====== Certifikační Autorita v AD ====== Role: * AD Certificate Services * web enrollment * Online responder (alternativa k revocation listu) Cert. templates * druhy certifikátů, které dokáže vygenerovat * Manage, Duplicate stávající šablony a edit… * zál. Security - o tento cert může požádat jen user s právem Read a Enroll (přidává se účet počítače pro server) * šablona cert se musí přidat do Certificate Templates (rigtclick - new - issue...) **Příklad vystavení pro IIS:** * IIS - Server certificates - Create Domain Cert. (CN musí být skutečné jméno nebo IP) **Příklad man. žádosti:** * certmgr.msc (pro current usera) * certlm.msc (pro lokální pc) * nebo mmc, add snap-in, certificates, pc/user rigtclick na personal - request new certificate - vybrat šablonu **Uživatelské certifikáty:** * žádá přes mmc, Certificates, user certificates * nebo přes web: https:%%//%%/CertSrv (cestu lze najit v IIS na CA serveru) * Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, který je na prvním DC serveru) * Data recovery key by se měl uložit do trezoru a z DC serveru smazat. * je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů. * konzistenci cert na více PC zajistí jen roaming profil **Key recovery:** * nová šablona v CA pro Key Recovery agenta * Issurance Requirments, odškrtnout CA cert. manager approval * Enterprise admins a domain admins - kontrola práv * přidat šablonu do Templates * user (administrator) požádat o certifikát typu Key Recovery agent * V CA povolit aby z klientů stahovala priv. klíče * Rclick na CA - Recovery Agents - Archive the key - add certificate (ten nas recovery) * Vygenerovat další template z User certificate (duplikovat User) * Request Handling - zaškrtnout Archive subj.reqhandling private key * aktivovat šablonu, nast. oprávnění pro uživatele * uživatel po tom co zažádá o certifikát, tak se jeho priv. klíč uloží do CA **Obnova klíče z CA:** * na CAutoritě si okopíruji serial number certifikátu uživatele CMD certutil -getkey “” souborsklicem certutil -recoverkey souborsklicem klic.pfx Enter password: Retry pasword: pfx naimportuji uživatelovi... **CA v praxi:** * např. vícevrstvé uspořádání (Root CA, Policy CA, Issuing CA) * Co pobočka to cert. autorita * Při instalaci Standalone (workgroup, jen web) / Enterprise (doména, web i mmc) * Rclick na CA -> backup CA **Instalace CA (jednovrstvá):** * přidat roli AD Cert. services (+web enrollment, když chci) * Root CA * Create new private key (use existing, když přenásím CA na jiný server) * Klíč by měl být co nejsilnější např. 4096bit a platnost na co nejdelší dobu * CA nemůže vystavovat cert. na delší dobu než je platnost CA **TPM / čipová karta** * Priv klíč z karty nejde nikdy přečíst, jen zapsat… * karta je navíc chráněná pinem, po několika neúspěšných zadáních se karta zablokuje (přepálí se uvnitř nějaký spoj) * TPM = čipová karta připájená na desce pc.- soubor se dešifruje tak, že se odešle do karty a ta jej dešifruje pomocí svého cpu (různé rychlost karet apod.) **AD Right management services** * role na serveru * umožňuje uživatelům např ve vordu nastavit Protect file, soubor se zašifruje, klíče se během šifrování uloží na server * mohu říct, který jiný uživatel může soubor otevřít. * dále je možno použít v outlooku na do not forward - mail pak nejde přeposlat… apod.