Windows Server 2008 - PKI- und Zertifikatsicherheit: [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk]
Gespeichert in:
| 1. Verfasser: | |
|---|---|
| Format: | Buch |
| Sprache: | German |
| Veröffentlicht: |
Unterschleißheim
Microsoft
2008
|
| Schlagworte: | |
| Online-Zugang: | Inhaltstext Inhaltsverzeichnis |
| Beschreibung: | 758 S. Ill., graph. Darst. 240 mm x 180 mm 1 CD-ROM (12 cm) |
| ISBN: | 9783866456488 |
Internformat
MARC
| LEADER | 00000nam a2200000 c 4500 | ||
|---|---|---|---|
| 001 | BV035171387 | ||
| 003 | DE-604 | ||
| 005 | 20240829 | ||
| 007 | t | ||
| 008 | 081120s2008 gw ad|| |||| 00||| ger d | ||
| 015 | |a 08,N21,0038 |2 dnb | ||
| 016 | 7 | |a 98854699X |2 DE-101 | |
| 020 | |a 9783866456488 |c Gb. : sfr 94.90 (freier Pr.), EUR 59.00, EUR 61.20 (AT) |9 978-3-86645-648-8 | ||
| 024 | 3 | |a 9783866456488 | |
| 035 | |a (OCoLC)277043370 | ||
| 035 | |a (DE-599)DNB98854699X | ||
| 040 | |a DE-604 |b ger |e rakddb | ||
| 041 | 0 | |a ger | |
| 044 | |a gw |c XA-DE-BY | ||
| 049 | |a DE-12 |a DE-91G |a DE-1051 |a DE-1049 |a DE-473 | ||
| 082 | 0 | |a 005.446 |2 22/ger | |
| 084 | |a ST 281 |0 (DE-625)143646: |2 rvk | ||
| 084 | |a 004 |2 sdnb | ||
| 084 | |a DAT 254f |2 stub | ||
| 100 | 1 | |a Komar, Brian |e Verfasser |0 (DE-588)12020004X |4 aut | |
| 240 | 1 | 0 | |a Windows Server 2008 - PKI and Certificate Security |
| 245 | 1 | 0 | |a Windows Server 2008 - PKI- und Zertifikatsicherheit |b [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |c Brian Komar |
| 264 | 1 | |a Unterschleißheim |b Microsoft |c 2008 | |
| 300 | |a 758 S. |b Ill., graph. Darst. |c 240 mm x 180 mm |e 1 CD-ROM (12 cm) | ||
| 336 | |b txt |2 rdacontent | ||
| 337 | |b n |2 rdamedia | ||
| 338 | |b nc |2 rdacarrier | ||
| 650 | 0 | 7 | |a Public-Key-Infrastruktur |0 (DE-588)4671762-6 |2 gnd |9 rswk-swf |
| 650 | 0 | 7 | |a Windows Server 2008 |0 (DE-588)7569644-7 |2 gnd |9 rswk-swf |
| 689 | 0 | 0 | |a Public-Key-Infrastruktur |0 (DE-588)4671762-6 |D s |
| 689 | 0 | 1 | |a Windows Server 2008 |0 (DE-588)7569644-7 |D s |
| 689 | 0 | |5 DE-604 | |
| 856 | 4 | 2 | |q text/html |u http://deposit.dnb.de/cgi-bin/dokserv?id=3100395&prov=M&dok_var=1&dok_ext=htm |3 Inhaltstext |
| 856 | 4 | 2 | |m HBZ Datenaustausch |q application/pdf |u http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016978314&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA |3 Inhaltsverzeichnis |
| 943 | 1 | |a oai:aleph.bib-bvb.de:BVB01-016978314 | |
Datensatz im Suchindex
| DE-BY-FWS_katkey | 369960 |
|---|---|
| _version_ | 1808776056236146688 |
| adam_text |
Inhaltsverzeichnis
Danksagungen. 19
Vorwort. 21
Einführung. 23
Über das Buch . 23
Die Begleit-CD. 24
Systemvoraussetzungen. 24
i PKI-Grundlagen . 27
1 Grundlagen der Kryptografie. 29
Verschlüsselungsarten. 30
Algorithmen und Schlüssel. 30
Datenverschlüsselung. 31
Symmetrische Verschlüsselung . 31
Asymmetrische Verschlüsselung . 33
Asymmetrische Signatur. 34
Kombination von symmetrischer und asymmetrischer Verschlüsselung. 35
Digitale Signatur von Daten. 37
Der Hashvorgang . 37
Hashalgorithmen . 37
Kombination von asymmetrischer Signatur und Hashalgorithmen. 38
Cryptography Next Generation (CNG) . 39
Eigenschaften von CNG . 39
Unterstützte Algorithmen . 42
Unterstützte Clients und Anwendungen. 42
Fallstudie: Microsoft-Anwendungen und ihre Verschlüsselungsalgorithmen . 43
Öffnen des EFS-Whitepapers. 43
Fragen zur Fallstudie. 44
Weitere Informationen . 44
2 Einführung in PKI. 47
Zertifikate . 48
X.509 Version 1. 49
X.509 Version 2. 50
X.509 Version 3. 52
Zertifizierungsstellen . 55
Stammzertifizierungsstelle. 57
Zwischenzertifizierungsstelle. 58
Richtlinienzertifizierungsstelle. 58
Ausstellende Zertifizierungsstelle. 59
innaitsverzeichnis
Zertifikatsperrlisten . 59
Sperrlistenarten . 60
Gründe für eine Zertifikatsperrung. 60
OCSP (Online Certificate Status Protocol). 61
OCSP-Client. 62
Online-Responder-Dienst. 62
Fallstudie: Untersuchung eines X.509-Zertifikats . 63
Öffnen der Zertifikatdatei. 63
Fragen zur Fallstudie. 63
Weitere Informationen . 64
Richtlinien und PKI. 65
Sicherheitsrichtlinie . 67
Definition effektiver Sicherheitsrichtlinien. 67
Unterlagen für die Entwicklung von Sicherheitsrichtlinien . 68
Auswirkungen von externen Richtlinien auf Ihre PKI. 68
Definition von PKI-bezogenen Sicherheitsrichtlinien. 70
Zertifikatrichtlinie . 71
Inhalt einer Zertifikatrichtlinie . 71
Zertifikatrichtlinienbeispiel. 72
Zertifikatverwendungserklärung (CPS) . 74
CPS-Abschnitt: Einführung. 75
CPS-Abschnitt: Verantwortlichkeit für Veröffentlichung und Speicherung. 76
CPS-Abschnitt: Identifikation und Authentifizierung. 76
CPS-Abschnitt: Anforderungen an die Vorgehensweisen. 76
CPS-Abschnitt: Kontrolle der Räumlichkeiten, Verwaltung und Arbeitsabläufe . 78
CPS-Abschnitt: Kontrolle der technischen Sicherheit . 79
CPS-Abschnitt: Zertifikate, Zertifikatsperrlisten und OCSP-Profile. 80
CPS-Abschnitt: Überwachung der Befolgung und andere Beurteilungen . 80
CPS-Abschnitt: Andere geschäftliche und rechtliche Aspekte. 80
Fallstudie: Entwurf der Richtliniendokumente. 81
Anforderungen an den Entwurf. 81
Fragen zur Fallstudie. 82
Weitere Informationen . 82
Einrichtung einer PKI. 83
Vorbereiten einer Active Directory-Umgebung. 85
Analyse der Active Directory-Umgebung. 86
Aktualisieren des Schemas. 87
Identifizieren des Schemabetriebsmasters. 87
Durchführen der Schema-Aktualisierung. 88
Ändern der Bereiche der Zertifikatherausgeber-Gruppen. 90
Bereitstellen von Windows Server 2008-Unternehmenszertifizierungsstellen in
Umgebungen ohne AD DS . 94
Inhaltsverzeichnis 7
Fallstudie: Vorbereiten der Active Directory-Domänendienste . 94
Netzwerkdetails . 96
Fragen zur Fallstudie. 96
Weitere Informationen . 97
5 Entwerfen einer Zertifizierungsstellenhierarchie. 99
Bestimmen der Anzahl der Schichten in einer Zertifizierungsstellenhierarchie. 100
Einschichtige Zertifizierungsstellenhierarchie. 100
Zweischichtige Zertifizierungsstellenhierarchie. 101
Dreischichtige Zertifizierungsstellenhierarchie. 102
Vierschichtige Zertifizierungsstellenhierarchie. 103
Organisation ausstellender Zertifizierungsstellen. 104
Auswahl einer Architektur. 107
Sammlung der erforderlichen Informationen. 107
Identifikation PKI-fähiger Anwendungen. 107
Bestimmung der Anforderungen an die Sicherheit . 109
Bestimmung der technischen Anforderungen. 111
Ermittlung der betrieblichen Anforderungen . 117
Ermitteln externer Anforderungen. 118
Sammeln der AD DS-Anforderungen. 120
Namenskonventionen. 120
Auswählen der Domänen für Zertifizierungsstellencomputerkonten . 121
Auswählen einer Organisationseinheitsstruktur . 121
Fallstudie: Ermitteln der Anforderungen . 122
Fragen zur Fallstudie. 123
Weitere Informationen . 124
6 Implementieren einer Zertifizierungsstellenhierarchie . 125
Zertifizierungsstellen-Konfigurationsdateien. 127
Die Datei CAPolicy.inf. 127
Vorinstallationsskripts. 136
Nachinstallationsskripts . 140
Implementieren einer dreischichtigen Zertifizierungsstellenhierarchie. 147
Einrichten einer Offline-Stammzertifizierungsstelle. 147
