wiki:os:microsoft:cavad
Differences
This shows you the differences between two versions of the page.
| Next revision | Previous revision | ||
|
wiki:os:microsoft:cavad [2018/01/22 13:31] root vytvořeno |
wiki:os:microsoft:cavad [2018/01/22 13:41] (current) root |
||
|---|---|---|---|
| Line 21: | Line 21: | ||
| **Uživatelské certifikáty: | **Uživatelské certifikáty: | ||
| * žádá přes mmc, Certificates, | * žádá přes mmc, Certificates, | ||
| - | * nebo přes web: https://< | + | * nebo přes web: https:%%//%%< |
| * Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, | * Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, | ||
| * Data recovery key by se měl uložit do trezoru a z DC serveru smazat. | * Data recovery key by se měl uložit do trezoru a z DC serveru smazat. | ||
| * je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů. | * je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů. | ||
| * konzistenci cert na více PC zajistí jen roaming profil | * konzistenci cert na více PC zajistí jen roaming profil | ||
| + | |||
| + | **Key recovery:** | ||
| + | * nová šablona v CA pro Key Recovery agenta | ||
| + | * Issurance Requirments, | ||
| + | * Enterprise admins a domain admins - kontrola práv | ||
| + | * přidat šablonu do Templates | ||
| + | * user (administrator) požádat o certifikát typu Key Recovery agent | ||
| + | |||
| + | * V CA povolit aby z klientů stahovala priv. klíče | ||
| + | * Rclick na CA - Recovery Agents - Archive the key - add certificate (ten nas recovery) | ||
| + | |||
| + | * Vygenerovat další template z User certificate (duplikovat User) | ||
| + | * Request Handling - zaškrtnout Archive subj.reqhandling private key | ||
| + | * aktivovat šablonu, nast. oprávnění pro uživatele | ||
| + | |||
| + | * uživatel po tom co zažádá o certifikát, | ||
| + | |||
| + | **Obnova klíče z CA:** | ||
| + | * na CAutoritě si okopíruji serial number certifikátu uživatele | ||
| + | CMD | ||
| + | < | ||
| + | certutil -getkey “< | ||
| + | certutil -recoverkey souborsklicem klic.pfx | ||
| + | |||
| + | Enter password: | ||
| + | Retry pasword: | ||
| + | </ | ||
| + | |||
| + | pfx naimportuji uživatelovi... | ||
| + | |||
| + | **CA v praxi:** | ||
| + | * např. vícevrstvé uspořádání (Root CA, Policy CA, Issuing CA) | ||
| + | * Co pobočka to cert. autorita | ||
| + | * Při instalaci Standalone (workgroup, jen web) / Enterprise (doména, web i mmc) | ||
| + | * Rclick na CA -> backup CA | ||
| + | |||
| + | **Instalace CA (jednovrstvá): | ||
| + | * přidat roli AD Cert. services (+web enrollment, když chci) | ||
| + | * Root CA | ||
| + | * Create new private key (use existing, když přenásím CA na jiný server) | ||
| + | * Klíč by měl být co nejsilnější např. 4096bit a platnost na co nejdelší dobu | ||
| + | * CA nemůže vystavovat cert. na delší dobu než je platnost CA | ||
| + | |||
| + | **TPM / čipová karta** | ||
| + | * Priv klíč z karty nejde nikdy přečíst, jen zapsat… | ||
| + | * karta je navíc chráněná pinem, po několika neúspěšných zadáních se karta zablokuje (přepálí se uvnitř nějaký spoj) | ||
| + | * TPM = čipová karta připájená na desce pc.- soubor se dešifruje tak, že se odešle do karty a ta jej dešifruje pomocí svého cpu (různé rychlost karet apod.) | ||
| + | |||
| + | **AD Right management services** | ||
| + | * role na serveru | ||
| + | * umožňuje uživatelům např ve vordu nastavit Protect file, soubor se zašifruje, klíče se během šifrování uloží na server | ||
| + | * mohu říct, který jiný uživatel může soubor otevřít. | ||
| + | * dále je možno použít v outlooku na do not forward - mail pak nejde přeposlat… apod. | ||
| + | |||
wiki/os/microsoft/cavad.1516624269.txt.gz · Last modified: 2018/01/22 13:31 by root
Page Tools
