際際滷

際際滷Share a Scribd company logo

Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011

K
Krzysztof Binkowski

Certyfikaty od podszewki w oparciu o PKI w Windows 2008 MTS 2011

1 of 59
Downloaded 38 times
Certyfikaty od podszewki w oparciu o PKI w Windows 2008 KRZYSZTOF BIKOWSKI Trener / Konsultant
Agenda Cele jakie przywiecaj PKI Dostarczanie Co w certyfikacie piszczy ? certyfikat坦w Gdzie si chowa certyfikat w Windows ? Jak bezpiecznie obchodzi si z certyfikatem ? Dlaczego ufamy certyfikatom ? Jak zweryfikowa certyfikat ? PKI w Windows 2008 Tworzymy wasne certyfikaty w PKI Windows 2008 Dostarczamy certyfikaty u甜ytkownikom i komputerom Szablony Przykadowa bezpieczna sie WiFi certyfikat坦w korzystajca z certyfikat坦w Certyfikat Budowa certyfikatu Weryfikacja certyfikatu ZAUFANIE Urzd Certyfikat坦w
Cele jakie przywiecaj PKI Szyfrowanie informacji poufno gwarantuje nam, 甜e informacja zostanie odczytana tylko przez waciw osob/urzdzenie Podpisywanie wiadomoci poczty elektronicznej, kt坦re zapewniaj nam: integralno - kt坦ra daje nam pewno, 甜e informacja nie zostaa zmieniona w drodze do odbiorcy niezaprzeczalno - gwarantuje nam i甜 informacja zostaa podpisana przez waciw osob posiadajc klucz prywatny autentyczno zapewnia, i甜 nadawca jest t osob, za kogo si podaje
Relizacja techniczna cel坦w PKI Poufno Autentyczno Integralno Niezaprzeczalno Szyfrowanie Funkcja skr坦tu, podpis cyfrowy Funkcja skr坦tu, podpis cyfrowy Podpis cyfrowy, znaczniki czasu
Klucze szyfrujce Typ klucza Opis Ten sam klucz stosowany do szyfrowania i deszyfrowania danych Chroni dane przed ujawnieniem i przechwyceniem Symetryczny Skada si z klucza prywatnego i publicznego Klucz prywatny chroniony, klucz publiczny udostpniany wszystkim Asymetryczny Jeli u甜yjemy klucza prywatnego do szyfrowania, to publiczny klucz wykorzystujemy do deszyfrowania i vice versa
Jak dziaa szyfrowanie asymetryczne ? Wymagania Proces 1. Pobieramy klucz publiczny odbiorcy 2. Szyfrujemy dane z wykorzystaniem klucza symetrycznego 3. Klucz symetryczny jest szyfrowany kluczem publicznym odbiorcy 4. Zaszyfrowany klucz symetryczny oraz zaszyfrowane dane s przesyane do odbiorcy 5. Odbiorca deszyfruje klucz symetryczny przy pomocy swojego klucza prywatnego 6. Deszyfrujemy dane za pomoc klucza symetrycznego
Jak dziaa podpisywanie cyfrowe ? Proces Proces 1. Dane s przetwarzane za pomoc algorytmu hashujacego i w wyniku uzyskujemy warto skr坦tu (hash) 2. Skr坦t (hash) jest szyfrowany za pomoc klucza prywatnego nadawcy 3. Certyfikat nadawcy, zaszyfrowany hash oraz dane s przesyane do odbiorcy 4. Odbiroca deszyfruje warto skr坦tu (hash) wykorzystujc klucz publiczny nadawcy 5. Dane s przetwarzane za pomoc algoytmu hashujacego i w wyniku uzyskujemy warto skr坦tu (hash) kt坦ra jest por坦wnana z odszyfrowan wartoci skr坦tu (hash)
Algorytmy znane Symetryczne DES,RC2,RC4,3DES,AES, AES-GMAC Asymetryczne Diffie-Hellman, RSA, DSA, ECDH HASH funkcja skr坦tu MD5, SHA1, SHA256
Algorytmy zalecane przez NIST suite-B Windows 2008 R2 Algorithm Secret Top Secret 128 bits 256 bits 256 bit curve 384 bit curve 256 bit curve 384 bit curve SHA-256 SHA-384 Encryption: Advanced Standard (AES) Digital Signature: Elliptic Curve Digital Signature Algorithm (ECDSA) Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) Hashing: Secure Hash Algorithm (SHA) http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml Suite B PKI in Windows Server 2008 - http://www.microsoft.com/download/en/details.aspx?id=14551
The best Password Cracking tool
CRYPTOOL - http://www.cryptool.org/ Tworzymy certyfikat, demo podpisu cyfrowego
Certyfikat Certyfikat cyfrowa to甜samo przypisana do U甜ytkownik Komputer Urzadzenie sieciowe wystawiony i podpisany przez Urzd Certyfikat坦w (CA), certyfikat powizany jest z kluczem publicznym dostarczonym przez klienta
Co w certyfikacie piszczy ? Klucz publiczny + nazwa + powiadczenie = certyfikat CERTIFICATE Issuer Validity Subject Public Key Signature
Certyfikat
Zastosowanie certyfikat坦w Uwierzytelnienie u甜ytkownika Uwierzytelnienie komputera Podpis cyfrowy w dokumentach MS Office Podpis cyfrowy w wiadomociach email Szyfrowanie wiadomoci email Szyfrowanie plik坦w EFS inne
Format certyfikatu X.509 (v1,v2,v3) X.509 to standard definiujcy schemat dla: certyfikat坦w, kluczy publicznych, uniewa甜nie certyfikat坦w atrybut坦w certyfikat坦w Wspomagajcy budowanie hierarchicznej struktury PKI.
OID OID (ang. Object IDentifier) - unikatowy identyfikator obiektu, su甜y do odr坦甜nienia obiektu od innych obiekt坦w oraz do tworzenia odwoa do tego obiektu przez system. U甜ytkownik posuguje si nazw obiektu, natomiast system zamienia j na identyfikator. Np. Client Authentication (1.3.6.1.5.5.7.3.2) Server Authentication (1.3.6.1.5.5.7.3.1) Secure Email (1.3.6.1.5.5.7.3.4) 0-ITU-T Telecommunication Standardization Sector, 1 ISO, 2 ISO/ITU-T Drzewo przydzielone dla Polski ma numer 1.2.616 i jest zarzdzane przez Krajowy Rejestr Identyfikator坦w Obiekt坦w (KRIO).