Einrichten einer Offline-Richtlinienzertifizierungsstelle. 151
Einrichten einer ausstellenden Onlinezertifizierungsstelle. 157
Einrichten einer Organisations-Stammzertifizierungsstelle. 165
Erstellen einer CAPolicy. /«/-Datei. 165
Installieren der Active Directory-Zertifikatdienste . 166
Nachinstallationskonfiguration . 168
Aktivieren der Überwachung. 168
Überprüfen der Installation. 170
Fallstudie: Einrichten einer PKI. 171
Fragen zur Fallstudie. 171
Weitere Informationen . 173
Inhaltsverzeichnis
7 Aktualisieren einer vorhandenen Microsoft-PKI . 175
Unterstützte Szenarien . 176
Welche Versionen lassen sich auf Windows Server 2008 aktualisieren?. 176
Wechseln von 32-Bit- auf 64-Bit-Systeme. 177
Durchführen der Aktualisierung. 180
Aktualisieren des Schemas. 180
Aktualisieren der Zertifikatvorlagen. 181
Durchführen der Aktualisierung . 181
Nacharbeiten nach der Aktualisierung. 182
Fallstudie: Aktualisieren einer vorhandenen PKI . 185
Fragen zur Fallstudie. 186
Weitere Informationen . 187
8 Überprüfen und Überwachen Ihrer Microsoft-PKI. 189
Überprüfen der Installation. 190
Unternehmens-PKI (PKI Health Tool). 190
Certutil. 196
Laufende Überwachung . 199
CAMonitor. vbs-Skript . 199
Microsoft Operations Manager Certificate Services Management Pack. 202
Fallstudie: Überprüfen einer PKI-Bereitstellung. 208
Einzelheiten der Zertifizierungsstellenhierarchie . 208
Fragen zur Überprüfung der Zertifizierungsstellenhierarchie . 208
Anforderungen an die Überwachung. 209
Fragen zur Überwachung . 209
Weitere Informationen . 210
9 Absichern einer Zertifizierungsstellenhierarchie. 211
Sicherheitsmaßnahmen in der Konfiguration der Zertifizierungsstellen. 212
Absichern der Hardware. 215
Sichern des privaten Schlüssels der Zertifizierungsstelle. 216
Speicherung privater Schlüssel im Speicher Lokaler Computer. 216
Speichern privater Schlüssel auf Smartcards. 217
Speicherung privater Schlüssel auf Hardwaresicherheitsmodulen. 218
Hardwaresicherheitsmodule . 219
Kategorien von Hardwaresicherheitsmodulen. 219
Verschiedene Einsatzweisen der Hardwaresicherheitsmodule . 220
Fallstudie: Planen einer HSM-Bereitstellung. 225
Szenario. 225
Fragen zur Fallstudie. 226
Weitere Informationen . 227
10 Sperrung von Zertifikaten. 229
Wann sperrt man Zertifikate? . 230
Gründe für eine Zertifikatsperrung . 230
Sperrrichtlinie. 231
Sperren eines Zertifikats. 232
Inhaltsverzeichnis 9
Methoden zur Identifizierung von gesperrten Zertifikaten . 233
Probleme mit Zertifikatsperrlisten. 234
Verzögerter Informationsfluss . 234
Zwischenspeichern von Zertifikatsperrlisten. 234
Unterstützung für Deltasperrlisten. 234
Online Certificate Status Protocol (OCSP). 235
Microsofts OCSP-Implementierung. 235
Bereitstellen des Microsoft Online-Responders. 239
Sichern einer hohen Verfügbarkeit des Online-Responders. 250
Fallstudie: Planung der Zertifikatsperrung. 252
Anforderungen an den Entwurf. 252
Fragen zur Fallstudie. 253
Weitere Informationen . 254
11 Überprüfen von Zertifikaten. 255
Der Ablauf der Überprüfung. 256
Gültigkeitsprüfungen . 257
Sperrungsüberprüfungsmethoden. 258
Ändern der Standardüberprüfung. 258
Aufstellen von Zertifikatketten . 260
Genaue Übereinstimmung. 261
Übereinstimmende Schlüssel. 262
Übereinstimmende Namen . 263
Veröffentlichen der PKI-Objekte. 264
Wahlen der Veröffentlichungsprotokolle. 264
Wahlen der Veröffentlichungspunkte. 265
Festlegen der Veröffentlichungsintervalle. 266
Beheben von Problemen bei der Überprüfung von Zertifikaten. 268
CAPI-Diagnose. 268
Fallstudie: Wählen der Veröffentlichungspunkte. 274
Anforderungen an den Entwurf. 274
Fragen zur Fallstudie. 275
Übung zur Problembehebung . 275
Weitere Informationen . 276
12 Entwerfen von Zertifikatvorlagen . 277
Zertifikatvorlagenversionen. 278
Version 1-Zertifikatvorlagen. 278
Version 2-Zertifikatvorlagen. 280
Version 3-Zertifikatvorlagen. 281
Registrieren von Zertifikaten, die mit Zertifikatvorlagen ausgestellt werden. 281
Standardzertifikatvorlagen . 282
Ändern von Zertifikatvorlagen . 283
Ändern der Berechtigungen für Version 1-Zertifikatvorlagen . 284
Bearbeiten von Version 2- und Version 3-Zertifikatvorlagen. 284
Fallstudie: Entwerfen von Zertifikatvorlagen . 297
Anforderungen. 297
Inhaltsverzeichnis
Fragen zur Fallstudie. 298
Empfehlungen für den Entwurf von Zertifikatvorlagen. 299
Weitere Informationen . 300
13 Rollentrennung . 301
Common Criteria-Rollen . 302
Common Criteria-Rollen und Sicherheitsstufen. 302
Die Windows-Implementierung der Common Criteria. 304
Zuweisen von Common Criteria-Rollen. 307
Beschränken der Aufgaben eines Zertifikatmanagers. 309
Durchsetzen der Common Criteria-Rollentrennung. 311
Andere PKI-Verwaltungsrollen. 312
Lokaler Administrator. 312
Organisations-Admins . 313
Zertifikatvorlagenmanager . 313
Registrierungs-Agent . 316
Schlüsselwiederherstellungs-Agent. 316
Fallstudie: Planen der PKI-Managementrollen. 317
Szenario. 317
Fragen zur Fallstudie. 318
Weitere Informationen . 319
14 Planen und Implementieren der Notfallwiederherstellung . 321
Entwickeln der erforderlichen Dokumentation. 322
Auswählen einer Sicherungsmethode. 324
Wer darf die Zertifikatdienste sichern?. 324
Systemstatussicherungen. 325
Windows Server-Sicherungen . 325
Manuelle Sicherungen. 325
Durchführen einer Systemstatussicherung. 326
Installieren der Windows Server-Sicherung . 326
Durchführen einer Systemstatussicherung. 327
Durchführen von Windows Server-Sicherungen. 327
Erstellen einer Windows Server-Sicherung nach Zeitplan . 327
Erstellen einer Windows Server-Einmalsicherung. 328
Durchführen manueller Sicherungen. 329
Manuelle Sicherung mit der Konsole Zertifizierungsstelle. 330
Certutil-Befehle . 330
Wiederherstellungsmethoden . 332
Ermitteln der Sicherungsversionen. 332
Wiederherstellen einer Systemstatussicherung . 333
Wiederherstellen einer Windows Server-Sicherung. 334
Wiederherstellen einer manuellen Sicherung . 335
Bewerten der Sicherungsmethoden. 337
Hardwareausfall. 338
Ausfall der Zertifikatdienste. 338
Ersetzen des Servers. 339
Inhaltsverzeichnis 11
Optionen zur Verbesserung der Verfügbarkeit . 339
CRL-Verlängerung . 340
HSM-Failover. 341
Zertifikatdiensteduster. 341
Fallstudie: Ersetzen der Serverhardware. 359
Szenario. 359
Fragen zur Fallstudie. 360
Weitere Informationen .,. 361
15 Ausstellen von Zertifikaten. 363
Zertifikatregistrierungsmethoden . 365
Auswählen einer Registrierungsmethode. 367
Auswählen unter den manuellen Registrierungsmethoden. 367
Auswählen unter den automatischen Registrierungsmethoden. 367
Veröffentlichen von Zertifikatvorlagen für die Registrierung. 368
Manuelle Registrierung. 370
Anfordern von Zertifikaten mit dem Zertifikatregistrierungs-Assistenten . 370
Anfordern von Zertifikaten mit der Webregistrierung. 373
Abfragen einer ausstehenden Zertifikatanforderung. 375
Übermittlung einer Zertifikatanforderung von Netzwerkgeräten und anderen Plattformen 376
Automatische Registrierung . 379
Einstellungen der automatischen Zertifikatanforderung . 379
Einstellung für die automatische Registrierung. 380
Registrieren mit Skripts. 382
