Certifikační Autorita v AD

Role:

• AD Certificate Services
• web enrollment
• Online responder (alternativa k revocation listu)

Cert. templates

• druhy certifikátů, které dokáže vygenerovat
• Manage, Duplicate stávající šablony a edit…
• zál. Security - o tento cert může požádat jen user s právem Read a Enroll (přidává se účet počítače pro server)
• šablona cert se musí přidat do Certificate Templates (rigtclick - new - issue…)

Příklad vystavení pro IIS:

• IIS - Server certificates - Create Domain Cert. (CN musí být skutečné jméno nebo IP)

Příklad man. žádosti:

• certmgr.msc (pro current usera)
• certlm.msc (pro lokální pc)
• nebo mmc, add snap-in, certificates, pc/user rigtclick na personal - request new certificate - vybrat šablonu

Uživatelské certifikáty:

• žádá přes mmc, Certificates, user certificates
• nebo přes web: https://<nazev-serveru-CA>/CertSrv (cestu lze najit v IIS na CA serveru)
• Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, který je na prvním DC serveru)
• Data recovery key by se měl uložit do trezoru a z DC serveru smazat.
• je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů.
• konzistenci cert na více PC zajistí jen roaming profil

Key recovery:

• nová šablona v CA pro Key Recovery agenta
• Issurance Requirments, odškrtnout CA cert. manager approval
• Enterprise admins a domain admins - kontrola práv
• přidat šablonu do Templates
• user (administrator) požádat o certifikát typu Key Recovery agent

• V CA povolit aby z klientů stahovala priv. klíče
• Rclick na CA - Recovery Agents - Archive the key - add certificate (ten nas recovery)

• Vygenerovat další template z User certificate (duplikovat User)
• Request Handling - zaškrtnout Archive subj.reqhandling private key
• aktivovat šablonu, nast. oprávnění pro uživatele

• uživatel po tom co zažádá o certifikát, tak se jeho priv. klíč uloží do CA

Obnova klíče z CA:

• na CAutoritě si okopíruji serial number certifikátu uživatele

CMD

certutil -getkey “<serial number>” souborsklicem
certutil -recoverkey souborsklicem klic.pfx

Enter password:
Retry pasword:

pfx naimportuji uživatelovi…

CA v praxi:

• např. vícevrstvé uspořádání (Root CA, Policy CA, Issuing CA)
• Co pobočka to cert. autorita
• Při instalaci Standalone (workgroup, jen web) / Enterprise (doména, web i mmc)
• Rclick na CA → backup CA

Instalace CA (jednovrstvá):

• přidat roli AD Cert. services (+web enrollment, když chci)
• Root CA
• Create new private key (use existing, když přenásím CA na jiný server)
• Klíč by měl být co nejsilnější např. 4096bit a platnost na co nejdelší dobu
• CA nemůže vystavovat cert. na delší dobu než je platnost CA

TPM / čipová karta

• Priv klíč z karty nejde nikdy přečíst, jen zapsat…
• karta je navíc chráněná pinem, po několika neúspěšných zadáních se karta zablokuje (přepálí se uvnitř nějaký spoj)
• TPM = čipová karta připájená na desce pc.- soubor se dešifruje tak, že se odešle do karty a ta jej dešifruje pomocí svého cpu (různé rychlost karet apod.)

AD Right management services

• role na serveru
• umožňuje uživatelům např ve vordu nastavit Protect file, soubor se zašifruje, klíče se během šifrování uloží na server
• mohu říct, který jiný uživatel může soubor otevřít.
• dále je možno použít v outlooku na do not forward - mail pak nejde přeposlat… apod.