Public-Key-Infrastrukturen (PKI) spielen heute eine zentrale Rolle, wenn es darum geht, Vertrauen in digitalen Kommunikationsumgebungen aufzubauen. Digitale Zertifikate dienen dabei als essenzielles Werkzeug, um Systeme und Dienste - sowohl im Internet als auch in internen Netzwerken - zuverlässig abzusichern. Seit mehr als zweieinhalb Jahrzehnten werden PKI Technologien kontinuierlich weiterentwickelt und an neue sicherheitsrelevante Anforderungen angepasst. Für Verantwortliche im Bereich IT Security gehört fundiertes Wissen über Verschlüsselungsverfahren, digitale Signaturen, Zertifikate und PKI Dienste inzwischen zur unverzichtbaren Grundausstattung.
Die Public-Key-Kryptografie hat sich zu einer stabilen und ausgereiften Basis für sichere Kommunikationsprotokolle entwickelt. Mechanismen zur Bereitstellung und Verwaltung öffentlicher Schlüssel existieren heute in vielfältigen Varianten und sind breit etabliert.
Dieser Kurs vermittelt ein tiefes Verständnis für den Aufbau und die Einsatzmöglichkeiten von PKI Landschaften. Sie erhalten das notwendige Fachwissen, um digitale Zertifikate zu planen, einzusetzen und zu verwalten. Durch den praktischen Aufbau einer mehrstufigen Microsoft PKI lernen Sie zudem, wie Zertifizierungsstellen (CAs) arbeiten und wie Zertifikate in der Praxis ausgestellt und genutzt werden. Am Ende sind Sie in der Lage, eine eigene PKI Umgebung zu konzipieren, umzusetzen und sicher zu betreiben.
Inhalte:
• Einleitung
- Warum ist die PKI so essenziell
- Hintergrund der Entwicklung
- Rechtliche Aspekte
• Kryptografische Grundlagen
- Symmetrische und asymmetrische Verschlüsselungsverfahren
- Digitale Signaturen
- Post-Quanten-Kryptografie - Quantencomputer - neue Bedrohungen und die
kryptografische Antwort dazu
• Authentisierung
- Multifaktorauthentifizierung
- Einmalpasswörter
- Kerberos
- Public-Key-Zertifikate
• PKI-Basis
- Zertifikate, Typen, Zertifikatsanforderungen
- Certificate Revocation List
- Policies
- Zertifizierungspfade
• PKI-Komponenten
- Certification Authority (CA)
- Registration Authority (RA)
- Repository
- Archiv
- Zertifikatsinhaber
- Relying Party
• PKI-Architekturen
- Stand-Alone-CA, Enterprise-CA, OffLine-CAs, Cross-Cas
- mehrstufige Cas
- Cloud-Basierende CAs
• Gültigkeit und Prüfung von Zertifikaten
- Konstruktion und Überprüfen von Zertifizierungspfaden
- Chain-Of-Trust
• Certificate Revocation List (CRL)
- Inhalt
- Erzeugen und Verteilen von CRLs
• Directories
- X.500, LDAP
• X.509-Zertifikate
- ASN.1-Typen
- Grundinhalt (V1)
- Erweiterungen (V3)
- Verwendung
• Vertrauen, Abläufe, Policies
- Certificate Policies (CP)
- Certificate Practice Statement
• Anwendung
- Web (SSL/TLS)
- E-Mail (SMIME)
- IPsec
- VPN
- Codesigning
• Anfordern von Zertifikaten
- Web-Interface
- Zertifikats-Templates (Microsoft Enterprise CA)
- Certificate Signing Request
- GPOs
- ACME (Automated Certificate Management Environment)
- Open SSL
• Aufbau einer zweistufigen Certification-Authority (CA), mit:
- Stand-alone Offline Root-CA (auf Windows Server)
- Darunterliegenden Enterprise (AD-basiert) Sub-CA (iCA), Online
- Was wird anders konfiguriert, wenn nur eine einstufige CA-Umgebung (Enterprise Root CA) zum Einsatz kommt?
- Einsatz des CaPolicy.inf Files
- Vollständige und richtige Sperrlistenkonfiguration (CRL), einschließlich Konfiguration eines Online-Responders
- Konfiguration von Zertifikatsvorlagen
- Konfiguration der automatischen Zertifikatsanforderung und Verteilung sowie Erneuerung mittels GPOs
- Konfiguration und Einrichtung von SSL/TLS-Zertifikaten
- Zertifikats-Sperrungen
- Besondere Konfigurationen: private Schlüssel archivieren, Zertifikatsagenten einrichten usw.
- Überwachung von Certification Authorities (CAs)
- Sicherung und Wiederherstellung von CAs
- Verwendung der Befehlszeilen-Tools (z.B. certutil.exe) und der PowerShell bei der Konfiguration und Verwaltung von CAs
- Tipps und Tricks zum Aufbau und bei Problembehebung /Troubleshooting von Microsoft PKI-Systemen