Serverspeicherung von Anmeldeinformationen . 386
Was wird auf dem Server gespeichert? . 387
Wie ist die Serverspeicherung von Anmeldeinformationen in die Active Directory-
Domänendienste integriert?. 387
Voraussetzungen. 387
Gruppenrichtlinieneinstellungen. 388
Fallstudie: Auswählen einer Zertifikatanforderungsmethode. 389
Szenario. 389
Fragen zur Fallstudie. 391
Weitere Informationen . 391
16 Vertrauen zwischen Organisationen. 393
Vertrauenschaffende Maßnahmen. 394
Zertifikatvertrauenslisten . 395
Gemeinsame Stammzertifizierungsstellen. 396
Kreuzzertifizierung. 398
Brückenzertifizierungsstellen. 399
Namenseinschränkungen. 403
Basiseinschränkungen. 405
Anwendungsrichtlinien. 406
Zertifikatrichtlinien . 408
Empfehlungen. 410
innaltsverzeichnis
Implementieren der Kreuzzertifizierung mit Beschränkungen. 411
Erstellen der Datei Policy.inf. 413
Beschaffen eines Zertifizierungsstellenzertifikats von einem Partner . 413
Anfordern eines Kreuzzertifizierungsstellenzertifikats. 413
Veröffentlichen in den Active Directory-Domänendiensten. 414
Überprüfen der Kreuzzertifizierung. 415
Fallstudie: Zertifikaten aus anderen Gesamtstrukturen vertrauen . 415
Fragen zur Fallstudie. 417
Weitere Informationen . 417
in Bereitstellen anwendungsspezifischer Lösungen. 419
17 Zertifikatverwaltung mit Identity Lifecycle Manager 2007. 421
Schlüsselkonzepte. 422
Profilvorlagen. 422
CLM-Rollen. 423
Berechtigungen. 423
Orte für die Zuweisung von Berechtigungen. 424
CLM-Komponenten. 426
Planen einer ILM 2007 Certificate Management-Bereitstellung. 427
Verwaltungsrichtlinien . 427
Registrierungsmodelle. 429
Bereitstellen von ILM 2007 Certificate Management. 432
Installation des Servers. 432
Konfigurieren des Servers. 435
Installieren der Zertifizierungsstellenkomponenten . 442
Bereitstellen eines Codesignaturzertifikats. 445
Festlegen der Zertifikatvorlagenberechtigungen. 445
Erstellen einer Profilvorlage. 445
Ausfuhren der Verwaltungsrichtlinien. 451
Fallstudie: Contoso. 453
Vorgeschlagene Lösung. 454
Fragen zur Fallstudie. 455
Empfohlene Vorgehensweisen. 455
Weitere Informationen . 456
18 Archivieren von Verschlüsselungsschlüsseln. 457
Rollen bei der Schlüsselarchivierung . 459
Die Schlüsselarchivierung. 460
Die Schlüsselwiederherstellung. 462
Voraussetzungen für die Schlüsselarchivierung. 462
Definieren der Schlüsselwiederherstellungs-Agenten. 464
Aktivieren einer Zertifizierungsstelle für die Schlüsselarchivierung. 469
Aktivieren der Schlüsselarchivierung in einer Zertifikatvorlage. 471
Durchfuhren der Schlüsselwiederherstellung. 472
Durchfuhren der Schlüsselwiederherstellung mit Certutil. 472
Durchfuhren der Schlüsselwiederherstellung mit ILM 2007 Certificate Management . 474
Inhaltsverzeichnis 13
Fallstudie: Lucerne Publishing. 475
Szenario. 476
Fragen zur Fallstudie. 476
Empfohlene Vorgehensweisen. 477
Weitere Informationen . 478
19 Implementieren der SSL-Verschlüsselung für Webserver . 479
So funktioniert SSL. 480
Zertifikaterfordernisse für SSL. 482
Auswählen eines Webserverzertifikatanbieters. 483
Speicherorte für Webserverzertifikate . 484
Einzelne Webserver. 484
Webservercluster. 484
Durch ISA Server mit Server Publishing geschützte Webserver. 485
Durch ISA Server mit Web Publishing geschützte Webserver. 486
Wählen einer Zertifikatvorlage . 487
Ausstellen von Webserver-Zertifikaten. 487
Ausstellen von Wefrserver-Zertifikaten an Domänenmitglieder . 488
Ausstellen von Wefrserver-Zertifikaten an Websites, die nicht zur Gesamtstruktur
gehören . 493
Ausstellen von Wefrserver-Zertifikaten an Webserver von anderen Herstellern
und an Webbeschleuniger. 498
Authentifizierung mit Zertifikaten. 498
Definieren der Zertifikatzuordnungen. 499
Authentifizierung auf Zertifikatbasis in der Praxis . 500
Erstellen einer Zertifikatvorlage. 500
Definieren der Zuordnung in den Active Directory-Domänendiensten . 500
Aktivieren von Zertifikatzuordnungen unter Windows Server 2003. 502
Aktivieren von Zertifikatzuordnungen unter Windows Server 2008. 503
Aufnehmen einer Verbindung mit der Website. 505
Fallstudie: The Phone Company . 506
Szenario. 506
Fragen zur Fallstudie. 508
Empfohlene Vorgehensweisen. 508
Weitere Informationen . 509
20 Das verschlüsselnde Dateisystem. 511
EFS-Prozesse . 512
So wählt Windows ein EFS-Verschlüsselungszertifikat aus. 512
Lokale EFS-Verschlüsselung . 513
Remoteverschlüsselung. 514
EFS-Entschlüsselung. 516
EFS-Datenwiederherstellung. 517
Eine Anwendung, zwei Wiederherstellungsmethoden. 518
Datenwiederherstellung. 518
Schlüsselwiederherstellung . 521
innaitsverzeichnis
Implementieren von EFS. 521
Aktivieren und Deaktivieren von EFS. 522
Zertifikatvorlagen für die EFS-Verschlüsselung. 523
Zertifikatregistrierung. 525
Was gibt es Neues für die EFS-Verwaltung in Windows Vista?. 526
Fallstudie: Lucerne Publishing. 529
Szenario. 529
Planungsvorgaben. 530
Lösungsvorschlag. 531
Fragen zur Fallstudie. 532
Empfohlene Vorgehensweisen. 532
Weitere Informationen . 533
21 Bereitstellen von Smartcards . 535
Verwenden von Smartcards in einer AD DS-Umgebung. 536
Smartcards und Kerberos. 536
Voraussetzungen für Smartcard-Zertifikate . 536
Planen der Smartcard-Bereitstellung . 538
Bereitstellen von Smartcards mit Windows Vista. 540
Bereitstellen von Smartcards mit ILM 2007 Certificate Management . 547
Verwalten ausgestellter Smartcards . 560
Smartcard-Pflicht bei der interaktiven Anmeldung. 560
Smartcard-Pflicht bei der Anmeldung an bestimmten Computern. 561
Smartcard-Pflicht für Remote-Anmeldungen. 561
Konfigurieren des Systemverhaltens bei der Entfernung einer Smartcard. 561
Konfigurieren der Standardeinstellungen für Smartcards. 561
Fallstudie: City Power and Light . 563
Fragen zur Fallstudie. 565
Empfohlene Vorgehensweisen. 565
Weitere Informationen . 566
22 Sichere E-Mail . 569
Sicherung von E-Mail. 570
Secure/Multipurpose Internet Mail Extensions (S/MIME). 570
SSL für Internetprotokolle. 573
Auswählen der Zertifizierungsstellen. 576
Kommerzielle Zertifizierungsstellen. 576
Eigene Zertifizierungsstellen. 576
Auswählen der Zertifikatvorlagen . 577
Eine Zertifikatvorlage für Signatur und Verschlüsselung. 577
Separate Zertifikatvorlagen für Signatur und Verschlüsselung. 579
Wahlen der Bereitstellungsmethoden. 581
Bereitstellen von Softwarezertifikaten. 581
Bereitstellen von Smartcard-Zertifikaten . 582
Aktivieren sicherer E-Mail. 582
Aktivieren von Outlook. 583
Aktivieren von S/MIME in Outlook Web Access. 585
Versenden sicherer E-Mails. 585
Inhaltsverzeichnis 15
Fallstudie: Adventure Works . 586
Szenario. 586
Fragen zur Fallstudie. 588
Empfohlene Vorgehensweisen. 589
Weitere Informationen . 590
23 Virtuelle private Netzwerke . 591
Bereitstellen von Zertifikaten für VPN. 592
Point-to-Point Tunneling Protocol (PPTP). 592
Layer Two Tunneling Protocol (L2TP) mit Internetprotokollsicherheit. 594
Secure Sockets Tunneling Protocol (SSTP). 596
Entwerfen der Zertifikatvorlagen. 597
Benutzerauthentifizierung. 597
Serverauthentifkierung. 598
IPsec-Endpunktauthentifizierung. 598
SSTP-Endpunktauthentifizierung. 599
Einrichten einer VPN-Lösung. 599
