Hoe bouw ik een PKI omgeving?
41
www.brainforce.com PKI Webinar Deel II
-
Upload
ngi-ngn-platform-voor-ict-professionals -
Category
Technology
-
view
427 -
download
0
description
Gebruik van Public Key Infrastructure (PKI) neemt de laatste maanden weer toe in organisaties. Door het gebruik van digitale handtekeningen en digitale certificaten kan met PKI een hoge veiligheid van dataverkeer gegarandeerd worden. Met name voor geldtransacties over het internet is deze veiligheid cruciaal. In de webinars leert u aan de hand van concrete voorbeelden wat PKI voor u kan betekenen. De stof die wordt behandeld biedt een mooie eerste kennismaking met de hardware. Na het volgen, bent u in staat om een juiste inschatting maken of PKI en geschikte security-oplossing voor uw bedrijf is. Deze slides horen bij de tweede webinar die de NGN hield over PKI. De inhoud daarvan was: - De offline root CA: Waarom moet er een offline root CA zijn en wat kan ik er mee? - De online CA(s): Hoeveel online CA(s) zet ik in en wat is de reden voor 1 meer of minder? - De CRL: Wat is het en waarom is het zo belangrijk? Wat gaat er mis als ik mijn CRL mis? - Waarom gaat het mis? Een PKI optuigen is stap 1, maar daarna komt het beheer. Wat komt hier bij kijken? - PKI in praktijk Beide webinarswerden gegeven door Martijn Bellaard. In zijn dagelijkse werk als Security Architect bij BRAIN FORCE wordt hem steeds vaker gevraagd om PKI implementaties te doen. Naast zijn werk bij BRAIN FORCE is hij ook lid van de Netwerk Gebruikersgroep Nederland (NGN).
Transcript of Hoe bouw ik een PKI omgeving?
www.brainforce.com
PKI WebinarDeel II
www.brainforce.com
Welkom
Vragen??Stel ze via chatOf via twitter #pkiwebinar?
www.brainforce.com
!!! PKI !!!
VERTROUWEN
www.brainforce.com
Agenda
Certificaat bestanden
PKI Infrastructuur
Certification Revocation List
Certification Templates
Setup
www.brainforce.com
PKI certificaten, inhoud
Certificate opbouw Version Serial Number Algorithm ID Issuer Validity
Not Before Not After
Subject Subject Public Key Info
Public Key Algorithm Subject Public Key
Issuer Unique Identifier (optional) Subject Unique Identifier (optional) Extensions (optional)
...
Certificate Signature Algorithm
Certificate Signature
www.brainforce.com
PKI Certificaten, Certificaten bestanden
Codering DER Based64 PKCS#7
Cryptographic Message Syntax Standard, Archief formaat,
PKCS#12 Personal Information Exchange Syntax Standard Archief formaat, Kan worden uitgerust met een wachtwoord,
(Windows 2012/8 ook op basis van een groepen) Private key wordt hierin opgeslagen,
PFX Voorloper PKCS#12, Microsoft,
www.brainforce.com
PKI certificaten, Extensie’s
.pem – (Privacy Enhanced Mail) Base64
.cer, .crt, DER of Base64
.der DER
.p7b, .p7c – PKCS#7
.p12 – PKCS#12,
.pfx – PFX of PKCS#12
www.brainforce.com
Agenda
Certificaat bestanden
PKI Infrastructuur
Certification Revocation List
Certification Templates
Setup
www.brainforce.com
Tier
www.brainforce.com
Offline root CA
Waarom? CA Compromise
Hoe? Uitzetten Geen netwerk
Beheer? 1x per maand onderhoud 1x per periode SubCA
www.brainforce.com
Intermediate CA
Waarom? Delegeren Extra security laag
Hoe? Online/offline? Beperkte mogelijkheden
Beheer? Domain member (?) Minimum aantal admins Beveiliging
www.brainforce.com
Issuing CA
Waarom? Deelt certificaten uit
Hoe? Online Functie specifiek NDES/OCSP
Beheer Gedelegeerd
𝐴=𝜋 𝑟2
www.brainforce.com
Certificate enrollment
Webbased Website
www.brainforce.com
Certificate enrollment
Webbased
Active Directory LDAP GPO
www.brainforce.com
Certificate enrollment
Webbased
Active Directory
Network Device Enrollment Service (NDES) Network Devices Microsoft-implementatie Simple Certificate Enrollment Protocol (SCEP)
NDES/SCEP server CA server
www.brainforce.com
Certificaten Storage
C:\Windows\System32 (Standaard)
Hardware Security Module (HSM)
www.brainforce.com
Agenda
Certificaat bestanden
PKI Infrastructuur
Certification Revocation List
Certification Templates
Setup
www.brainforce.com
Certificaten Revocation
Wat is de CRL Lijst met ingetrokken certificaten
Waarom Een certificaat is gestolen Een certificaat wordt niet langer gebruikt Er is een nieuw certificaat uitgegeven
www.brainforce.com
Certificaten Revocation
Hoe?
