elveszítem az aláírókulcsomat?Mi történik, ha elveszítem a titkosítókulcsomat?
![Page 5: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/5.jpg)
{ Egy tanúsítvány vizsgálata }
demó
![Page 6: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/6.jpg)
PKI a mindennapokban…Titkosító fájlrendszerSSL
HTTPS, POP3/SSL, SMTP/SLLTanúsítványalapú autentikáció
Kódok digitális aláírásaAuthentiCodeSoftware Restriction Policy
Biztonságos bejelentkezésTartományi bejelentkezésVPN-kapcsolat
Digital Rights ManagementS/MIME
![Page 7: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/7.jpg)
Tanúsítványokat használ….Exchange Server 200x
OWA, HTTPS over RPC
ISA Server 200xPublikálás
System Center Operations ManagerWorkgroup környezetbenGateway szervereknél
System Center Configurations ManagerNatív üzemmód esetén
Office Communications Server 2007Minden kommunikációhoz!
Sharepoint 2007Webes űrlapok digitális aláírása
Windows szerver/kliens:Active Directory Domain Controller (DC-k tanúsítvány alapú hitelesítése)Active Directory Federation ServicesSSTPNAP (IPSec Enforcement)VPN (IPSec alapon)Domain izoláció (IPSec alapon)
![Page 8: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/8.jpg)
PKI: a NAP összetevője!
Hozzávalók (PKI részről)1 db tartomány (megvan)1 db Certificate Services1 db tanúsítványsablon1 db házirendX db tanúsítvány
![Page 9: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/9.jpg)
1 db Certificate Services
A Windows 2000 óta része a rendszernekTanúsítványkiállító központLehet root vagy subordinateLehet standalone vagy enterpriseTanúsítványkibocsátás, tanúsítványsablonokKözponti kulcsarchiválás…
![Page 10: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/10.jpg)
{ Certificate Services telepítése }
demó
![Page 11: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/11.jpg)
1 db tanúsítványsablon
Mit tartalmaz a tanúsítvány?A sablon a „blabla” összetételét határozza meg
Felhasználási célokKibocsátási feltételekKulcshosszok, CSP-kJogosultságokAzonosítás
![Page 12: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/12.jpg)
{ Tanúsítványsablon létrehozása, kibocsátása }
demó
![Page 13: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/13.jpg)
Központi kulcsarchiválás
Milyen veszélyekkel jár a titkosító kulcspár elvesztése?Hogyan védekezhetünk ellene?
Kézzel kiexportáljuk, elmentjük valahova, vagyA privát kulcsok elmentése a Certificate Server adatbázisába
Ki fér hozzá a mentett kulcsokhoz? Ki az a KRA? (Hol az ő kulcsa???)Hogyan kell elveszített kulcsot visszaállítani?
Parancssorból: Certutil –getkeyGrafice: KRT.EXE
![Page 14: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/14.jpg)
Szerepek szétválasztásaNégy fontos szerep
CA AdministratorCertificate ManagerAuditorBackup Operator
Common Criteria követelmény: a „malicsusz” rendszergazda kizárása!Role Separation
Certutil –setreg CA\RoleSeparationEnabled 1Mindenki csak egyetlenegy szerepkörben lehetHa esetleg kettőben van, akkor egyben sincs!
![Page 15: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/15.jpg)
1 db házirend
Tanúsítványok kibocsátásaKézzelAutomatikusan
IPSec esetén a GÉP a játékos!Automata kibocsátás GPO-val
![Page 16: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/16.jpg)
{ Tanúsítványkérő GPO }
demó
![Page 17: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/17.jpg)
A Windows Server 2008 PKI-újdonságai
Átnevezés: Active Directory Certificate ServerECC és SHA2 támogatásCryptography Next Generation
A CryptoAPI és így a CAPICOM utódja
Network Device EnrollmentEz nem más, mint egy Simple Certificate Enrollment Protocol implementáció (HTTP)
OCSP …
![Page 18: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/18.jpg)
Online Certificate Status Protocol
A tanúsítványok ellenőrzése hagyományosan offline történik
Érvényességi határokVisszavonási listák
A visszavonási listák publikálása időzítettAz Online megoldás az OCSP
Most már szerveroldalon is!
![Page 19: { PKI } Active Directory Certificate Services](https://reader033.vdocuments.site/reader033/viewer/2022061608/56814596550346895db287f4/html5/thumbnails/19.jpg)