Netzwerkrichtlinienserverkonfiguration. 600
VPN-Server-Konfiguration. 604
Erstellen einer VPN-Clientverbindung. 605
Fallstudie: Lucerne Publishing. 608
Szenario. 608
Fragen zur Fallstudie. 610
Empfohlene Vorgehensweisen. 611
Weitere Informationen . 612
24 Drahtlose Netzwerke. 615
Neue Gefahren durch drahtlose Netzwerke. 616
Schutz der drahtlosen Kommunikation . 617
MAC-Filterung. 617
Wired Equivalent Privacy (WEP). 617
Wi-Fi Protected Access (WPA) und WPA2. 618
802. lx-Authentifizierungsarten. 619
EAP-TLS-Authentifizierung. 619
PEAP-Authentifizierung. 619
So funktioniert die 802. Ix-Authentifizierung. 620
Planung der Zertifikate zur 802. Ix-Authentifizierung. 621
Computerzertifikate für RADIUS-Server. 621
Benutzerzertifikate für Clients. 622
Computerzertifikate für Clients. 622
Ausstellen von Zertifikaten an Benutzer und Computer . 623
RADIUS-Server . 623
Clientcomputer. 624
Benutzer. 624
Implementieren der 802. Ix-Authentifizierung . 625
Konfigurieren des RADIUS-Servers. 625
Konfigurieren des drahtlosen Zugriffspunkts. 631
innansverzeicnnis
Verbinden mit dem drahtlosen Netzwerk. 631
Durchsetzung der Clientkonfiguration mit Gruppenrichtlinien. 635
Fallstudie: Margie's Travel. 636
Szenario. 636
Fragen zur Fallstudie. 637
Empfohlene Vorgehensweisen. 638
Weitere Informationen . 638
25 Dokument- und Codesignatur. 641
So funktioniert die Codesignatur. 642
So funktioniert die Dokumentsignatur. 643
Zertifizierung von Signaturzertifikaten . 643
Kommerzielle Zertifizierung von Codesignaturzertifikaten. 644
Eigenzertifizierung von Code- und Dokumentsignaturzertifikaten . 645
Planen der Bereitstellung von Codesignaturzertifikaten . 645
Entwerfen von Zertifikatvorlagen. 645
Planen der Methoden zur Zertifikatanforderung. 647
Zeitstempel. 648
Durchführen der Codesignatur. 648
Beschaffen der erforderlichen Programme. 648
Verwenden von SignTool.exe . 649
VBA-Projekte. 650
Durchführen der Dokumentsignatur. 651
Microsoft Office 2007-Documente. 651
Adobe-PDF-Documente. 652
Überprüfen der Signatur. 654
Internet Explorer. 654
Überprüfen von signiertem Code. 655
Microsoft Office-Dokumente. 655
PDF-Dokumente. 656
Fallstudie: Lucerne Publishing. 656
Szenario. 656
Fragen zur Fallstudie. 657
Empfohlene Vorgehensweisen. 657
Weitere Informationen . 658
26 Bereitstellen von Zertifikaten für Domänencontroller. 661
Änderungen in Domänencontrollerzertifikaten . 662
Durchsetzen der strengen KDC-Überprüfung. 664
Zertifikatauswahl auf einem Windows Server 2008-Domänencontroller. 664
Bereitstellen von Domänencontrollerzertifikaten . 665
Einstellungen der automatischen Zertifikatanforderung . 665
Automatische Registrierung. 666
Zertifizierungsstellen anderer Hersteller und Zertifizierungsstellen in anderen
Gesamtstrukturen. 666
Hinzufügen der internen Stammzertifizierungsstelle als vertrauenswürdige
Stammzertifizierungsstelle. 668
Hinzufügen der untergeordneten Zertifizierungsstellenzertifikate. 668
Inhaltsverzeichnis 17
Definieren der NTAw^-Zertifikate. 668
Aktivierender Erweiterung Alternativer Antragstellername für Zertifikatanforderungen . . 669
Erstellen der Zertifikatanforderungen . 669
Verwalten der Domänencontrollerzertifikate . 670
Überprüfen von Zertifikaten. 671
Ersetzen vorhandener Domänencontrollerzertifikate. 672
Entfernen aller Domänencontrollerzertifikate. 672
Fallstudie: Consolidated Messenger. 672
Stand der Umstellungsarbeiten. 673
Fragen zur Fallstudie. 673
Empfohlene Vorgehensweisen. 673
Weitere Informationen . 674
27 Registrierungsdienst für Netzwerkgeräte. 675
Geschichte von NDES und der Microsoft PKI. 676
SCEP-Registrierung . 677
Implementieren eines NDES-Servers. 680
Berechtigungen. 681
Vorbereiten der Zertifizierungsstelle . 682
Erstellen eines Dienstkontos . 682
Installieren des NDES-Servers. 683
Konfigurieren von NDES . 685
Anpassen der Registrierung. 686
Aktivieren der Protokollierung . 686
Sicherung und Wiederherstellung . 686
Fallstudie: Lucerne Publishing. 687
Anforderungen. 687
Fragen zur Fallstudie. 688
Empfohlene Vorgehensweisen. 688
Weitere Informationen . 689
a Antworten zu den Fallbeispielen. 691
Stichwortverzeichnis . 727
Der Autor. 759 |
| adam_txt |
Inhaltsverzeichnis
Danksagungen. 19
Vorwort. 21
Einführung. 23
Über das Buch . 23
Die Begleit-CD. 24
Systemvoraussetzungen. 24
i PKI-Grundlagen . 27
1 Grundlagen der Kryptografie. 29
Verschlüsselungsarten. 30
Algorithmen und Schlüssel. 30
Datenverschlüsselung. 31
Symmetrische Verschlüsselung . 31
Asymmetrische Verschlüsselung . 33
Asymmetrische Signatur. 34
Kombination von symmetrischer und asymmetrischer Verschlüsselung. 35
Digitale Signatur von Daten. 37
Der Hashvorgang . 37
Hashalgorithmen . 37
Kombination von asymmetrischer Signatur und Hashalgorithmen. 38
Cryptography Next Generation (CNG) . 39
Eigenschaften von CNG . 39
Unterstützte Algorithmen . 42
Unterstützte Clients und Anwendungen. 42
Fallstudie: Microsoft-Anwendungen und ihre Verschlüsselungsalgorithmen . 43
Öffnen des EFS-Whitepapers. 43
Fragen zur Fallstudie. 44
Weitere Informationen . 44
2 Einführung in PKI. 47
Zertifikate . 48
X.509 Version 1. 49
X.509 Version 2. 50
X.509 Version 3. 52
Zertifizierungsstellen . 55
Stammzertifizierungsstelle. 57
Zwischenzertifizierungsstelle. 58
Richtlinienzertifizierungsstelle. 58
Ausstellende Zertifizierungsstelle. 59
innaitsverzeichnis
Zertifikatsperrlisten . 59
Sperrlistenarten . 60
Gründe für eine Zertifikatsperrung. 60
OCSP (Online Certificate Status Protocol). 61
OCSP-Client. 62
Online-Responder-Dienst. 62
Fallstudie: Untersuchung eines X.509-Zertifikats . 63
Öffnen der Zertifikatdatei. 63
Fragen zur Fallstudie. 63
Weitere Informationen . 64
Richtlinien und PKI. 65
Sicherheitsrichtlinie . 67
Definition effektiver Sicherheitsrichtlinien. 67
Unterlagen für die Entwicklung von Sicherheitsrichtlinien . 68
Auswirkungen von externen Richtlinien auf Ihre PKI. 68
Definition von PKI-bezogenen Sicherheitsrichtlinien. 70
Zertifikatrichtlinie . 71
Inhalt einer Zertifikatrichtlinie . 71
Zertifikatrichtlinienbeispiel. 72
Zertifikatverwendungserklärung (CPS) . 74
CPS-Abschnitt: Einführung. 75
CPS-Abschnitt: Verantwortlichkeit für Veröffentlichung und Speicherung. 76
CPS-Abschnitt: Identifikation und Authentifizierung. 76
CPS-Abschnitt: Anforderungen an die Vorgehensweisen. 76
CPS-Abschnitt: Kontrolle der Räumlichkeiten, Verwaltung und Arbeitsabläufe . 78
CPS-Abschnitt: Kontrolle der technischen Sicherheit . 79
CPS-Abschnitt: Zertifikate, Zertifikatsperrlisten und OCSP-Profile. 80
CPS-Abschnitt: Überwachung der Befolgung und andere Beurteilungen . 80
CPS-Abschnitt: Andere geschäftliche und rechtliche Aspekte. 80
Fallstudie: Entwurf der Richtliniendokumente. 81
Anforderungen an den Entwurf. 81
Fragen zur Fallstudie. 82
Weitere Informationen . 82
Einrichtung einer PKI. 83
Vorbereiten einer Active Directory-Umgebung. 85
Analyse der Active Directory-Umgebung. 86
Aktualisieren des Schemas. 87
Identifizieren des Schemabetriebsmasters. 87
Durchführen der Schema-Aktualisierung. 88
Ändern der Bereiche der Zertifikatherausgeber-Gruppen. 90