Certyfikat X.509 od rodka Metoda opisu struktur danych ASN.1 (Abstract Syntax Notation One ) standard su甜cy do opisu struktur przeznaczonych do reprezentacji, kodowania, transmisji i dekodowania danych Kodowania i formaty Base64 DER (Distinguished Encoding Rules) - modyfikacja BER (Basic Encoding Rules) binarny, zwarty PEM tekstowy, do publikacji i przesyania e-mailem
Standardy PKCS PKCS (Public Key Cryptography Standards) (RSA Data Security Inc.) PKCS #1: RSA Cryptography Standard PKCS #3: Diffie-Hellman Key Agreement Standard PKCS #5: Password-Based Cryptography Standard PKCS #6: Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard (.p7b, .p7c , .cer, .crt, .der ) PKCS #8: Private-Key Information Syntax Standard PKCS #9: Selected Attribute Types PKCS #10: Certification Request Syntax Standard (.req) PKCS #11: Cryptographic Token Interface Standard (smartcard) PKCS #12: Personal Information Exchange Syntax Standard (.pfx , .p12) PKCS #13: Elliptic Curve Cryptography Standard PKCS #15: Cryptographic Token Information Format Standard http://www.rsasecurity.com/rsalabs/pkcs/
Jak powstaje certyfikat Obsuga certyfikat坦w przez CA 1. 2. 3. 4. 5. 6. klient generuje klucz prywatny i publiczny klient zamienia klucz na CSR (Certificate Signing Request) (online / offline) klient wysya 甜danie + klucz publiczny do CA CA weryfikuje klienta i podpisuje CSR wynik certyfikat klienta z kluczem publicznym podpisany cyfrowo przez CA dostarczenie klientowi certyfikatu
Gdzie si ukrywa certyfikat w Windows ? certificate store (magazyn certyfikat坦w) MMC + Certificates SNAP-in (User, Computer, Service) Certmgr.msc Certutil.exe store user my IE - INTERNET OPTIONS -> CONTENT -> Certificates
Certyfikaty Personal certyfikaty do kt坦rych mamy klucze prywatne Trusted Root Certification Authorities certyfikaty CA, kt坦rym ufamy bezwarunkowo Trusted Publishers zaakceptowane certyfikaty serwer坦w Untrusted Certificates blacklista Trusted People zaakceptowane certyfikaty os坦b Other People certyfikaty os坦b .
CERTMGR.MSC - x.509, certyfikat Certutil.exe asn Certutil.exe store user my
Czy mo甜na bezpieczniej chroni klucz prywatny ? SMARTCARD (PIN, BIOMETRICS) HSM
Jak bezpiecznie obchodzi si z certyfikatem ? Klucze mog zosta utracone poprzez: Wykasowany profil u甜ytkownika Reinstalacja systemu Uszkodzenie dysku Kradzie甜 / zgubienie komputera Kopia zapasowa Export/import certyfikatu (KPUB / KPRIV)
Eksport Certyfikat坦w i kluczy prywatnych Certificates MMC snap-in Certification Authority MMC snap-in Certutil.exe Microsoft Outlook Internet Explorer Export a single certificate: certutil -f -p Password1 -user -exportpfx 0123 c:certexport.pfx certificate ID (serial number) = 0123 Import the certificate: certutil -user -importpfx c:certexport.pfx
Magazyn certyfikat坦w export/import
Zaufanie do CA Dwa modele zaufania Web of trust - ka甜dy ka甜demu PGP Zaufanie do CA nadrzdnej instytucji - PKI
Hierarchia drzewa certyfikacji Drzewo certyfikacji StartCom CA powiadcza StartCom C2 PIC CA StartCom C2 PIC CA powiadcza Krzysztof Binkowski Korze drzewa (root) Samopowiadczenie Autocertyfikat Skd wiemy 甜e StartCom CA jest autentyczne? anchor - kotwica zaufania
Weryfikacja certyfikat坦w Certificate discovery odczytywany i budowany jest cay acuch zaufania, a甜 po ROOT CA Path validation weryfikowane s wszystkie certyfikaty w acuchu zaufania, a甜 po ROOT CA Revocation checking sprawdzanie czy certyfikat/y nie zostay odwoane
Certificate Validation Tests Time validity The current date falls between the start and expiration date of the certificate Certificate recognition The certificate uses a valid X.509 format Certificate contents All required fields are completed Signature check The contents of the certificate are not modified Revocation check The certificate is not revoked Root check The certificate is chained to a trusted root CA Policy validation Critical extensions The certificate must contain certificate or application policies that an application requires The application recognizes all critical extensions
What Are CRLs and CDPs? Purpose of CRLs: List of revoked certificates Publish periodically or on demand Can be retrieved and cached by client computers Purpose of CDPs: Distribution point for CRLs Distributed as part of a certificate Can be updated but wont affect issued certificates
