Hoe bouw ik een PKI omgeving?

Post on 06-Feb-2015

427 views 0 download

Preview:

Click to see full reader
Report this document
SHARE

description

Gebruik van Public Key Infrastructure (PKI) neemt de laatste maanden weer toe in organisaties. Door het gebruik van digitale handtekeningen en digitale certificaten kan met PKI een hoge veiligheid van dataverkeer gegarandeerd worden. Met name voor geldtransacties over het internet is deze veiligheid cruciaal. In de webinars leert u aan de hand van concrete voorbeelden wat PKI voor u kan betekenen. De stof die wordt behandeld biedt een mooie eerste kennismaking met de hardware. Na het volgen, bent u in staat om een juiste inschatting maken of PKI en geschikte security-oplossing voor uw bedrijf is. Deze slides horen bij de tweede webinar die de NGN hield over PKI. De inhoud daarvan was: - De offline root CA: Waarom moet er een offline root CA zijn en wat kan ik er mee? - De online CA(s): Hoeveel online CA(s) zet ik in en wat is de reden voor 1 meer of minder? - De CRL: Wat is het en waarom is het zo belangrijk? Wat gaat er mis als ik mijn CRL mis? - Waarom gaat het mis? Een PKI optuigen is stap 1, maar daarna komt het beheer. Wat komt hier bij kijken? - PKI in praktijk Beide webinarswerden gegeven door Martijn Bellaard. In zijn dagelijkse werk als Security Architect bij BRAIN FORCE wordt hem steeds vaker gevraagd om PKI implementaties te doen. Naast zijn werk bij BRAIN FORCE is hij ook lid van de Netwerk Gebruikersgroep Nederland (NGN).

Transcript of Hoe bouw ik een PKI omgeving?

www.brainforce.com

PKI WebinarDeel II

www.brainforce.com

Welkom

Vragen??Stel ze via chatOf via twitter #pkiwebinar?

www.brainforce.com

!!! PKI !!!

VERTROUWEN

www.brainforce.com

Agenda

Certificaat bestanden

PKI Infrastructuur

Certification Revocation List

Certification Templates

Setup

www.brainforce.com

PKI certificaten, inhoud

Certificate opbouw Version Serial Number Algorithm ID Issuer Validity

Not Before Not After

Subject Subject Public Key Info

Public Key Algorithm Subject Public Key

Issuer Unique Identifier (optional) Subject Unique Identifier (optional) Extensions (optional)

...

Certificate Signature Algorithm

Certificate Signature

www.brainforce.com

PKI Certificaten, Certificaten bestanden

Codering DER Based64 PKCS#7

Cryptographic Message Syntax Standard, Archief formaat,

PKCS#12 Personal Information Exchange Syntax Standard Archief formaat, Kan worden uitgerust met een wachtwoord,

(Windows 2012/8 ook op basis van een groepen) Private key wordt hierin opgeslagen,

PFX Voorloper PKCS#12, Microsoft,

www.brainforce.com

PKI certificaten, Extensie’s

.pem – (Privacy Enhanced Mail) Base64

.cer, .crt, DER of Base64

.der DER

.p7b, .p7c – PKCS#7

.p12 – PKCS#12,

.pfx – PFX of PKCS#12

www.brainforce.com

Agenda

Certificaat bestanden

PKI Infrastructuur

Certification Revocation List

Certification Templates

Setup

www.brainforce.com

Tier

www.brainforce.com

Offline root CA

Waarom? CA Compromise

Hoe? Uitzetten Geen netwerk

Beheer? 1x per maand onderhoud 1x per periode SubCA

www.brainforce.com

Intermediate CA

Waarom? Delegeren Extra security laag

Hoe? Online/offline? Beperkte mogelijkheden

Beheer? Domain member (?) Minimum aantal admins Beveiliging

www.brainforce.com

Issuing CA

Waarom? Deelt certificaten uit

Hoe? Online Functie specifiek NDES/OCSP

Beheer Gedelegeerd

𝐴=𝜋 𝑟2

www.brainforce.com

Certificate enrollment

Webbased Website

www.brainforce.com

Certificate enrollment

Webbased

Active Directory LDAP GPO

www.brainforce.com

Certificate enrollment

Webbased

Active Directory

Network Device Enrollment Service (NDES) Network Devices Microsoft-implementatie Simple Certificate Enrollment Protocol (SCEP)

NDES/SCEP server CA server

www.brainforce.com

Certificaten Storage

C:\Windows\System32 (Standaard)

Hardware Security Module (HSM)

www.brainforce.com

Agenda

Certificaat bestanden

PKI Infrastructuur

Certification Revocation List

Certification Templates

Setup

www.brainforce.com

Certificaten Revocation

Wat is de CRL Lijst met ingetrokken certificaten

Waarom Een certificaat is gestolen Een certificaat wordt niet langer gebruikt Er is een nieuw certificaat uitgegeven

www.brainforce.com

Certificaten Revocation

Hoe?