Bereitstellen von Windows Server 2008-Unternehmenszertifizierungsstellen in
Umgebungen ohne AD DS . 94
Inhaltsverzeichnis 7
Fallstudie: Vorbereiten der Active Directory-Domänendienste . 94
Netzwerkdetails . 96
Fragen zur Fallstudie. 96
Weitere Informationen . 97
5 Entwerfen einer Zertifizierungsstellenhierarchie. 99
Bestimmen der Anzahl der Schichten in einer Zertifizierungsstellenhierarchie. 100
Einschichtige Zertifizierungsstellenhierarchie. 100
Zweischichtige Zertifizierungsstellenhierarchie. 101
Dreischichtige Zertifizierungsstellenhierarchie. 102
Vierschichtige Zertifizierungsstellenhierarchie. 103
Organisation ausstellender Zertifizierungsstellen. 104
Auswahl einer Architektur. 107
Sammlung der erforderlichen Informationen. 107
Identifikation PKI-fähiger Anwendungen. 107
Bestimmung der Anforderungen an die Sicherheit . 109
Bestimmung der technischen Anforderungen. 111
Ermittlung der betrieblichen Anforderungen . 117
Ermitteln externer Anforderungen. 118
Sammeln der AD DS-Anforderungen. 120
Namenskonventionen. 120
Auswählen der Domänen für Zertifizierungsstellencomputerkonten . 121
Auswählen einer Organisationseinheitsstruktur . 121
Fallstudie: Ermitteln der Anforderungen . 122
Fragen zur Fallstudie. 123
Weitere Informationen . 124
6 Implementieren einer Zertifizierungsstellenhierarchie . 125
Zertifizierungsstellen-Konfigurationsdateien. 127
Die Datei CAPolicy.inf. 127
Vorinstallationsskripts. 136
Nachinstallationsskripts . 140
Implementieren einer dreischichtigen Zertifizierungsstellenhierarchie. 147
Einrichten einer Offline-Stammzertifizierungsstelle. 147
Einrichten einer Offline-Richtlinienzertifizierungsstelle. 151
Einrichten einer ausstellenden Onlinezertifizierungsstelle. 157
Einrichten einer Organisations-Stammzertifizierungsstelle. 165
Erstellen einer CAPolicy. /«/-Datei. 165
Installieren der Active Directory-Zertifikatdienste . 166
Nachinstallationskonfiguration . 168
Aktivieren der Überwachung. 168
Überprüfen der Installation. 170
Fallstudie: Einrichten einer PKI. 171
Fragen zur Fallstudie. 171
Weitere Informationen . 173
Inhaltsverzeichnis
7 Aktualisieren einer vorhandenen Microsoft-PKI . 175
Unterstützte Szenarien . 176
Welche Versionen lassen sich auf Windows Server 2008 aktualisieren?. 176
Wechseln von 32-Bit- auf 64-Bit-Systeme. 177
Durchführen der Aktualisierung. 180
Aktualisieren des Schemas. 180
Aktualisieren der Zertifikatvorlagen. 181
Durchführen der Aktualisierung . 181
Nacharbeiten nach der Aktualisierung. 182
Fallstudie: Aktualisieren einer vorhandenen PKI . 185
Fragen zur Fallstudie. 186
Weitere Informationen . 187
8 Überprüfen und Überwachen Ihrer Microsoft-PKI. 189
Überprüfen der Installation. 190
Unternehmens-PKI (PKI Health Tool). 190
Certutil. 196
Laufende Überwachung . 199
CAMonitor. vbs-Skript . 199
Microsoft Operations Manager Certificate Services Management Pack. 202
Fallstudie: Überprüfen einer PKI-Bereitstellung. 208
Einzelheiten der Zertifizierungsstellenhierarchie . 208
Fragen zur Überprüfung der Zertifizierungsstellenhierarchie . 208
Anforderungen an die Überwachung. 209
Fragen zur Überwachung . 209
Weitere Informationen . 210
9 Absichern einer Zertifizierungsstellenhierarchie. 211
Sicherheitsmaßnahmen in der Konfiguration der Zertifizierungsstellen. 212
Absichern der Hardware. 215
Sichern des privaten Schlüssels der Zertifizierungsstelle. 216
Speicherung privater Schlüssel im Speicher Lokaler Computer. 216
Speichern privater Schlüssel auf Smartcards. 217
Speicherung privater Schlüssel auf Hardwaresicherheitsmodulen. 218
Hardwaresicherheitsmodule . 219
Kategorien von Hardwaresicherheitsmodulen. 219
Verschiedene Einsatzweisen der Hardwaresicherheitsmodule . 220
Fallstudie: Planen einer HSM-Bereitstellung. 225
Szenario. 225
Fragen zur Fallstudie. 226
Weitere Informationen . 227
10 Sperrung von Zertifikaten. 229
Wann sperrt man Zertifikate? . 230
Gründe für eine Zertifikatsperrung . 230
Sperrrichtlinie. 231
Sperren eines Zertifikats. 232
Inhaltsverzeichnis 9
Methoden zur Identifizierung von gesperrten Zertifikaten . 233
Probleme mit Zertifikatsperrlisten. 234
Verzögerter Informationsfluss . 234
Zwischenspeichern von Zertifikatsperrlisten. 234
Unterstützung für Deltasperrlisten. 234
Online Certificate Status Protocol (OCSP). 235
Microsofts OCSP-Implementierung. 235
Bereitstellen des Microsoft Online-Responders. 239
Sichern einer hohen Verfügbarkeit des Online-Responders. 250
Fallstudie: Planung der Zertifikatsperrung. 252
Anforderungen an den Entwurf. 252
Fragen zur Fallstudie. 253
Weitere Informationen . 254
11 Überprüfen von Zertifikaten. 255
Der Ablauf der Überprüfung. 256
Gültigkeitsprüfungen . 257
Sperrungsüberprüfungsmethoden. 258
Ändern der Standardüberprüfung. 258
Aufstellen von Zertifikatketten . 260
Genaue Übereinstimmung. 261
Übereinstimmende Schlüssel. 262
Übereinstimmende Namen . 263
Veröffentlichen der PKI-Objekte. 264
Wahlen der Veröffentlichungsprotokolle. 264
Wahlen der Veröffentlichungspunkte. 265
Festlegen der Veröffentlichungsintervalle. 266
Beheben von Problemen bei der Überprüfung von Zertifikaten. 268
CAPI-Diagnose. 268
Fallstudie: Wählen der Veröffentlichungspunkte. 274
Anforderungen an den Entwurf. 274
Fragen zur Fallstudie. 275
Übung zur Problembehebung . 275
Weitere Informationen . 276
12 Entwerfen von Zertifikatvorlagen . 277
Zertifikatvorlagenversionen. 278
Version 1-Zertifikatvorlagen. 278
Version 2-Zertifikatvorlagen. 280
Version 3-Zertifikatvorlagen. 281
Registrieren von Zertifikaten, die mit Zertifikatvorlagen ausgestellt werden. 281
Standardzertifikatvorlagen . 282
Ändern von Zertifikatvorlagen . 283
Ändern der Berechtigungen für Version 1-Zertifikatvorlagen . 284
Bearbeiten von Version 2- und Version 3-Zertifikatvorlagen. 284
Fallstudie: Entwerfen von Zertifikatvorlagen . 297
Anforderungen. 297
Inhaltsverzeichnis
Fragen zur Fallstudie. 298
Empfehlungen für den Entwurf von Zertifikatvorlagen. 299
Weitere Informationen . 300
13 Rollentrennung . 301
Common Criteria-Rollen . 302
Common Criteria-Rollen und Sicherheitsstufen. 302
Die Windows-Implementierung der Common Criteria. 304
Zuweisen von Common Criteria-Rollen. 307
Beschränken der Aufgaben eines Zertifikatmanagers. 309
Durchsetzen der Common Criteria-Rollentrennung. 311
Andere PKI-Verwaltungsrollen. 312
Lokaler Administrator. 312
Organisations-Admins . 313
Zertifikatvorlagenmanager . 313
Registrierungs-Agent . 316
Schlüsselwiederherstellungs-Agent. 316
Fallstudie: Planen der PKI-Managementrollen. 317
Szenario. 317
Fragen zur Fallstudie. 318
Weitere Informationen . 319
14 Planen und Implementieren der Notfallwiederherstellung . 321
Entwickeln der erforderlichen Dokumentation. 322
Auswählen einer Sicherungsmethode. 324
Wer darf die Zertifikatdienste sichern?. 324
Systemstatussicherungen. 325
Windows Server-Sicherungen . 325
Manuelle Sicherungen. 325
Durchführen einer Systemstatussicherung. 326
Installieren der Windows Server-Sicherung . 326
Durchführen einer Systemstatussicherung. 327
Durchführen von Windows Server-Sicherungen. 327
Erstellen einer Windows Server-Sicherung nach Zeitplan . 327