What Is an Online Responder? Uses OCSP validation and revocation checking using HTTP Receives and responds dynamically to individual requests Supports only Windows Server 2008 or Windows Server 2008 R2 and Windows Vista or Windows 7 computers Functions as a responder to multiple CAs
PKI w Windows 2008 Budujemy wasne CA
Active Directory Certificate Services Windows 2008 Root, Intermediate, and Subordinate Enterprise CAs AD CS enrollment Manual Group Web-Based AD CS communication
Components of a PKI Solution CA Digital Certificates Public KeyEnabled Applications and Services Certificate Templates Certificates and CA Management Tools CRLs and Online Responders AIA and CDPs
How AD CS Supports PKI AD CS CA CA Web Enrollment Online Responder Service NDES
Applications That Use a PKI Digital Signatures Encrypting File System Smart Card Logon Secure E-mail Internet Authentication Certificate Services Software Code Signing Software Restriction Policy 802.1x IP Security
What Are Certification Authorities? CA Issues a selfsigned certificate for itself Verifies the identity of the certificate requestor Issues certificates to users, computers, and services Manages certificate revocation
Public vs. Private Certification Authorities Internal Root CA Public Root CA Subordinate CAs Issuing CAs Public Third-party Root CA Internal Employee COMPANY Internet User
Types of Certification Authorities in Windows Server 2008 Root CA Is the most trusted type of CA in a PKI Has a self-signed certificate Issues certificates to other subordinate CAs Certificate issuance policy is typically more rigorous than subordinate CAs Requires enhanced physical security Subordinate CA Its certificate is issued by another CA Addresses specific usage policies, organizational or geographical boundaries, load balancing, and fault tolerance Issues certificates to other CAs to form a hierarchical PKI
Standalone vs. Enterprise CAs Stand-alone CAs Enterprise CAs Requires the use of AD DS Stand-alone CA must be used if any CA (root / intermediate / policy) is offline, because a stand-alone CA is not joined to an AD DS domain Can use Group Policy to propagate certificate to trusted root CA certificate store Users provide identifying information and specify type of certificate Publishes user certificates and CRLs to AD DS Does not require certificate templates Issues certificates based upon a certificate template All certificate requests are kept pending until administrator approval Supports autoenrollment for issuing certificates
Certificate Templates - szablony Szablony Certyfikat坦w s zestawem zasad i ustawie kt坦re s konfigurowalne po stronie urzedu certyfikacji (CA). Zasady te i ustawienia s wykorzystywane w procesie wydawania certyfikat坦w. Dostpne tylko na CA typu zintegrowanego z Active Directory Przechowywane w Active Directory Zabezpieczone przed niepowoan zmian
Certificate Template Versions Version 1: Introduced in Windows 2000, provided for backward compatibility in later versions Created by default when a CA is installed Cannot be modified (except for permissions) or removed but can be duplicated to become version 2 or 3 templates (which can then be modified) Version 2: Default template introduced with Windows 2003 Allows customization of most settings in the template Several preconfigured templates are provided when a CA is installed Version 3: Supports advanced Suite B cryptographic settings Includes advanced options for encryption, digital signatures, key exchange, and hashing Only supports Windows Server 2008 and Windows Server 2008 R2 servers Only supports Windows Vista and Windows 7 client computers
Certificate Template Categories and Purposes Category Single Purpose Example Basic Encrypting File System (EFS) Authenticated Session Users Smart Card Logon Multiple Purposes Example Administrator User Smart Card User Web Server IPSec Computers Computer Domain Controller
Default templates in Windows Server 2008 Administrator Authenticated Session Basic EFS CA Exchange CEP Encryption Code Signing Computer Cross-Certification Authority Directory E-mail Replication Domain Controller Domain Controller Authentication EFS Recovery Agent Enrollment Agent Enrollment Agent (Computer) Exchange Enrollment Agent (Offline request) Exchange Signature Only Exchange User IPSec IPSec (Offline request) Kerberos Authentication Key Recovery Agent (KRA) OCSP Response Signing Remote Access Service (RAS) and Internet Authentication Service (IAS) Server Root CA Router (Offline request) Smart Card Logon Smart Card User Subordinate CA Trust List Signing User User Signature Only Web Server Workstation Authentication Certificate Templates Overview http://technet.microsoft.com/en-us/library/cc730826(WS.10).aspx
Szablony certyfikat坦w + logowanie SMARTCARD
