Аннотация
Этот курс предоставляет знания и навыки по проектированию, развертыванию и управлению инфраструктурой открытого ключа (PKI) для поддержки приложений, которым требуется распределенная безопасность.
Этот курс предоставляет знания и навыки по проектированию, развертыванию и управлению инфраструктурой открытого ключа (PKI) для поддержки приложений, которым требуется распределенная безопасность.
Слушатели приобретают практические навыки применения решений для обеспечения защиты PKI-enabled приложений и служб, а также сервисов удаленного доступа.
Аудитория
Курс ориентирован на системных инженеров, которые отвечают за проектирование и применение решений по безопасности.
Предварительная подготовка
- Знания и навыки системного администрирования базовых ОС.
Аудитория
Курс ориентирован на системных инженеров, которые отвечают за проектирование и применение решений по безопасности.
Предварительная подготовка
- Знания и навыки системного администрирования базовых ОС.
- Знакомство с инфраструктурой Active Directory.
- Понимание основных процессов ИБ, включая подсистемы идентификации, аутентификации и авторизации.
- Понимание основных характеристик защищенности информации.
- Знание основ криптографии или рекомендуется прослушать курс Crypto. Основы криптографии
По окончании курса слушатели смогут:
- Выполнять задачи по управлению сертификатами, Certification Authority , и планировать процесс восстановления Certificate Services - Создавать и публиковать шаблоны сертификатов и заменять существующие шаблоны сертификатов
- Выдавать сертификаты вручную, автоматически и выдавать smart card сертификаты
- Внедрять ручное и автоматическое архивирование ключей, а также восстановление ключей PKI в Windows Server
- Выполнять доверия между организациями, применяя конфигурирование и внедрение доверенных Certification Authority
- Обеспечивать безопасность Web, применяя SSL и основанную на сертификатах аутентификацию Web-приложений
Программа
1. Развёртывание PKI
- Создание иерархии - создаём Offline Root CA.
- Файл CAPolicy.inf, настройки standalone CA (длина ключа, публикация CRL, срок годности, CDP и AIA), удаление лишнего из сертификата Root CA.
- Свои OIDы для CPS.
- Как сертификаты проверяются на соответствие критариям - time validity, формат, заполнение полей, подпись, отзыв, chained-to-root, критические расширения, policy validation.
- Причины отзыва - штатные и форсированные.
- Определение точек публикации CRL и интервала публикации. Обычные и delta CRL.
- Настройка OCSP.
- Поднимаем subordinate CA, интегрированный в Active Directory.
- Проверяем ключевые параметры через PKI Health Tool.
2. Управление PKI в организации
- Группы в Active Directory, связанные с PKI.
- Объекты AD Schema и контейнер настроек PKI в разделе Enterprise Configuration.
- RBAC. Администраторы CA, менеджеры сертификатов, операторы резервного копирования, операторы работы с ключевой информацией.
- Ограничения применения ролей (менеджмент сертификатов только указанных групп пользователей в AD).
- Обновление сертификата CA.
- Обновление только ключевой пары.
- Резервное копирование компонентов CA и криптографической информации. Disaster recovery.
3. Шаблоны сертификатов
- Шаблоны сертификатов. Версии - от 1й до 4й+.
- Обычные и критические расширения.
- Хранение шаблонов сертификатов.
- Шаблоны по умолчанию.
- Наследование и перекрытие шаблонов.
- Шаблоны single function и multiple functions-типов.
- Обновление существующих сертификатов при обновлении шаблона.
- Типы применения - authentication, encryption, key recovery, nonrepudiation protection.
- Методы выдачи - ручная, autoenrollment, automatic certificate request.
- Инструментарий - веб-интерфейс CA, консоль MMC, утилита certreq, запрос через Group Policy, посредник Enrollment agent.
- Формирование SN / SAN - сборка из информации в Active Directory или ручное. - Политики применения - Application policies и сертификатов - Certificate policies.
- Ручное одобрение запросов на сертификаты и автоматическое.
- Подписанные по PKCS #10 запросы.
- Детальный разбор всех параметров шаблонов сертификата.
4. Депонирование ключевой информации клиентов
- Data Recovery и Key Recovery.
- Архивирование ключей. Защита архива ключей.
- Сертификаты KRA. Ручное депонирование ключа.
- Автоматическая архивация закрытого ключа выдаваемого сертификата.
- Защита доступа к архиву ключей и требование минимум 2 KRA для восстановления ключа. - Рассматриваем применение на примере EFS.
5. Продвинутые PKI-возможности
- Qualified Subordination.
- Создание Certificate Trust List.
- Кросс-сертификация CA. Понятие Bridge CA.
- Ограничения на CA и длину пути. Basic Constraints, Name Constraints. - Как сделать Extended Validation - чтобы-была-зелёная-строчка-в-браузере.