User Tools

Site Tools


wiki:os:microsoft:cavad

Certifikační Autorita v AD

Role:

  • AD Certificate Services
  • web enrollment
  • Online responder (alternativa k revocation listu)

Cert. templates

  • druhy certifikátů, které dokáže vygenerovat
  • Manage, Duplicate stávající šablony a edit…
  • zál. Security - o tento cert může požádat jen user s právem Read a Enroll (přidává se účet počítače pro server)
  • šablona cert se musí přidat do Certificate Templates (rigtclick - new - issue…)

Příklad vystavení pro IIS:

  • IIS - Server certificates - Create Domain Cert. (CN musí být skutečné jméno nebo IP)

Příklad man. žádosti:

  • certmgr.msc (pro current usera)
  • certlm.msc (pro lokální pc)
  • nebo mmc, add snap-in, certificates, pc/user rigtclick na personal - request new certificate - vybrat šablonu

Uživatelské certifikáty:

  • žádá přes mmc, Certificates, user certificates
  • nebo přes web: https://<nazev-serveru-CA>/CertSrv (cestu lze najit v IIS na CA serveru)
  • Při zašifrování souboru, je možné jej dešifrovat jen priv. klíčem uživatele nebo recovery klíčem (priv.klíč administrátora, který je na prvním DC serveru)
  • Data recovery key by se měl uložit do trezoru a z DC serveru smazat.
  • je možnost ještě priv. klíče uživatelů ukládat v CA, pro případ ztráty klíčů a násl. obnovy zašifrovaných souborů.
  • konzistenci cert na více PC zajistí jen roaming profil

Key recovery:

  • nová šablona v CA pro Key Recovery agenta
  • Issurance Requirments, odškrtnout CA cert. manager approval
  • Enterprise admins a domain admins - kontrola práv
  • přidat šablonu do Templates
  • user (administrator) požádat o certifikát typu Key Recovery agent
  • V CA povolit aby z klientů stahovala priv. klíče
  • Rclick na CA - Recovery Agents - Archive the key - add certificate (ten nas recovery)
  • Vygenerovat další template z User certificate (duplikovat User)
  • Request Handling - zaškrtnout Archive subj.reqhandling private key
  • aktivovat šablonu, nast. oprávnění pro uživatele
  • uživatel po tom co zažádá o certifikát, tak se jeho priv. klíč uloží do CA

Obnova klíče z CA:

  • na CAutoritě si okopíruji serial number certifikátu uživatele

CMD

certutil -getkey “<serial number>” souborsklicem
certutil -recoverkey souborsklicem klic.pfx

Enter password:
Retry pasword:

pfx naimportuji uživatelovi…

CA v praxi:

  • např. vícevrstvé uspořádání (Root CA, Policy CA, Issuing CA)
  • Co pobočka to cert. autorita
  • Při instalaci Standalone (workgroup, jen web) / Enterprise (doména, web i mmc)
  • Rclick na CA → backup CA

Instalace CA (jednovrstvá):

  • přidat roli AD Cert. services (+web enrollment, když chci)
  • Root CA
  • Create new private key (use existing, když přenásím CA na jiný server)
  • Klíč by měl být co nejsilnější např. 4096bit a platnost na co nejdelší dobu
  • CA nemůže vystavovat cert. na delší dobu než je platnost CA

TPM / čipová karta

  • Priv klíč z karty nejde nikdy přečíst, jen zapsat…
  • karta je navíc chráněná pinem, po několika neúspěšných zadáních se karta zablokuje (přepálí se uvnitř nějaký spoj)
  • TPM = čipová karta připájená na desce pc.- soubor se dešifruje tak, že se odešle do karty a ta jej dešifruje pomocí svého cpu (různé rychlost karet apod.)

AD Right management services

  • role na serveru
  • umožňuje uživatelům např ve vordu nastavit Protect file, soubor se zašifruje, klíče se během šifrování uloží na server
  • mohu říct, který jiný uživatel může soubor otevřít.
  • dále je možno použít v outlooku na do not forward - mail pak nejde přeposlat… apod.
wiki/os/microsoft/cavad.txt · Last modified: 2018/01/22 13:41 by root