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certificate Enrollment Methods Method Use To automate the request, retrieval, and storage of certificates for domain-based computers. Users do not have to take any action to be issued a certificate via Autoenrollment. To manually request certificates by using the Certificates console or Certreq.exe when the requestor cannot communicate directly with the CA. To request certificates from a Web site located on a CA. To issue certificates when Autoenrollment is not available. To provide a user account the right to request certificates on behalf of another user. The user account must have an enrollment agent certificate. Autoenrollment Manual Enrollment Web Enrollment Enrollment Agents
Obtaining Certificates by Using Manual Enrollment Manual Enrollment Certificates MMC Web Server NDES
Enrollment / Web Enrollment
Issuing Certificates by Using Autoenrollment Step Purpose A certificate template is configured to allow Read, Enroll, and Autoenroll permissions for designated users. Create a template The CA is configured to follow the settings in the template and the template is configured to not have any approvals or signatures. Additionally, the template is configured to enroll without requiring user input during the process. Configure CA & template An Active Directory Group Policy Object (GPO) is created to enable Autoenrollment. The GPO is linked to the appropriate site, domain, or organizational unit (OU). Create/configure GPO The client machine receives the certificates during the next Group Policy refresh interval. Receive by client
Autoenrollment - GPO Computer autoenrollment Computer Configuration Windows Settings Security SettingsPublic Key Polices Certificate Services Client - Auto-Enrollment User autoenrollment User ConfigurationWindows SettingsSecurity SettingsPublic Key Polices Certificate Services Client - Auto-Enrollment
Zastosowanie praktyczne bezpieczna sie WiFi w oparciu o certyfikaty RADIUS DC1 Active Directory DNS, DHCP NPS AD CS
NPS+RADIUS+WiFi
Checklist: Implementing 802.1X Authenticated Wireless Access Task Reference Install and configure the following required fundamental network services: Active Directory Domain Services (AD DS), the Domain Name System (DNS) server role, the Dynamic Host Configuration Protocol (DHCP) server role. Install the Network Policy Server (NPS) component of the Network Policy and Access Services server role and authorize NPS in AD DS. Windows Server 2008 Foundation Network Guide, available for download in Word format at the Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231, and in HTML format in the Windows Server 2008 Technical Library: http://go.microsoft.com/fwlink/?LinkId=106252 Purchase, and then physically install wireless access points (APs) on your network. See your wireless AP hardware documentation Join wireless computers to the domain and create user accounts in AD DS for all your domain users. Windows Server 2008 Foundation Network Guide, available for download in Word format at the Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231, and in HTML format in the Windows Server 2008 Technical Library: http://go.microsoft.com/fwlink/?LinkId=106252 If you are using PEAP-MS-CHAP v2, and have not already done so, auto enroll a server certificate to NPS servers or purchase and install server certificates on your NPS servers. Foundation Network Companion Guide: Deploying Server Certificates and Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication (http://go.microsoft.com/fwlink/?LinkId=33675) If you are using EAP-TLS or PEAP-TLS without smart cards, auto enroll a server certificate to NPS server, and auto enroll client or computer certificates to domain member client computers. Foundation Network Companion Guide: Deploying Server Certificates and Foundation Network Companion Guide: Deploying Computer and User Certificates Follow the steps in this guide to deploy 802.1X authenticated wireless access. Deploying 802.1X Authenticated Wireless Access http://technet.microsoft.com/en-us/library/dd283023(WS.10).aspx
Podsumowanie Certyfikat Dostarczanie certyfikat坦w Budowa certyfikatu Szablony certyfikat坦w Weryfikacja certyfikatu ZAUFANIE Urzd Certyfikat坦w
Dzikujemy za uwag Krzysztof.Binkowski@gmail.com
息 2011 Microsoft Corporation. Wszelkie prawa zastrze甜one. Microsoft, Windows oraz inne nazwy produkt坦w s lub mog by znakami towarowymi lub zastrze甜onymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje maj charakter wycznie informacyjny. FIRMA MICROSOFT NIE UDZIELA 纏ADNYCH GWARANCJI (WYRA纏ONYCH WPROST LUB DOMYLNIE), W TYM TAK纏E USTAWOWEJ RKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.