Erstellen einer Windows Server-Einmalsicherung. 328
Durchführen manueller Sicherungen. 329
Manuelle Sicherung mit der Konsole Zertifizierungsstelle. 330
Certutil-Befehle . 330
Wiederherstellungsmethoden . 332
Ermitteln der Sicherungsversionen. 332
Wiederherstellen einer Systemstatussicherung . 333
Wiederherstellen einer Windows Server-Sicherung. 334
Wiederherstellen einer manuellen Sicherung . 335
Bewerten der Sicherungsmethoden. 337
Hardwareausfall. 338
Ausfall der Zertifikatdienste. 338
Ersetzen des Servers. 339
Inhaltsverzeichnis 11
Optionen zur Verbesserung der Verfügbarkeit . 339
CRL-Verlängerung . 340
HSM-Failover. 341
Zertifikatdiensteduster. 341
Fallstudie: Ersetzen der Serverhardware. 359
Szenario. 359
Fragen zur Fallstudie. 360
Weitere Informationen .,. 361
15 Ausstellen von Zertifikaten. 363
Zertifikatregistrierungsmethoden . 365
Auswählen einer Registrierungsmethode. 367
Auswählen unter den manuellen Registrierungsmethoden. 367
Auswählen unter den automatischen Registrierungsmethoden. 367
Veröffentlichen von Zertifikatvorlagen für die Registrierung. 368
Manuelle Registrierung. 370
Anfordern von Zertifikaten mit dem Zertifikatregistrierungs-Assistenten . 370
Anfordern von Zertifikaten mit der Webregistrierung. 373
Abfragen einer ausstehenden Zertifikatanforderung. 375
Übermittlung einer Zertifikatanforderung von Netzwerkgeräten und anderen Plattformen 376
Automatische Registrierung . 379
Einstellungen der automatischen Zertifikatanforderung . 379
Einstellung für die automatische Registrierung. 380
Registrieren mit Skripts. 382
Serverspeicherung von Anmeldeinformationen . 386
Was wird auf dem Server gespeichert? . 387
Wie ist die Serverspeicherung von Anmeldeinformationen in die Active Directory-
Domänendienste integriert?. 387
Voraussetzungen. 387
Gruppenrichtlinieneinstellungen. 388
Fallstudie: Auswählen einer Zertifikatanforderungsmethode. 389
Szenario. 389
Fragen zur Fallstudie. 391
Weitere Informationen . 391
16 Vertrauen zwischen Organisationen. 393
Vertrauenschaffende Maßnahmen. 394
Zertifikatvertrauenslisten . 395
Gemeinsame Stammzertifizierungsstellen. 396
Kreuzzertifizierung. 398
Brückenzertifizierungsstellen. 399
Namenseinschränkungen. 403
Basiseinschränkungen. 405
Anwendungsrichtlinien. 406
Zertifikatrichtlinien . 408
Empfehlungen. 410
innaltsverzeichnis
Implementieren der Kreuzzertifizierung mit Beschränkungen. 411
Erstellen der Datei Policy.inf. 413
Beschaffen eines Zertifizierungsstellenzertifikats von einem Partner . 413
Anfordern eines Kreuzzertifizierungsstellenzertifikats. 413
Veröffentlichen in den Active Directory-Domänendiensten. 414
Überprüfen der Kreuzzertifizierung. 415
Fallstudie: Zertifikaten aus anderen Gesamtstrukturen vertrauen . 415
Fragen zur Fallstudie. 417
Weitere Informationen . 417
in Bereitstellen anwendungsspezifischer Lösungen. 419
17 Zertifikatverwaltung mit Identity Lifecycle Manager 2007. 421
Schlüsselkonzepte. 422
Profilvorlagen. 422
CLM-Rollen. 423
Berechtigungen. 423
Orte für die Zuweisung von Berechtigungen. 424
CLM-Komponenten. 426
Planen einer ILM 2007 Certificate Management-Bereitstellung. 427
Verwaltungsrichtlinien . 427
Registrierungsmodelle. 429
Bereitstellen von ILM 2007 Certificate Management. 432
Installation des Servers. 432
Konfigurieren des Servers. 435
Installieren der Zertifizierungsstellenkomponenten . 442
Bereitstellen eines Codesignaturzertifikats. 445
Festlegen der Zertifikatvorlagenberechtigungen. 445
Erstellen einer Profilvorlage. 445
Ausfuhren der Verwaltungsrichtlinien. 451
Fallstudie: Contoso. 453
Vorgeschlagene Lösung. 454
Fragen zur Fallstudie. 455
Empfohlene Vorgehensweisen. 455
Weitere Informationen . 456
18 Archivieren von Verschlüsselungsschlüsseln. 457
Rollen bei der Schlüsselarchivierung . 459
Die Schlüsselarchivierung. 460
Die Schlüsselwiederherstellung. 462
Voraussetzungen für die Schlüsselarchivierung. 462
Definieren der Schlüsselwiederherstellungs-Agenten. 464
Aktivieren einer Zertifizierungsstelle für die Schlüsselarchivierung. 469
Aktivieren der Schlüsselarchivierung in einer Zertifikatvorlage. 471
Durchfuhren der Schlüsselwiederherstellung. 472
Durchfuhren der Schlüsselwiederherstellung mit Certutil. 472
Durchfuhren der Schlüsselwiederherstellung mit ILM 2007 Certificate Management . 474
Inhaltsverzeichnis 13
Fallstudie: Lucerne Publishing. 475
Szenario. 476
Fragen zur Fallstudie. 476
Empfohlene Vorgehensweisen. 477
Weitere Informationen . 478
19 Implementieren der SSL-Verschlüsselung für Webserver . 479
So funktioniert SSL. 480
Zertifikaterfordernisse für SSL. 482
Auswählen eines Webserverzertifikatanbieters. 483
Speicherorte für Webserverzertifikate . 484
Einzelne Webserver. 484
Webservercluster. 484
Durch ISA Server mit Server Publishing geschützte Webserver. 485
Durch ISA Server mit Web Publishing geschützte Webserver. 486
Wählen einer Zertifikatvorlage . 487
Ausstellen von Webserver-Zertifikaten. 487
Ausstellen von Wefrserver-Zertifikaten an Domänenmitglieder . 488
Ausstellen von Wefrserver-Zertifikaten an Websites, die nicht zur Gesamtstruktur
gehören . 493
Ausstellen von Wefrserver-Zertifikaten an Webserver von anderen Herstellern
und an Webbeschleuniger. 498
Authentifizierung mit Zertifikaten. 498
Definieren der Zertifikatzuordnungen. 499
Authentifizierung auf Zertifikatbasis in der Praxis . 500
Erstellen einer Zertifikatvorlage. 500
Definieren der Zuordnung in den Active Directory-Domänendiensten . 500
Aktivieren von Zertifikatzuordnungen unter Windows Server 2003. 502
Aktivieren von Zertifikatzuordnungen unter Windows Server 2008. 503
Aufnehmen einer Verbindung mit der Website. 505
Fallstudie: The Phone Company . 506
Szenario. 506
Fragen zur Fallstudie. 508
Empfohlene Vorgehensweisen. 508
Weitere Informationen . 509
20 Das verschlüsselnde Dateisystem. 511
EFS-Prozesse . 512
So wählt Windows ein EFS-Verschlüsselungszertifikat aus. 512
Lokale EFS-Verschlüsselung . 513
Remoteverschlüsselung. 514
EFS-Entschlüsselung. 516
EFS-Datenwiederherstellung. 517
Eine Anwendung, zwei Wiederherstellungsmethoden. 518
Datenwiederherstellung. 518
Schlüsselwiederherstellung . 521
innaitsverzeichnis
Implementieren von EFS. 521
Aktivieren und Deaktivieren von EFS. 522
Zertifikatvorlagen für die EFS-Verschlüsselung. 523
Zertifikatregistrierung. 525
Was gibt es Neues für die EFS-Verwaltung in Windows Vista?. 526
Fallstudie: Lucerne Publishing. 529
Szenario. 529
Planungsvorgaben. 530
Lösungsvorschlag. 531
Fragen zur Fallstudie. 532
Empfohlene Vorgehensweisen. 532
Weitere Informationen . 533
21 Bereitstellen von Smartcards . 535
Verwenden von Smartcards in einer AD DS-Umgebung. 536
Smartcards und Kerberos. 536
Voraussetzungen für Smartcard-Zertifikate . 536
Planen der Smartcard-Bereitstellung . 538
Bereitstellen von Smartcards mit Windows Vista. 540
Bereitstellen von Smartcards mit ILM 2007 Certificate Management . 547
Verwalten ausgestellter Smartcards . 560
Smartcard-Pflicht bei der interaktiven Anmeldung. 560
Smartcard-Pflicht bei der Anmeldung an bestimmten Computern. 561
Smartcard-Pflicht für Remote-Anmeldungen. 561