Certification Revocation List (CRL) Full Delta

Distributie Webserver Active Directory (LDAP) File systeem, (op disk of op een UNC path) Online Certificate Status Protocol (OCSP).

www.brainforce.com

Certificate Revocation

Geen CRL geen PKI

Hoger beschikbaar

Distributie Certutil -crl Elke nacht

Geldigheid

www.brainforce.com

Certificaten Revocation

OCSP Online Certificate Status Protocol

OCSP vs CRL

CRL OCSPLijst met alle ingetrokken certificaten Alleen de ingetrokken certificaat

Geen datum Inclusief datum

Export en distributie CRL noodzakelijk Zoekt contact met de CA

Werkt voor alle clients Werkt niet voor alle clients

www.brainforce.com

Agenda

Certificaat bestanden

PKI Infrastructuur

Certification Revocation List

Certification Templates

Setup

www.brainforce.com

PKI Templates

Identificatie, Authenticatie en autorisatie

Versleuteling van digitale objecten

Versleuteling van data verbindingen

Digitale handtekening

Templates

www.brainforce.com

PKI Templates, Identificatie, Authenticatie en Autorisatie IEEE 802.1x

Wireless

Smartcard logon

http://www.google.nl/url?sa=i&rct=j&q=IEEE+802.1x&source=images&cd=&cad=rja&docid=jfOE5v3XuV5MnM&tbnid=SswC9f0pWV7tTM:&ved=0CAUQjRw&url=http://windowsdevcenter.com/pub/a/windows/2007/06/26/windows-wireless-lan-security-primer.html&ei=0CEeUfqXJMmqtAabq4DQCw&bvm=bv.42553238,d.Yms&psig=AFQjCNEbEz8mpXcQfoZwmeFcll6lUzZ1Vw&ust=1361015603279874

www.brainforce.com

PKI Templates, Versleuteling van digitale objecten Document encryptie

Email encryptie

Bitlocker in combinatie met een smartcard

www.brainforce.com

PKI Templates, Versleuteling van data verbindingen SSL communication

Secure LDAP

IPSec communication

http://www.google.nl/url?sa=i&rct=j&q=SSL+logo&source=images&cd=&cad=rja&docid=etoGYhWZ-rSSlM&tbnid=KZywOlC95e4t9M:&ved=0CAUQjRw&url=http://twikam.com/ssl-certificate.html&ei=KiIeUdTKJIOGtAaytoD4BQ&bvm=bv.42553238,d.Yms&psig=AFQjCNE-HAbD-x4T8YXom-n5fLmsYBr7YA&ust=1361015710922479

www.brainforce.com

PKI Templates, Digitale handtekening

Document siging

Macro Siging

Software Siging

www.brainforce.com

PKI Templates, defineren

1. Subject Name

2. Certificate Lifetime

3. Certificate Usage.

4. Cryptography Next Generation Algorithms

5. Cryptographic Service Provider

6. Key Length

7. Smart Card Usage

8. Deployment Methods.

9. Key Archival

www.brainforce.com

PKI Templates, defineren

1. Subject Name

NL: Onderwerp Naam

Van wie is het Certificaat?

www.brainforce.nl

CN=Gebruiker01

Computer.netwerk.local

JJ@brainforce.nl

www.brainforce.com

PKI Templates, defineren

1. Subject Name

2. Certificate Lifetime

3. Certificate Usage.

4. Cryptography Next Generation Algorithms

Version 1 Alle Windows versie’s Kunnen niet aangepast worden

Version 2 Vanaf Windows 2003 Kunnen aangepast worden

Version 3 Vanaf Windows 2008 Crypto Next Generation (CNG) algorithms

www.brainforce.com

PKI Templates, defineren

1. Subject Name

2. Certificate Lifetime

3. Certificate Usage.

4. Cryptography Next Generation Algorithms

5. Cryptographic Service Provider

Key request

CSP Key creation

Key distrubution

Client CSP API

http://www.google.nl/url?sa=i&rct=j&q=HSM+module&source=images&cd=&cad=rja&docid=8vKa5FsH897BzM&tbnid=8XUcoLUXVlsPmM:&ved=0CAUQjRw&url=http://www.alibaba.com/product-free/111382991/AEP_Keyper_HSM_Hardware_Security_Module/showimage.html&ei=cjAeUYzpI4zEtAaJrYCQAg&bvm=bv.42553238,d.Yms&psig=AFQjCNHEPgTJ7AD8h8Lg_AsC7anrqXY7vQ&ust=1361019372886543

www.brainforce.com

PKI Templates, defineren

1. Subject Name

2. Certificate Lifetime

3. Certificate Usage.

4. Cryptography Next Generation Algorithms

5. Cryptographic Service Provider

6. Key Length

Hoe groot zijn de sleutels

Minimaal 1024

Huidige standaard 2048 Let op!! Windows voor XP SP3 hebben een probleem met deze certificaten.