Recommended

Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Krzysztof Binkowski
Podpis cyfrowy office2010
Podpis cyfrowy office2010Podpis cyfrowy office2010
Podpis cyfrowy office2010
Krzysztof Binkowski
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
Krzysztof Binkowski
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
Krzysztof Binkowski
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_go
Krzysztof Binkowski
Nietypowe Aplikacje Blockchain - dla Lodz Blockchain Meetup #2
Nietypowe Aplikacje Blockchain - dla Lodz Blockchain Meetup #2Nietypowe Aplikacje Blockchain - dla Lodz Blockchain Meetup #2
Nietypowe Aplikacje Blockchain - dla Lodz Blockchain Meetup #2
sopekmir
Pod甜ajc ladami u甜ytkownika Windows elementy informatyki ledczej
Pod甜ajc ladami u甜ytkownika Windows elementy informatyki ledczejPod甜ajc ladami u甜ytkownika Windows elementy informatyki ledczej
Pod甜ajc ladami u甜ytkownika Windows elementy informatyki ledczej
Krzysztof Binkowski
Sql z perspektywy hakera czy twoje dane s bezpieczne ? - Sqlday 2016 Wrocaw
Sql z perspektywy hakera czy twoje dane s bezpieczne ? - Sqlday 2016 WrocawSql z perspektywy hakera czy twoje dane s bezpieczne ? - Sqlday 2016 Wrocaw
Sql z perspektywy hakera czy twoje dane s bezpieczne ? - Sqlday 2016 Wrocaw
Krzysztof Binkowski
Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)
ZS-Lobez
Umiem, potrafi, jestem...
Umiem, potrafi, jestem...Umiem, potrafi, jestem...
Umiem, potrafi, jestem...
ZS-Lobez
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLAWysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Tobias Koprowski
Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005
rypki
The View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database ConnectivityThe View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database Connectivity
Bill Buchan
Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"
ZS-Lobez
Najlepszy w zawodzie
Najlepszy w zawodzie Najlepszy w zawodzie
Najlepszy w zawodzie
ZS-Lobez
Prezentacja SKISR
Prezentacja SKISRPrezentacja SKISR
Prezentacja SKISR
Dariusz Dwornikowski
Lata 40.
Lata 40.Lata 40.
Lata 40.
ZS-Lobez
Introduction To Digital Signatures
Introduction To Digital SignaturesIntroduction To Digital Signatures
Introduction To Digital Signatures
Robert Talbert
Secure hashing algorithm
Secure hashing algorithmSecure hashing algorithm
Secure hashing algorithm
Karteek Paruchuri
Digital signature
Digital signatureDigital signature
Digital signature
Hossain Md Shakhawat
Digital certificates
Digital certificates Digital certificates
Digital certificates
Sheetal Verma
Digital Signature
Digital SignatureDigital Signature
Digital Signature
saurav5884
Introduction to Digital signatures
Introduction to Digital signaturesIntroduction to Digital signatures
Introduction to Digital signatures
Rohit Bhat
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PROIDEA
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PROIDEA
Kerberos
KerberosKerberos
Kerberos
Tomasz Bak
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Wydawnictwo Helion
Exch2007 certyfikaty
Exch2007 certyfikatyExch2007 certyfikaty
Exch2007 certyfikaty
Ziemek Borowski
10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania
SecuRing
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA

