Развёртывание PKI предприятия, используя Windows Server и Active Directory
2821B

Программа учебного курса ориентирована на руководителей и специалистов структурных подразделений, планирующих (расширяющих) использование и внедряющих технологии, основанные на инфраструктуре открытых ключей (PKI), в профессиональную деятельность сотрудников предприятий и организаций.

Базовые знания и навыки по работе с Windows.

По окончании обучения слушатели приобретут практические навыки по использованию криптографической защиты в приложениях и сетевых службах, использующих PKI, таких как Microsoft Internet Explorer, Microsoft Exchange Server, Microsoft Internet Information Server, Microsoft Outlook® и служба удаленного доступа.

Часть 1 - Криптография

• Криптология и раздел криптоанализа. ИОК/PKI: задачи, технологии, принципы.
• Хэш-функции; режимы работы и HMAC.
• Шифрование с закрытым ключом - блочные и поточные шифры, режимы работы и пространство ключей. Примеры использования и настройки в Windows-системах.
• KDF (PBKDF2, scrypt, bcrypt) и генерация ключевого материала; PRGN.
• Библиотеки в Windows - CryptoAPI - NCrypt и BCrypt. CNG. CAPICOM.
• Библиотеки в Unix - OpenSSL.
• Стандарты, с которыми сталкивается Windows-администратор - FIPS 140-x, FIPS 180-x. Suite B.
• Алгоритмы с открытым ключом. RSA, DH, ECDH. Схема DSA.
• Эллиптические кривые и их применение - ECDH, ECDSA.
• Понятие Perfect Forward Secrecy.

Часть 2 - Компоненты PKI

• CA (Certification Authority), сертификаты x.509v3, шаблоны сертификатов, локальное хранилище сертификатов, CRL и механизмы их проверки (CDP и OCSP), AIA.
• Утилиты и инструменты для управления PKI в Windows-системах. certutil, certreq, компоненты MMC, PKI Health Tool.
• Стандарты PKCS.
• Работа CCE (Certificate Chaining Engine) и связанные с его работой настройки на локальной системе.

Часть 3 - Иерархия CA

• Роли в Certification Authority Hierarchy.
• Доверие - Trusted Root и другие Trusted-хранилища на локальной системе.
• Определение требований к иерархии CA для данной организации. Project scope / design scope.
• Определение приложений, использующих PKI - 802.1x, IPsec, подтверждение подлинности SSL/TLS, EFS, цифровые подписи почты и документов, вход в систему через токены/смарткарты, подпись ПО, SRP / AppLocker.
• Определение учётных записей, использующих PKI - пользователи, компьютеры, MSA. Механизм Authentication Assurance.
• Технические требования (безопасность, работа с партнёрами, использование сервисов не-сотрудниками, соответствие отраслевым стандартам), задачи управления (кто будет выполнять какие задачи, связанные с работой ИОК).
• Типы иерархий CA - по классу использования, по географической локации, по структуре организации.
• Создание CPS - Certificate Practice Statement, влияние на него Certificate Policy и Security Policy. Публикация CPS на Policy CA.
• Рекомендации по проектированию и оптимизации CA Hierarchy. Вопросы availability сервисов PKI-инфраструктуры.
• Понятия кросс-сертификации и qualified subordination.
• Типы CA - интегрированный в Active Directory (enterprise) и standalone

Часть 4 - Развёртывание PKI

• Создание иерархии - создаём Offline Root CA. Файл CAPolicy.inf, настройки standalone CA (длина ключа, публикация CRL, срок годности, CDP и AIA), удаление лишнего из сертификата Root CA.
• Свои OIDы для CPS.
• Как сертификаты проверяются на соответствие критариям - time validity, формат, заполнение полей, подпись, отзыв, chained-to-root, критические расширения, policy validation. Причины отзыва - штатные и форсированные.
• Определение точек публикации CRL и интервала публикации. Обычные и delta CRL. Настройка OCSP.
• Поднимаем subordinate CA, интегрированный в Active Directory. Проверяем ключевые параметры через PKI Health Tool.

Часть 5 - Управление PKI в организации

• Группы в Active Directory, связанные с PKI. Объекты AD Schema и контейнер настроек PKI в разделе Enterprise Configuration.
• RBAC. Администраторы CA, менеджеры сертификатов, операторы резервного копирования, операторы работы с ключевой информацией. Ограничения применения ролей (менеджмент сертификатов только указанных групп пользователей в AD).
• Обновление сертификата CA. Обновление только ключевой пары. Резервное копирование компонентов CA и криптографической информации. Disaster recovery.

Часть 6 - Шаблоны сертификатов

• Шаблоны сертификатов. Версии - от 1й до 4й+. Обычные и критические расширения. Хранение шаблонов сертификатов.
• Шаблоны по умолчанию. Наследование и перекрытие шаблонов. Шаблоны single function и multiple functions-типов. Обновление существующих сертификатов при обновлении шаблона.
• Типы применения - authentication, encryption, key recovery, nonrepudiation protection.
• Методы выдачи - ручная, autoenrollment, automatic certificate request. Инструментарий - веб-интерфейс CA, консоль MMC, утилита certreq, запрос через Group Policy, посредник Enrollment agent.
• Формирование SN / SAN - сборка из информации в Active Directory или ручное.
• Политики применения - Application policies и сертификатов - Certificate policies.
• Ручное одобрение запросов на сертификаты и автоматическое. Подписанные по PKCS #10 запросы.
• Детальный разбор всех параметров шаблонов сертификата.

Часть 7 - Депонирование ключевой информации клиентов

• Data Recovery и Key Recovery. Архивирование ключей. Защита архива ключей.
• Сертификаты KRA. Ручное депонирование ключа. Автоматическая архивация закрытого ключа выдаваемого сертификата.
• Защита доступа к архиву ключей и требование минимум 2 KRA для восстановления ключа.
• Рассматриваем применение на примере EFS.

Часть 8 - Продвинутые PKI-возможности

• Qualified Subordination. Создание Certificate Trust List. Кросс-сертификация CA. Понятие Bridge CA.
• Ограничения на CA и длину пути. Basic Constraints, Name Constraints.
• Как сделать Extended Validation - чтобы-была-зелёная-строчка-в-браузере.

Часть 9 - Токены и смарт-карты для авторизации и доступа к сервисам

• Смарт-карты и USB-токены в Windows. Специфика различных криптоалгоритмов и необходимые настройки системных сервисов.
• Основные типы использования - безопасное подключение к сети предприятия, цифровая подпись документов, вход в систему.
• Усиление безопасности Kerberos, используя цифровые сертификаты.
• Получение сертификата через Enrollment Agent и автозапрос.
• Развёртывание системы работы со смарткартами и токенами в организации. Подготовка Active Directory и PKI, создание шаблона сертификата, нужные настройки Group Policy, работа с криптопровайдерами.
• Авторизация с использованием x.509v3-сертификатов на веб-сервисах (SharePoint, Exchange). Механизм Authentication Assurance в Windows Server 2008 R2+.

• 20740     Установка, организация хранилища и работа в Windows Server 2016     40 ак.ч.
• 10961     Автоматизация администрирования с Windows PowerShell     40 ак.ч.

Курс читают тренер-практик с опытом проведения курсов и практическими знаниями в работе программы. 

Для получения более подробной информации о наших преподавателях свяжитесь с нами по тел. (343) 227-30-37, по эл.почте edu@unit-edu.ru или в нашем Online-чате.