Konfigurieren des Systemverhaltens bei der Entfernung einer Smartcard. 561
Konfigurieren der Standardeinstellungen für Smartcards. 561
Fallstudie: City Power and Light . 563
Fragen zur Fallstudie. 565
Empfohlene Vorgehensweisen. 565
Weitere Informationen . 566
22 Sichere E-Mail . 569
Sicherung von E-Mail. 570
Secure/Multipurpose Internet Mail Extensions (S/MIME). 570
SSL für Internetprotokolle. 573
Auswählen der Zertifizierungsstellen. 576
Kommerzielle Zertifizierungsstellen. 576
Eigene Zertifizierungsstellen. 576
Auswählen der Zertifikatvorlagen . 577
Eine Zertifikatvorlage für Signatur und Verschlüsselung. 577
Separate Zertifikatvorlagen für Signatur und Verschlüsselung. 579
Wahlen der Bereitstellungsmethoden. 581
Bereitstellen von Softwarezertifikaten. 581
Bereitstellen von Smartcard-Zertifikaten . 582
Aktivieren sicherer E-Mail. 582
Aktivieren von Outlook. 583
Aktivieren von S/MIME in Outlook Web Access. 585
Versenden sicherer E-Mails. 585
Inhaltsverzeichnis 15
Fallstudie: Adventure Works . 586
Szenario. 586
Fragen zur Fallstudie. 588
Empfohlene Vorgehensweisen. 589
Weitere Informationen . 590
23 Virtuelle private Netzwerke . 591
Bereitstellen von Zertifikaten für VPN. 592
Point-to-Point Tunneling Protocol (PPTP). 592
Layer Two Tunneling Protocol (L2TP) mit Internetprotokollsicherheit. 594
Secure Sockets Tunneling Protocol (SSTP). 596
Entwerfen der Zertifikatvorlagen. 597
Benutzerauthentifizierung. 597
Serverauthentifkierung. 598
IPsec-Endpunktauthentifizierung. 598
SSTP-Endpunktauthentifizierung. 599
Einrichten einer VPN-Lösung. 599
Netzwerkrichtlinienserverkonfiguration. 600
VPN-Server-Konfiguration. 604
Erstellen einer VPN-Clientverbindung. 605
Fallstudie: Lucerne Publishing. 608
Szenario. 608
Fragen zur Fallstudie. 610
Empfohlene Vorgehensweisen. 611
Weitere Informationen . 612
24 Drahtlose Netzwerke. 615
Neue Gefahren durch drahtlose Netzwerke. 616
Schutz der drahtlosen Kommunikation . 617
MAC-Filterung. 617
Wired Equivalent Privacy (WEP). 617
Wi-Fi Protected Access (WPA) und WPA2. 618
802. lx-Authentifizierungsarten. 619
EAP-TLS-Authentifizierung. 619
PEAP-Authentifizierung. 619
So funktioniert die 802. Ix-Authentifizierung. 620
Planung der Zertifikate zur 802. Ix-Authentifizierung. 621
Computerzertifikate für RADIUS-Server. 621
Benutzerzertifikate für Clients. 622
Computerzertifikate für Clients. 622
Ausstellen von Zertifikaten an Benutzer und Computer . 623
RADIUS-Server . 623
Clientcomputer. 624
Benutzer. 624
Implementieren der 802. Ix-Authentifizierung . 625
Konfigurieren des RADIUS-Servers. 625
Konfigurieren des drahtlosen Zugriffspunkts. 631
innansverzeicnnis
Verbinden mit dem drahtlosen Netzwerk. 631
Durchsetzung der Clientkonfiguration mit Gruppenrichtlinien. 635
Fallstudie: Margie's Travel. 636
Szenario. 636
Fragen zur Fallstudie. 637
Empfohlene Vorgehensweisen. 638
Weitere Informationen . 638
25 Dokument- und Codesignatur. 641
So funktioniert die Codesignatur. 642
So funktioniert die Dokumentsignatur. 643
Zertifizierung von Signaturzertifikaten . 643
Kommerzielle Zertifizierung von Codesignaturzertifikaten. 644
Eigenzertifizierung von Code- und Dokumentsignaturzertifikaten . 645
Planen der Bereitstellung von Codesignaturzertifikaten . 645
Entwerfen von Zertifikatvorlagen. 645
Planen der Methoden zur Zertifikatanforderung. 647
Zeitstempel. 648
Durchführen der Codesignatur. 648
Beschaffen der erforderlichen Programme. 648
Verwenden von SignTool.exe . 649
VBA-Projekte. 650
Durchführen der Dokumentsignatur. 651
Microsoft Office 2007-Documente. 651
Adobe-PDF-Documente. 652
Überprüfen der Signatur. 654
Internet Explorer. 654
Überprüfen von signiertem Code. 655
Microsoft Office-Dokumente. 655
PDF-Dokumente. 656
Fallstudie: Lucerne Publishing. 656
Szenario. 656
Fragen zur Fallstudie. 657
Empfohlene Vorgehensweisen. 657
Weitere Informationen . 658
26 Bereitstellen von Zertifikaten für Domänencontroller. 661
Änderungen in Domänencontrollerzertifikaten . 662
Durchsetzen der strengen KDC-Überprüfung. 664
Zertifikatauswahl auf einem Windows Server 2008-Domänencontroller. 664
Bereitstellen von Domänencontrollerzertifikaten . 665
Einstellungen der automatischen Zertifikatanforderung . 665
Automatische Registrierung. 666
Zertifizierungsstellen anderer Hersteller und Zertifizierungsstellen in anderen
Gesamtstrukturen. 666
Hinzufügen der internen Stammzertifizierungsstelle als vertrauenswürdige
Stammzertifizierungsstelle. 668
Hinzufügen der untergeordneten Zertifizierungsstellenzertifikate. 668
Inhaltsverzeichnis 17
Definieren der NTAw^-Zertifikate. 668
Aktivierender Erweiterung Alternativer Antragstellername für Zertifikatanforderungen . . 669
Erstellen der Zertifikatanforderungen . 669
Verwalten der Domänencontrollerzertifikate . 670
Überprüfen von Zertifikaten. 671
Ersetzen vorhandener Domänencontrollerzertifikate. 672
Entfernen aller Domänencontrollerzertifikate. 672
Fallstudie: Consolidated Messenger. 672
Stand der Umstellungsarbeiten. 673
Fragen zur Fallstudie. 673
Empfohlene Vorgehensweisen. 673
Weitere Informationen . 674
27 Registrierungsdienst für Netzwerkgeräte. 675
Geschichte von NDES und der Microsoft PKI. 676
SCEP-Registrierung . 677
Implementieren eines NDES-Servers. 680
Berechtigungen. 681
Vorbereiten der Zertifizierungsstelle . 682
Erstellen eines Dienstkontos . 682
Installieren des NDES-Servers. 683
Konfigurieren von NDES . 685
Anpassen der Registrierung. 686
Aktivieren der Protokollierung . 686
Sicherung und Wiederherstellung . 686
Fallstudie: Lucerne Publishing. 687
Anforderungen. 687
Fragen zur Fallstudie. 688
Empfohlene Vorgehensweisen. 688
Weitere Informationen . 689
a Antworten zu den Fallbeispielen. 691
Stichwortverzeichnis . 727
Der Autor. 759 |
| any_adam_object | 1 |
| any_adam_object_boolean | 1 |
| author | Komar, Brian |
| author_GND | (DE-588)12020004X |
| author_facet | Komar, Brian |
| author_role | aut |
| author_sort | Komar, Brian |
| author_variant | b k bk |
| building | Verbundindex |
| bvnumber | BV035171387 |
| classification_rvk | ST 281 |
| classification_tum | DAT 254f |
| ctrlnum | (OCoLC)277043370 (DE-599)DNB98854699X |
| dewey-full | 005.446 |
| dewey-hundreds | 000 - Computer science, information, general works |
| dewey-ones | 005 - Computer programming, programs, data, security |
| dewey-raw | 005.446 |
| dewey-search | 005.446 |
| dewey-sort | 15.446 |
| dewey-tens | 000 - Computer science, information, general works |
| discipline | Informatik |
| discipline_str_mv | Informatik |
| format | Book |
