Keeping your business safe from attack-encryption and certificate services.pdf
(
2447 KB
)
Pobierz
Aelita.Exchange.01_
Keeping Your Business
SAFE from Attack:
Encryption
and Certicate
Services
By Jan De Clercq
Keeping Your Business
SAFE from Attack:
Encryption
and Certicate
Services
By Jan De Clercq
i
Contents
Chapter 1 Introducing PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
What Is a Public Key Infrastructure? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Cryptographic Roots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Cryptographic Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Symmetric vs. Asymmetric Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Symmetric Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Asymmetric Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Comparing Symmetric and Asymmetric Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . 5
Hash Functions and Digital Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Hybrid Cryptographic Solutions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Certification Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Registration Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Directories . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
The Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
The Certificate Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
The Certificate Practice Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
PKI Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
A Short History of Windows PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Why Use Microsoft PKI Software? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Key Things to Remember When Designing a PKI . . . . . . . . . . . . . . . . . . . . . . . . 17
ii
Contents
Chapter 2 Windows PKI Components . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Certificate Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Certificate Server Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
CA Installation Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
Registration Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
CryptoAPI and Cryptographic Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . 27
CryptoAPI Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Cryptographic Service Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Certificate Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
Certificate Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
Private Key Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
Software-Based Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
Hardware-Based Storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
iii
Contents
Chapter 3 Trust in Windows PKI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
PKI Is All About Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
A Trust Taxonomy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
PKI Trust Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
PKI Trust Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Why Multiple CAs? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Hierarchical Trust Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Networked Trust Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Hybrid Trust Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Constrained Trust Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
Which Trust Model for Which Environment? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
User PKI Trust Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
User-Centric PKI Trust Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Centralized User PKI Trust Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
CA Trust Definition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Defining Hierarchical Trust Relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Defining Cross-Certified Trust Relationships . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
A Basic Cross-Certification Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
Defining Trust Constraints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Trust Is Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
iv
Contents
Chapter 4 The Certificate Lifecycle Part 1:
Enrollment and Key Archival and Recovery . . . . . . . . . . . . . . . . . . . . . . . 62
Overview of the Certificate Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
Certificate Enrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Certificate Autoenrollment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Setting Up Machine Autoenrollment for Windows 2000 PKI Clients . . . . . . . . . . . 64
Setting Up Machine and User Autoenrollment for Windows XP PKI Clients . . . . . 65
Forcing Automatic Enrollment and Renewal . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Advanced Autoenrollment Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Certificate-Manager Approval . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
The Self RA Feature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
Superseding Certificate Templates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
“Do Not Automatically Reenroll” Property . . . . . . . . . . . . . . . . . . . . . . . . . . 73
How Autoenrollment Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Enrollment Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Web-Based Enrollment Interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Scripted Enrollment Options for Custom Enrollment Interfaces . . . . . . . . . . . . . . 78
Key Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Certificate-Request Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Requestor Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Certificate Generation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Certificate Publication and Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Key Achival and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Manual Key Archival and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Automatic Key Archival and Recovery Architecture . . . . . . . . . . . . . . . . . . . . . . . . . 84
Configuring Automatic Key Archival and Recovery . . . . . . . . . . . . . . . . . . . . . . . . . 87
Key Recovery from the CA Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
Plik z chomika:
mikroprocesory
Inne pliki z tego folderu:
windows power tools - winternals.pdf
(488 KB)
windows 2003 - Active directory administration essentials.pdf
(3169 KB)
widnows - disaster and recovery backup.pdf
(708 KB)
Tools for Managing AD.xps
(243 KB)
Terminal services deployment.xps
(438 KB)
Inne foldery tego chomika:
- ! ▣ WINDOWS 7 PL [32 BIT]
• HTML - JAVA - PHP
• Pierwsze kroki w cyfrówce
• Szkoła konstruktorów
Acronis Partition Expert. PL
Zgłoś jeśli
naruszono regulamin