Microsoft Publikus Kulcsú Infrastruktúra

Bár hivatalos Microsoft tanfolyam nem létezik a témából, de mi úgy gondoltuk, hogy hasznos lenne egy olyan tréning, ami az alapoktól kezdődően elmagyarázza a Microsoft nyilvános kulcsú infrastruktúra működését, a rendszerben lévő elemek közötti összefüggéseket, a technológia helyes bevezetését és üzemeltetését. Persze mindezt a legfrissebb Windows Server operációs rendszerbe épített Active Directory Certificate Services szolgáltatással megvalósítva, illetve a PKI-t támogató alkalmazások közül is az aktuális verziókkal tesztelve. A tanfolyamban természetesen kitérünk a korábbi és a jelenlegi CA szerverszerep közötti különbségek összehasonlítására, a migrációs lehetőségekre és az új funkciók bemutatására is.

A tanfolyam célja, hogy a résztvevők képesek legyenek az ügyfél igények alapján a megfelelően kiválasztott és megtervezett PKI rendszer felépítésére és üzemeltetésére vagy akár a meglévő Windows Server alapon működő CA infrastruktúra frissítésére.

A tréningünket azok számára ajánljuk, akik szeretnék elsajátítani a Windows Server alapú PKI rendszerek működéséhez, bevezetéséhez és üzemeltetéséhez szükséges ismereteket.

 Windows Server alapú infrastruktúra üzemeltetésében szerzett jártasság.

•  A nyilvános kulcsú infrastruktúra bemutatása 
  • A technológia gyakorlati megvalósításai
  • Kriptográfiai alapok: szimmetrikus és asszimetrikus titkosítás, digitális aláírás, adat és adatfolyam titkosítása, protokollok, hitelesítési megoldások, a hash-elési eljárás
  • Kerberos és a Smart Card együttműködése
  • Kerberos alapú hitelesítési folyamat működése (TGT és ST kiállítási folyamatának és tartalmi elemeinek vizsgálata)
• A PKI rendszer komponensei
  • Tanúsítványok és tanúsítvány kiállítók, láncolatok
  • Visszavonási listák
  • A bizalmi viszony fontossága
• Hitelesítés szolgáltató architektúra tervezése
  • A CA hierarchia tervezési szempontrendszere
  • Mi kell egy jó CA rendszertervhez?
  • CA telepítési típusok
  • Hardver és szoftver követelmények
  • Házirendek: Security Policy, Certificate Policy, Certificate Practice Statement
• Windows Server 2019/2022 - Active Directory Certificate Services szerepkör telepítése
  • Windows Server 2019/2022 AD CS szerepkör legfontosabb újdonságainak összefoglalása
  • Active Directory környezet előkészítése, séma frissítése
  • Megfelelő CA architektúra kiválasztása
  • CAPolicy.inf állomány elkészítése
  • Telepítés menete
  • Telepítés utáni teendők
  • Telepítés ellenőrzése
  • Naplózási beállítások
• A meglévő PKI rendszer frissítése 
  • Támogatott útirányok
  • A környezet előkészítése
  • A meglévő rendszer frissítése
  • SHA1 alapú RootCA certificate cseréje SHA 256-ra
• Adminisztrációs eszközkészlet
  • PKI Health Tool
  • Certutil parancssori eszköz bemutatása
  • A kialakított rendszer felügyelete (CAMonitor.vbs, SCOM)
• Védjük rendszerünket!          
  • Fizikai- és logikai biztonsági kérdések
  • CA kiszolgáló privát kulcsának védelme
  • CA adminisztrációs jogok és a jogok szeparálása (Role Separation)
  • HSM modulok bemutatása
• Tanúsítványok visszavonása  
  • Miért vonjuk vissza a tanúsítványokat?
  • A visszavonás adminisztrációja
  • Visszavonási listák publikációs lehetőségei és hibakezelése
  • Online Certificate Status Protocol működése
  • A visszavonási listák tervezési szempontrendszere
• Tanúsítvány érvényességi vizsgálat   
  • Az ellenőrzés folyamata
  • Tanúsítvány láncolat felépítése és az egyezés típusai
  • A kibocsátott tanúsítványok publikációs pontjai
  • Az ellenőrzési folyamat hibajavítása  CAPI Diagnostics
• Tanúsítványsablonok   
  • Tanúsítvány sablon verziók összehasonlítása (v1,v2,v3,v4)
  • Az alapértelmezett sablonok ismertetése
  • Speciális funkcionalitású sablonok
  • Jogosultságok megfelelő beállítása
  • Tervezési szempontrendszer és a biztonsági kockázatok
• Készüljünk fel a katasztrófahelyzetekre!    
  • A dokumentáció fontossága
  • Mit és hogyan mentsünk?
  • Központi kulcsarchiválás konfigurációja
  • A mentés folyamata
  • A PKI rendszer visszaállítása
  • Archivált privát kulcsok visszaállítása
• Tanúsítvány kibocsátás lehetőségei     
  • Automatikus vagy manuális jóváhagyás?
  • Sablonok beélesítése
  • Tanúsítványok webes adminisztrációja
  • Igénylés a Certificate Enrollment Wizard segítségével
  • Automatikus jóváhagyás beállítása
  • Script alapú tanúsítvány igénylés
• Cégek közötti PKI rendszer megvalósítása  
  • A bizalmi viszony kiépítésének lehetőségei
  • Kereszttanúsítványok konfigurációja
  • Partner cég CA szerverének befogadása
• SSL/TLS - az internetes forgalom védésére
  • Az SSL és a TLS működése
  • A megfelelő CA szerver kiválasztása
  • Hová kell tanúsítvány?
  • A védett web kiszolgáló konfigurálása
  • Felhasználók tanúsítvány alapú hitelesítése
• Encrypting File System/Key and Data Recovery Agent
  • EFS működési lélektana
  • Lokális és távoli állományok titkosítása
  • Adat- és kulcsvisszaállítás konfigurációs folyamata
  • EFS központi szabályozása
  • W10 újdonságok az EFS kezelésében
• Smart card használat bevezetése       
  • Emlékeztető - Kerberos és Smart Card együttműködése
  • Smart Card tervezési szempontrendszere
  • Tanúsítványok igénylése és kibocsátása Smart Card alapon
  • Házirend beállítások
  • Néhány bevezetési jó tanács
• Tanúsítványok az RDS infrastruktúrához
  • RDS infrastruktúra szerepkörök tanúsítvány érintettsége
  • RDGW tanúsítvány konfigurációja
  • RDSH szerepkörhöz automatikus tanúsítvány kiállítása GPO-ból
• IPSec a belső hálózatban
  • IPSec felépítése, protokoll komponensei, működési modell
  • Vállalati adatvagyon védelme az IPSec-el
  • IPSec és a tanúsítványok összekapcsolódása
  • Hibakeresés és hibajavítás
• Virtuális privát hálózat
  • VPN és a tanúsítványok együttműködése
  • PPTP, L2TP/IPSec, SSTP és az IPSec működése
  • Always On transparens VPN bemutatása
  • A megfelelő tanúsítvány kiválasztása
  • NPS kiszolgáló beállítása