IT-Symposium 2008 04.06.2008 Marc Grote www.it-symposium2008.de 1 Bestandteile einer PKI CA-Hierarchien Windows 2008 PKI CA-Arten Funktionen Zertifikatvorlagen OCSP / CRL Schlüssel Archivierung CA-Konsole Certutil PKI Health 1
Als Public-Key-Infrastruktur bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet. Quelle: http://de.wikipedia.org/wiki/pki Smartcards E-Mail Signatur und -Verschlüsselung X.509 Zertifikate Token basierende Authentifizierung IPSec PPTP EAP-TLS L2TP/IPSec SSL / TLS EFS Code Signierung 2
Digitale Zertifikate Certification Authority Registration Authority Certificate Revocation Lists Verzeichnisdienst Validierungsdienst 3
Windows Server 2008 Standard Alle Basisfunktionen einer Windows 2003 PKI Später erwähnte Erweiterungen Windows 2008 Enterprise und Datacenter Schlüssel Archivierung und Wiederherstellung V3 Certificate Templates ausstellen Role Separation (ISIS-MTT) OCSP / SCEP Unterstützung Funktion Standard Edition Enterprise Edition Advanced cryptography support Ja Ja Failover cluster support Ja Ja Enterprise PKI (PKIview) Ja Ja Web enrollment Ja Ja KDC certificate modification Nein Ja Rollenbasierte Installation Ja Ja Upgrade Von Standard CA Von Standard oder Enterprise CA Unattended setup Ja Ja V3 certificate templates Nein Ja Restricted enrollment agent Nein Ja Restricted certificate managers Nein Ja Key archival enhancements Nein Ja Performance counters Ja Ja IDP CRL extension support Ja Ja SCEP Nein Ja OCSP Nein Ja 4
Stammzertifizierungsstelle des Unternehmens Untergeordnete Zertifizierungsstelle des Unternehmens Eigenständige Stammzertifizierungsstelle Eigenständige untergeordnete Zertifizierungsstelle Cryptography Next Generation Online Certificate Status Protocol Support Network Device Enrollment Service Web Enrollment Erweiterungen Group Policy Settings Restricted Enrollment Agent Enterprise PKI (PKIView) 5
Grundlegende kryptografische Operationen) Installation von zusätzlichen CSP Möglichkeit zur Nutzung eigener CSP Unterstützung für Kernel Mode Betrieb FIPS 140-2 Level 2 mit CC (Common Criteria) Unterstützung für alle CryptoAPI 1.0 Algor. Unterstützung für Elliptic Cure Cryptography TPM Unterstützung für Key Isolation und Schlüsselspeicherung im TPM Marc Grote 6
CA-Konsole Zertifikatvorlagen Certutil /? (CLI basierte Administration der CA) Webkonsole (http://caserver/certsrv) PKIview.msc (CA Health) KRT.EXE (W2K3 Reskit) Microsoft Certificate Lifecycle Manager 7
8
IT Symposium 2008 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 04.06.2008 9
IT Symposium 2008 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 04.06.2008 10
Version 1 Zertifikatvorlagen Windows 2000 / 2003 Standard CA Version 2 Zertifikatvorlagen Windows Server 2003 Enterprise CA, Windows Server 2008 Standard und Enterprise CA Version 3 Zertifikatvorlagen Windows Server 2008 Enterprise CA 11
Zertifikate werden automatisch mit Hilfe von Gruppenrichtlinien auf den Clients ausgerollt Anpassung der Zertifikatsvorlagen + Berechtigungen + GPO Einstellung Windows 2000 CA Nur für Computer Windows 2003/Windows 2008 CA Computer und Benutzer (Windows XP und Windows Vista) 12
CA muss für KA aktiviert werden KRA Key Recovery Agent Certificate Zertifikatvorlagen müssen für Key Archiving eingerichtet sein Recovery mit KRT.EXE (zurzeit nur Windows Server 2003) oder CERTUTIL.EXE Export in.pfx Datei Sicherer Transfer zum Benutzer 13
Aufgrund der Brisanz der Schlüsselwiederherstellungsagenten wird das Zertifikat nicht sofort ausgestellt, sondern muss vom CA-Verwalter ausgestellt werden 14
IT Symposium 2008 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 04.06.2008 15
Das Online Certificate Status Protocol ist ein Internet-Protokoll, das es Clients ermöglicht, den Status von X.509- Zertifikaten bei einem Validierungsdienst abzufragen. Mittels OCSP kann der Status eines Zertifikats durch Anfrage bei einem OSCP- Responder abgefragt werden. 16
Der OCSP-Responder liefert als Antwort good (Zertifikat ist gültig und nicht gesperrt) oder revoked (Zertifikat ist gesperrt) oder unknown (Zertifikat ist unbekannt) Marc Grote 17
CRL = Zertifikatsperrliste Eine einfache Tabelle welche widerrufene oder abgelaufene Zertifikate einer Zertifizierungsstelle enthält Clients / Applikationen rufen in bestimmten Intervallen vollständige oder Delta- Sperrlisten ab 18
Vorteile OCSP OCSP-Responder sind zeitgenauer als Sperrlisten OCSP kann nicht gesperrte von gefälschten Zertifikaten unterscheiden Nachteile OCSP OCSP liefert nur Auskünfte zum Sperrstatus von Zertifikaten 19
Vorteile CRL Einfache Implementierung Relativ weit verbreitet auf der Client-Seite Nachteile CRL Sperrlisten sind nur Negativlisten und prüfen nicht die Zertifikatsgültigkeit Sperrlisten können sehr gross werden. Sperrlisten können veraltet sein, da keine Online-Abfrage erfolgt 20
Monitoring aller relevanten CryptoAPI- Operationen Monitoring muss manuell aktiviert werden Event Viewer Applications and Services Logs Microsoft Windows CAPI2 - Operational CryptoAPI1 und 2 Unterstützung 21
Windows PKI blog http://blogs.technet.com/pki Technology Centers - Public Key Infrastructure for Windows Server 2003 http://www.microsoft.com/windowsserver20 03/technologies/pki/default.mspx Cryptography API: Next Generation http://msdn2.microsoft.com/enus/library/aa376210 Windows Server 2008 Tech Center http://www.microsoft.com/germany/technet/prodtec hnol/windowsserver/2008/default.mspx Windows Server 2008 Webcasts: http://www.microsoft.com/germany/technet/webcas ts/windowsserver2008.mspx Windows Server 2008 Produktseite: http://www.microsoft.com/germany/windowsserver 2008/default.mspx Microsoft Virtualization: http://www.microsoft.com/virtualization/default.msp x 22