| fullrecord | <?xml version="1.0" encoding="UTF-8"?><collection xmlns="http://www.loc.gov/MARC21/slim"><record><leader>00000nam a2200000 c 4500</leader><controlfield tag="001">BV035171387</controlfield><controlfield tag="003">DE-604</controlfield><controlfield tag="005">20240829</controlfield><controlfield tag="007">t</controlfield><controlfield tag="008">081120s2008 gw ad|| |||| 00||| ger d</controlfield><datafield tag="015" ind1=" " ind2=" "><subfield code="a">08,N21,0038</subfield><subfield code="2">dnb</subfield></datafield><datafield tag="016" ind1="7" ind2=" "><subfield code="a">98854699X</subfield><subfield code="2">DE-101</subfield></datafield><datafield tag="020" ind1=" " ind2=" "><subfield code="a">9783866456488</subfield><subfield code="c">Gb. : sfr 94.90 (freier Pr.), EUR 59.00, EUR 61.20 (AT)</subfield><subfield code="9">978-3-86645-648-8</subfield></datafield><datafield tag="024" ind1="3" ind2=" "><subfield code="a">9783866456488</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(OCoLC)277043370</subfield></datafield><datafield tag="035" ind1=" " ind2=" "><subfield code="a">(DE-599)DNB98854699X</subfield></datafield><datafield tag="040" ind1=" " ind2=" "><subfield code="a">DE-604</subfield><subfield code="b">ger</subfield><subfield code="e">rakddb</subfield></datafield><datafield tag="041" ind1="0" ind2=" "><subfield code="a">ger</subfield></datafield><datafield tag="044" ind1=" " ind2=" "><subfield code="a">gw</subfield><subfield code="c">XA-DE-BY</subfield></datafield><datafield tag="049" ind1=" " ind2=" "><subfield code="a">DE-12</subfield><subfield code="a">DE-91G</subfield><subfield code="a">DE-1051</subfield><subfield code="a">DE-1049</subfield><subfield code="a">DE-473</subfield></datafield><datafield tag="082" ind1="0" ind2=" "><subfield code="a">005.446</subfield><subfield code="2">22/ger</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">ST 281</subfield><subfield code="0">(DE-625)143646:</subfield><subfield code="2">rvk</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">004</subfield><subfield code="2">sdnb</subfield></datafield><datafield tag="084" ind1=" " ind2=" "><subfield code="a">DAT 254f</subfield><subfield code="2">stub</subfield></datafield><datafield tag="100" ind1="1" ind2=" "><subfield code="a">Komar, Brian</subfield><subfield code="e">Verfasser</subfield><subfield code="0">(DE-588)12020004X</subfield><subfield code="4">aut</subfield></datafield><datafield tag="240" ind1="1" ind2="0"><subfield code="a">Windows Server 2008 - PKI and Certificate Security</subfield></datafield><datafield tag="245" ind1="1" ind2="0"><subfield code="a">Windows Server 2008 - PKI- und Zertifikatsicherheit</subfield><subfield code="b">[Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk]</subfield><subfield code="c">Brian Komar</subfield></datafield><datafield tag="264" ind1=" " ind2="1"><subfield code="a">Unterschleißheim</subfield><subfield code="b">Microsoft</subfield><subfield code="c">2008</subfield></datafield><datafield tag="300" ind1=" " ind2=" "><subfield code="a">758 S.</subfield><subfield code="b">Ill., graph. Darst.</subfield><subfield code="c">240 mm x 180 mm</subfield><subfield code="e">1 CD-ROM (12 cm)</subfield></datafield><datafield tag="336" ind1=" " ind2=" "><subfield code="b">txt</subfield><subfield code="2">rdacontent</subfield></datafield><datafield tag="337" ind1=" " ind2=" "><subfield code="b">n</subfield><subfield code="2">rdamedia</subfield></datafield><datafield tag="338" ind1=" " ind2=" "><subfield code="b">nc</subfield><subfield code="2">rdacarrier</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Public-Key-Infrastruktur</subfield><subfield code="0">(DE-588)4671762-6</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="650" ind1="0" ind2="7"><subfield code="a">Windows Server 2008</subfield><subfield code="0">(DE-588)7569644-7</subfield><subfield code="2">gnd</subfield><subfield code="9">rswk-swf</subfield></datafield><datafield tag="689" ind1="0" ind2="0"><subfield code="a">Public-Key-Infrastruktur</subfield><subfield code="0">(DE-588)4671762-6</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2="1"><subfield code="a">Windows Server 2008</subfield><subfield code="0">(DE-588)7569644-7</subfield><subfield code="D">s</subfield></datafield><datafield tag="689" ind1="0" ind2=" "><subfield code="5">DE-604</subfield></datafield><datafield tag="856" ind1="4" ind2="2"><subfield code="q">text/html</subfield><subfield code="u">http://deposit.dnb.de/cgi-bin/dokserv?id=3100395&prov=M&dok_var=1&dok_ext=htm</subfield><subfield code="3">Inhaltstext</subfield></datafield><datafield tag="856" ind1="4" ind2="2"><subfield code="m">HBZ Datenaustausch</subfield><subfield code="q">application/pdf</subfield><subfield code="u">http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016978314&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA</subfield><subfield code="3">Inhaltsverzeichnis</subfield></datafield><datafield tag="943" ind1="1" ind2=" "><subfield code="a">oai:aleph.bib-bvb.de:BVB01-016978314</subfield></datafield></record></collection> |
| id | DE-604.BV035171387 |
| illustrated | Illustrated |
| index_date | 2024-07-02T22:54:29Z |
| indexdate | 2024-08-30T04:01:08Z |
| institution | BVB |
| isbn | 9783866456488 |
| language | German |
| oai_aleph_id | oai:aleph.bib-bvb.de:BVB01-016978314 |
| oclc_num | 277043370 |
| open_access_boolean | |
| owner | DE-12 DE-91G DE-BY-TUM DE-1051 DE-1049 DE-473 DE-BY-UBG |
| owner_facet | DE-12 DE-91G DE-BY-TUM DE-1051 DE-1049 DE-473 DE-BY-UBG |
| physical | 758 S. Ill., graph. Darst. 240 mm x 180 mm 1 CD-ROM (12 cm) |
| publishDate | 2008 |
| publishDateSearch | 2008 |
| publishDateSort | 2008 |
| publisher | Microsoft |
| record_format | marc |
| spellingShingle | Komar, Brian Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] Public-Key-Infrastruktur (DE-588)4671762-6 gnd Windows Server 2008 (DE-588)7569644-7 gnd |
| subject_GND | (DE-588)4671762-6 (DE-588)7569644-7 |
| title | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |
| title_alt | Windows Server 2008 - PKI and Certificate Security |
| title_auth | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |
| title_exact_search | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |
| title_exact_search_txtP | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |
| title_full | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] Brian Komar |
| title_fullStr | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] Brian Komar |
| title_full_unstemmed | Windows Server 2008 - PKI- und Zertifikatsicherheit [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] Brian Komar |
| title_short | Windows Server 2008 - PKI- und Zertifikatsicherheit |
| title_sort | windows server 2008 pki und zertifikatsicherheit entwerfen und einfuhren von zertifikatbasierenden sicherheitslosungen fur ihr netzwerk |
| title_sub | [Entwerfen und Einführen von zertifikatbasierenden Sicherheitslösungen für Ihr Netzwerk] |
| topic | Public-Key-Infrastruktur (DE-588)4671762-6 gnd Windows Server 2008 (DE-588)7569644-7 gnd |
| topic_facet | Public-Key-Infrastruktur Windows Server 2008 |
| url | http://deposit.dnb.de/cgi-bin/dokserv?id=3100395&prov=M&dok_var=1&dok_ext=htm http://bvbr.bib-bvb.de:8991/F?func=service&doc_library=BVB01&local_base=BVB01&doc_number=016978314&sequence=000002&line_number=0001&func_code=DB_RECORDS&service_type=MEDIA |
| work_keys_str_mv | AT komarbrian windowsserver2008pkiandcertificatesecurity AT komarbrian windowsserver2008pkiundzertifikatsicherheitentwerfenundeinfuhrenvonzertifikatbasierendensicherheitslosungenfurihrnetzwerk |