www.brainforce.com

PKI Templates, defineren

1. Subject Name

2. Certificate Lifetime

3. Certificate Usage.

4. Cryptography Next Generation Algorithms

5. Cryptographic Service Provider

6. Key Length

7. Smart Card Usage

8. Deployment Methods.

9. Key Archival

Private key archiveren

Private exporteren

www.brainforce.com

Agenda

Certificaat bestanden

PKI Infrastructuur

Certification Revocation List

Certification Templates

Setup

www.brainforce.com

PKI Design

Tier Hoeveel Functie CA’s

CRL Infrastructuur Waar Distributie

Certificaten Templates

Welke, Wie, Waar Distributie

Web, LDAP, NDES enz

Server Setup Versie Storage Beveiliging

www.brainforce.com

Versie, Windows

Windows 2008 R2 Standard

Windows 2008 R2 Ent.

Windows 2012

AD CS

NDES

OCSP

Web interface

Web Service

Web Service Policy

www.brainforce.com

Linux

OpenSSL

DogTag

EJBCA

gnoMint

OpenCA Labs

www.brainforce.com

Setup

Powershell

ServerManager

www.brainforce.com

Config SubCA

Import Root certificaat certutil -dspublish -f "ROOTCA.crl" RootCA certutil -dspublish -f "RootCA.crt” RootCA Distribueer naar CRL locatie

“Request” een SubCA certificaat

Installeer het “antwoord”

www.brainforce.com

Setup

- Windows 2012 Standaard- Offline, RootCA, Workgroup- Online, SubCA, Domain (ngn.nl)

www.brainforce.com

Vragen

Martijn.bellaard@brainforce.nl

Top related

131218 Beantwoording vragen Enable-U 2018 · begeleiden wij de klant ook voorafgaand aan de implementatie voor een vliegende start. ... het importeren van de ontvangen productie PKI
 Documents
Arbeidsnormen Bouw
 Documents
Installatie & Bouw
 Documents
Sector BOUW
 Documents
30 NIJMEGEN EN OMGEVING ‘Kritiek hoort bij STADSLANDBOUW ... · de bouw van De Oversteek. Bezoe-kers betalen de normale toegangs-prijs van 3,90 euro. De singer-songwriter Sam Gomm
 Documents
master Kunsteducatie verdieping met verbeelding...Amsterdam, dankzij deze omgeving bouw je een breed en inspirerend netwerk op. Na de studie maak je deel uit van een actief alumninetwerk
 Documents
1 Bouwkunde · 2012. 2. 20. · 1 Bouwkunde 1 Bouw en infra 1. 94050 Middenkaderfunctionaris bouw en infra 1 94051 Middenkaderfunctionaris bouw en infra (Middenkaderfunctionaris Bouw)
 Documents
Biologie - Examenblad · reageren op prikkels 2 delen waaruit ... bouw en leefwijze van organismen en de omgeving ... consumenten en reducenten gebruiken de energierijke stoffen uit
 Documents
Omgeving wandelgesprekken
 Documents
NIEUWSBRIEF PUNTER 23 EN OMGEVING - Lelystad 10...NIEUWSBRIEF PUNTER 23 EN OMGEVING Bouw van 8 nieuwe woningen en herinrichting openbare ruimte NIEUWSBRIEF PUNTER 23 EN OMGEVING APRIL
 Documents
Paspoorten voor de bouw - Circulaire Bouweconomie...2019/07/04  · Figuur 4 – Paspoorten voor de bouw richt zich op de gehele gebouwde omgeving 2.2.2 Het gebruik van de term object
 Documents
De gelijkenis tussen bouw en IT? Als de materialen en ... · + Telenet). Tot slot zorgt Trustteam ook voor Wi-Fi in onze nieuwe gebouwen en een upgrade naar de nieuwste omgeving van
 Documents
Presentatie bouw
 Documents
Bouw! - Leximadownload.lexima.nl/producten/Bouw!/Bouw! Veelgestelde... · 2015-09-09 · Veelgestelde vragen Bouw! tutorlezen versie . juli Wie kan de tutor zijn? Om een kind goed
 Documents
Groeien in een dynamische en boeiende omgeving › downloads › Welkom_bij_VanMeijel.pdf · en de bouw kun je leren. Of je past binnen het team niet. En dat team voelde goed. Customer
 Documents
Bouw Management
 Documents
20161215 van omgeving naar efficiënte logistiek in …...2016/12/15  · Van omgeving naar Auteurs Versie Datum Pagina efficiënte logistiek in de bouw A.E.F. Tjeenk Willink en C.J.L.M.
 Documents
Vernieuwing Bouw
 Technology
Confederatie Bouw
 Documents
Beroepsbeeld bouw door jorritsma bouw | Centrum Duurzaam
 Education

Copyright © 2022 FDOCUMENTS