Certification Revocation List (CRL) Full Delta
Distributie Webserver Active Directory (LDAP) File systeem, (op disk of op een UNC path) Online Certificate Status Protocol (OCSP).
www.brainforce.com
Certificate Revocation
Geen CRL geen PKI
Hoger beschikbaar
Distributie Certutil -crl Elke nacht
Geldigheid
www.brainforce.com
Certificaten Revocation
OCSP Online Certificate Status Protocol
OCSP vs CRL
CRL OCSPLijst met alle ingetrokken certificaten Alleen de ingetrokken certificaat
Geen datum Inclusief datum
Export en distributie CRL noodzakelijk Zoekt contact met de CA
Werkt voor alle clients Werkt niet voor alle clients
www.brainforce.com
Agenda
Certificaat bestanden
PKI Infrastructuur
Certification Revocation List
Certification Templates
Setup
www.brainforce.com
PKI Templates
Identificatie, Authenticatie en autorisatie
Versleuteling van digitale objecten
Versleuteling van data verbindingen
Digitale handtekening
Templates
www.brainforce.com
PKI Templates, Identificatie, Authenticatie en Autorisatie IEEE 802.1x
Wireless
Smartcard logon
www.brainforce.com
PKI Templates, Versleuteling van digitale objecten Document encryptie
Email encryptie
Bitlocker in combinatie met een smartcard
www.brainforce.com
PKI Templates, Versleuteling van data verbindingen SSL communication
Secure LDAP
IPSec communication
www.brainforce.com
PKI Templates, Digitale handtekening
Document siging
Macro Siging
Software Siging
www.brainforce.com
PKI Templates, defineren
1. Subject Name
2. Certificate Lifetime
3. Certificate Usage.
4. Cryptography Next Generation Algorithms
5. Cryptographic Service Provider
6. Key Length
7. Smart Card Usage
8. Deployment Methods.
9. Key Archival
www.brainforce.com
PKI Templates, defineren
1. Subject Name
NL: Onderwerp Naam
Van wie is het Certificaat?
www.brainforce.nl
CN=Gebruiker01
Computer.netwerk.local
www.brainforce.com
PKI Templates, defineren
1. Subject Name
2. Certificate Lifetime
3. Certificate Usage.
4. Cryptography Next Generation Algorithms
Version 1 Alle Windows versie’s Kunnen niet aangepast worden
Version 2 Vanaf Windows 2003 Kunnen aangepast worden
Version 3 Vanaf Windows 2008 Crypto Next Generation (CNG) algorithms
www.brainforce.com
PKI Templates, defineren
1. Subject Name
2. Certificate Lifetime
3. Certificate Usage.
4. Cryptography Next Generation Algorithms
5. Cryptographic Service Provider
Key request
CSP Key creation
Key distrubution
Client CSP API
www.brainforce.com
PKI Templates, defineren
1. Subject Name
2. Certificate Lifetime
3. Certificate Usage.
4. Cryptography Next Generation Algorithms
5. Cryptographic Service Provider
6. Key Length
Hoe groot zijn de sleutels
Minimaal 1024
Huidige standaard 2048 Let op!! Windows voor XP SP3 hebben een probleem met deze certificaten.
www.brainforce.com
PKI Templates, defineren
1. Subject Name
2. Certificate Lifetime
3. Certificate Usage.
4. Cryptography Next Generation Algorithms
5. Cryptographic Service Provider
6. Key Length
7. Smart Card Usage
8. Deployment Methods.
9. Key Archival
Private key archiveren
Private exporteren
www.brainforce.com
Agenda
Certificaat bestanden
PKI Infrastructuur
Certification Revocation List
Certification Templates
Setup
www.brainforce.com
PKI Design
Tier Hoeveel Functie CA’s
CRL Infrastructuur Waar Distributie
Certificaten Templates
Welke, Wie, Waar Distributie
Web, LDAP, NDES enz
Server Setup Versie Storage Beveiliging
www.brainforce.com
Versie, Windows
Windows 2008 R2 Standard
Windows 2008 R2 Ent.
Windows 2012
AD CS
NDES
OCSP
Web interface
Web Service
Web Service Policy
www.brainforce.com
Linux
OpenSSL
DogTag
EJBCA
gnoMint
OpenCA Labs
www.brainforce.com
Setup
Powershell
ServerManager
www.brainforce.com
Config SubCA
Import Root certificaat certutil -dspublish -f "ROOTCA.crl" RootCA certutil -dspublish -f "RootCA.crt” RootCA Distribueer naar CRL locatie
“Request” een SubCA certificaat
Installeer het “antwoord”
www.brainforce.com
Setup
- Windows 2012 Standaard- Offline, RootCA, Workgroup- Online, SubCA, Domain (ngn.nl)
