PKI-Infrastruktur mit Windows Server aufbauen und betreiben

Seminarziel

Nach Abschluss verstehen die Teilnehmer die Funktionsweise von AD CS und können eine Zertifizierungsstelle einrichten. Sie kennen die verschiedenen Rollendienste und deren Einsatzbereiche. Die Teilnehmer sind in der Lage, Zertifikate auszustellen und deren Gültigkeit zu verwalten.

Inhalt

• 1. Einführung in Public Key Infrastructure
  • Grundprinzipien der asymmetrischen Verschlüsselung mit öffentlichen und privaten Schlüsseln
  • Funktion digitaler Zertifikate für Vertraulichkeit, Integrität und Authentifizierung
  • Rolle einer PKI im Unternehmenskontext für sichere Kommunikation
• 2. Überblick Active Directory-Zertifikatdienste
  • Positionierung von AD CS als Windows-Server-Rolle für PKI-Zertifikate
  • Zusammenspiel mit Active Directory zur Nutzung vorhandener Identitätsinformationen
  • Unterstützte Anwendungen wie S/MIME, VPN, IPsec, EFS und SSL/TLS
• 3. Zertifizierungsstellen planen und einrichten
  • Unterschied zwischen Stamm- und untergeordneten Zertifizierungsstellen
  • Hierarchiemodelle für ein- und mehrstufige CA-Infrastrukturen
  • Entscheidung zwischen Unternehmens-CA und eigenständiger CA
• 4. Installation und Grundkonfiguration
  • Voraussetzungen und Installationsschritte der AD CS-Serverrolle
  • Konfiguration der Zertifizierungsstelle mit Schlüssellänge und Gültigkeitsdauer
  • Absicherung der CA und Schutz des privaten Schlüssels
• 5. Zertifikatvorlagen verwalten
  • Aufbau und Funktion von Zertifikatvorlagen für verschiedene Verwendungszwecke
  • Anpassung und Duplizierung von Vorlagen für spezifische Anforderungen
  • Berechtigungen für die Registrierung durch Benutzer und Computer
• 6. Zertifikatregistrierung und Verteilung
  • Automatische Registrierung über Gruppenrichtlinien für Domänenmitglieder
  • Webregistrierung für manuelle Zertifikatsanforderungen über den Browser
  • Zertifikatregistrierungswebdienst für Clients außerhalb der Domäne
• 7. Sperrung und Gültigkeitsprüfung
  • Zertifikatsperrlisten erstellen, veröffentlichen und verteilen
  • Online-Responder für OCSP-basierte Statusabfragen in Echtzeit
  • Konfiguration von Sperrlistenverteilungspunkten und AIA-Erweiterungen
• 8. Netzwerkgeräte und TPM-Integration
  • Netzwerkgeräteregistrierungsdienst für Router und Geräte ohne Domänenkonto
  • TPM-Schlüsselnachweis zur Bindung von Zertifikaten an Hardware
  • Schutz vor Zertifikatsexport und Identitätsdiebstahl
• 9. Betrieb und Wartung
  • Sicherung und Wiederherstellung der Zertifizierungsstelle
  • Erneuerung von CA-Zertifikaten und Schlüsselwechsel
  • Überwachung und Protokollierung mit Windows-Ereignisanzeige
• 10. Typische Einsatzszenarien
  • Smartcard-Anmeldung und zertifikatsbasierte Authentifizierung
  • Absicherung von Webservern mit SSL/TLS-Zertifikaten
  • Verschlüsselung von E-Mails und Dateisystem mit EFS
• Praxisübung
  • Einrichtung einer Zertifizierungsstelle und Zertifikatsausstellung
  • Die Teilnehmer installieren in einer Laborumgebung eine Unternehmenszertifizierungsstelle. Sie konfigurieren Zertifikatvorlagen, richten die automatische Registrierung ein und stellen Zertifikate für Benutzer und Computer aus. Die Funktionsfähigkeit wird durch Anwendungstests überprüft.