More Related Content

Viewers also liked (15)

Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)
ZS-Lobez
Umiem, potrafi, jestem...
Umiem, potrafi, jestem...Umiem, potrafi, jestem...
Umiem, potrafi, jestem...
ZS-Lobez
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLAWysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Tobias Koprowski
Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005
rypki
The View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database ConnectivityThe View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database Connectivity
Bill Buchan
Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"
ZS-Lobez
Najlepszy w zawodzie
Najlepszy w zawodzie Najlepszy w zawodzie
Najlepszy w zawodzie
ZS-Lobez
Prezentacja SKISR
Prezentacja SKISRPrezentacja SKISR
Prezentacja SKISR
Dariusz Dwornikowski
Lata 40.
Lata 40.Lata 40.
Lata 40.
ZS-Lobez
Introduction To Digital Signatures
Introduction To Digital SignaturesIntroduction To Digital Signatures
Introduction To Digital Signatures
Robert Talbert
Secure hashing algorithm
Secure hashing algorithmSecure hashing algorithm
Secure hashing algorithm
Karteek Paruchuri
Digital signature
Digital signatureDigital signature
Digital signature
Hossain Md Shakhawat
Digital certificates
Digital certificates Digital certificates
Digital certificates
Sheetal Verma
Digital Signature
Digital SignatureDigital Signature
Digital Signature
saurav5884
Introduction to Digital signatures
Introduction to Digital signaturesIntroduction to Digital signatures
Introduction to Digital signatures
Rohit Bhat
Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)Active directory - Klasa III (01.10.2015)
Active directory - Klasa III (01.10.2015)
ZS-Lobez
Umiem, potrafi, jestem...
Umiem, potrafi, jestem...Umiem, potrafi, jestem...
Umiem, potrafi, jestem...
ZS-Lobez
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLAWysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Wysoka Dostpno Windows Server 2008 w kontekscie um坦w SLA
Tobias Koprowski
Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005Uprawnienia W Sql Server 2005
Uprawnienia W Sql Server 2005
rypki
The View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database ConnectivityThe View - Leveraging Lotuscript for Database Connectivity
The View - Leveraging Lotuscript for Database Connectivity
Bill Buchan
Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"Konkurs fotograficzny - "Zrozumie niepenosprawno"
Konkurs fotograficzny - "Zrozumie niepenosprawno"
ZS-Lobez
Najlepszy w zawodzie
Najlepszy w zawodzie Najlepszy w zawodzie
Najlepszy w zawodzie
ZS-Lobez
Prezentacja SKISR
Prezentacja SKISRPrezentacja SKISR
Prezentacja SKISR
Dariusz Dwornikowski
Lata 40.
Lata 40.Lata 40.
Lata 40.
ZS-Lobez
Introduction To Digital Signatures
Introduction To Digital SignaturesIntroduction To Digital Signatures
Introduction To Digital Signatures
Robert Talbert
Secure hashing algorithm
Secure hashing algorithmSecure hashing algorithm
Secure hashing algorithm
Karteek Paruchuri
Digital signature
Digital signatureDigital signature
Digital signature
Hossain Md Shakhawat
Digital certificates
Digital certificates Digital certificates
Digital certificates
Sheetal Verma
Digital Signature
Digital SignatureDigital Signature
Digital Signature
saurav5884
Introduction to Digital signatures
Introduction to Digital signaturesIntroduction to Digital signatures
Introduction to Digital signatures
Rohit Bhat

Similar to Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011 (20)

PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PROIDEA
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PROIDEA
Kerberos
KerberosKerberos
Kerberos
Tomasz Bak
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Wydawnictwo Helion
Exch2007 certyfikaty
Exch2007 certyfikatyExch2007 certyfikaty
Exch2007 certyfikaty
Ziemek Borowski
10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania
SecuRing
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
Citrix NetScaler Gateway i Azure MFA
Citrix NetScaler Gateway i Azure MFACitrix NetScaler Gateway i Azure MFA
Citrix NetScaler Gateway i Azure MFA
Pawel Serwan
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Logicaltrust pl
Deploy appki na iOS, czyli magia publikacji
Deploy appki na iOS, czyli magia publikacjiDeploy appki na iOS, czyli magia publikacji
Deploy appki na iOS, czyli magia publikacji
The Software House
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
PROIDEA
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
Krajowy Magazyn Danych na rzecz BC
Krajowy Magazyn Danych na rzecz BCKrajowy Magazyn Danych na rzecz BC
Krajowy Magazyn Danych na rzecz BC
lska Biblioteka Cyfrowa
Advanced Crypto Service Provider kryptografia jako usuga
Advanced Crypto Service Provider kryptografia jako usugaAdvanced Crypto Service Provider kryptografia jako usuga
Advanced Crypto Service Provider kryptografia jako usuga
Smart Coders
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenieBezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Cyberlaw Beata Marek
Bezpieczne dane w aplikacjach java
Bezpieczne dane w aplikacjach javaBezpieczne dane w aplikacjach java
Bezpieczne dane w aplikacjach java
Sages
Cisco. Receptury
Cisco. RecepturyCisco. Receptury
Cisco. Receptury
Wydawnictwo Helion
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Logicaltrust pl
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PLNOG 18 - Sebastian Pasternacki - Bezpieczestwo sieci operatorskich oraz en...
PROIDEA
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie zoliwego kodu
PROIDEA
Kerberos
KerberosKerberos
Kerberos
Tomasz Bak
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Wydawnictwo Helion
Exch2007 certyfikaty
Exch2007 certyfikatyExch2007 certyfikaty
Exch2007 certyfikaty
Ziemek Borowski
10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania10 przykaza bezpiecznego programowania
10 przykaza bezpiecznego programowania
SecuRing
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykaza bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
Citrix NetScaler Gateway i Azure MFA
Citrix NetScaler Gateway i Azure MFACitrix NetScaler Gateway i Azure MFA
Citrix NetScaler Gateway i Azure MFA
Pawel Serwan
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Co z bezpieczestwem aplikacji mobilnych? - studium przypadk坦w (KrakWhiteHat ...
Logicaltrust pl
Deploy appki na iOS, czyli magia publikacji
Deploy appki na iOS, czyli magia publikacjiDeploy appki na iOS, czyli magia publikacji
Deploy appki na iOS, czyli magia publikacji
The Software House
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
JDD2014/ 4Developers 2015: Bdy uwierzytelniania i zarzdzania sesj w JEE -...
PROIDEA
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Security B-Sides Warsaw 2013 - Masywna Telemetria NetFlow jest Masywna - Gawe...
Gawel Mikolajczyk
Krajowy Magazyn Danych na rzecz BC
Krajowy Magazyn Danych na rzecz BCKrajowy Magazyn Danych na rzecz BC
Krajowy Magazyn Danych na rzecz BC
lska Biblioteka Cyfrowa
Advanced Crypto Service Provider kryptografia jako usuga
Advanced Crypto Service Provider kryptografia jako usugaAdvanced Crypto Service Provider kryptografia jako usuga
Advanced Crypto Service Provider kryptografia jako usuga
Smart Coders
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Darmowe narzdzia wspomagajce procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Gawel Mikolajczyk
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenieBezpieczne korzystanie z platformy e sklepu ma znaczenie
Bezpieczne korzystanie z platformy e sklepu ma znaczenie
Cyberlaw Beata Marek
Bezpieczne dane w aplikacjach java
Bezpieczne dane w aplikacjach javaBezpieczne dane w aplikacjach java
Bezpieczne dane w aplikacjach java
Sages
Cisco. Receptury
Cisco. RecepturyCisco. Receptury
Cisco. Receptury
Wydawnictwo Helion
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Urzdzenia i usugi bezpieczestwa IT - pena ochrona czy... zaproszenie dla ...
Logicaltrust pl

More from Krzysztof Binkowski (8)

eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
Krzysztof Binkowski
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
Krzysztof Binkowski
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Krzysztof Binkowski
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
Krzysztof Binkowski
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Krzysztof Binkowski
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
Krzysztof Binkowski
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
Krzysztof Binkowski
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
Krzysztof Binkowski
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
Krzysztof Binkowski
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Krzysztof Binkowski
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
Krzysztof Binkowski
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Co w Facebooku piszczy, czyli media spoecznociowe z perspektywy informatyk...
Krzysztof Binkowski
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
Krzysztof Binkowski
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
Krzysztof Binkowski
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Krzysztof Binkowski

Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011

  • 1. Certyfikaty od podszewki w oparciu o PKI w Windows 2008 KRZYSZTOF BIKOWSKI Trener / Konsultant
  • 2. Agenda Cele jakie przywiecaj PKI Dostarczanie Co w certyfikacie piszczy ? certyfikat坦w Gdzie si chowa certyfikat w Windows ? Jak bezpiecznie obchodzi si z certyfikatem ? Dlaczego ufamy certyfikatom ? Jak zweryfikowa certyfikat ? PKI w Windows 2008 Tworzymy wasne certyfikaty w PKI Windows 2008 Dostarczamy certyfikaty u甜ytkownikom i komputerom Szablony Przykadowa bezpieczna sie WiFi certyfikat坦w korzystajca z certyfikat坦w Certyfikat Budowa certyfikatu Weryfikacja certyfikatu ZAUFANIE Urzd Certyfikat坦w
  • 3. Cele jakie przywiecaj PKI Szyfrowanie informacji poufno gwarantuje nam, 甜e informacja zostanie odczytana tylko przez waciw osob/urzdzenie Podpisywanie wiadomoci poczty elektronicznej, kt坦re zapewniaj nam: integralno - kt坦ra daje nam pewno, 甜e informacja nie zostaa zmieniona w drodze do odbiorcy niezaprzeczalno - gwarantuje nam i甜 informacja zostaa podpisana przez waciw osob posiadajc klucz prywatny autentyczno zapewnia, i甜 nadawca jest t osob, za kogo si podaje
  • 4. Relizacja techniczna cel坦w PKI Poufno Autentyczno Integralno Niezaprzeczalno Szyfrowanie Funkcja skr坦tu, podpis cyfrowy Funkcja skr坦tu, podpis cyfrowy Podpis cyfrowy, znaczniki czasu
  • 5. Klucze szyfrujce Typ klucza Opis Ten sam klucz stosowany do szyfrowania i deszyfrowania danych Chroni dane przed ujawnieniem i przechwyceniem Symetryczny Skada si z klucza prywatnego i publicznego Klucz prywatny chroniony, klucz publiczny udostpniany wszystkim Asymetryczny Jeli u甜yjemy klucza prywatnego do szyfrowania, to publiczny klucz wykorzystujemy do deszyfrowania i vice versa
  • 6. Jak dziaa szyfrowanie asymetryczne ? Wymagania Proces 1. Pobieramy klucz publiczny odbiorcy 2. Szyfrujemy dane z wykorzystaniem klucza symetrycznego 3. Klucz symetryczny jest szyfrowany kluczem publicznym odbiorcy 4. Zaszyfrowany klucz symetryczny oraz zaszyfrowane dane s przesyane do odbiorcy 5. Odbiorca deszyfruje klucz symetryczny przy pomocy swojego klucza prywatnego 6. Deszyfrujemy dane za pomoc klucza symetrycznego
  • 7. Jak dziaa podpisywanie cyfrowe ? Proces Proces 1. Dane s przetwarzane za pomoc algorytmu hashujacego i w wyniku uzyskujemy warto skr坦tu (hash) 2. Skr坦t (hash) jest szyfrowany za pomoc klucza prywatnego nadawcy 3. Certyfikat nadawcy, zaszyfrowany hash oraz dane s przesyane do odbiorcy 4. Odbiroca deszyfruje warto skr坦tu (hash) wykorzystujc klucz publiczny nadawcy 5. Dane s przetwarzane za pomoc algoytmu hashujacego i w wyniku uzyskujemy warto skr坦tu (hash) kt坦ra jest por坦wnana z odszyfrowan wartoci skr坦tu (hash)
  • 8. Algorytmy znane Symetryczne DES,RC2,RC4,3DES,AES, AES-GMAC Asymetryczne Diffie-Hellman, RSA, DSA, ECDH HASH funkcja skr坦tu MD5, SHA1, SHA256
  • 9. Algorytmy zalecane przez NIST suite-B Windows 2008 R2 Algorithm Secret Top Secret 128 bits 256 bits 256 bit curve 384 bit curve 256 bit curve 384 bit curve SHA-256 SHA-384 Encryption: Advanced Standard (AES) Digital Signature: Elliptic Curve Digital Signature Algorithm (ECDSA) Key Exchange: Elliptic Curve Diffie-Hellman (ECDH) Hashing: Secure Hash Algorithm (SHA) http://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml Suite B PKI in Windows Server 2008 - http://www.microsoft.com/download/en/details.aspx?id=14551
  • 10. The best Password Cracking tool
  • 11. CRYPTOOL - http://www.cryptool.org/ Tworzymy certyfikat, demo podpisu cyfrowego
  • 12. Certyfikat Certyfikat cyfrowa to甜samo przypisana do U甜ytkownik Komputer Urzadzenie sieciowe wystawiony i podpisany przez Urzd Certyfikat坦w (CA), certyfikat powizany jest z kluczem publicznym dostarczonym przez klienta
  • 13. Co w certyfikacie piszczy ? Klucz publiczny + nazwa + powiadczenie = certyfikat CERTIFICATE Issuer Validity Subject Public Key Signature
  • 15. Zastosowanie certyfikat坦w Uwierzytelnienie u甜ytkownika Uwierzytelnienie komputera Podpis cyfrowy w dokumentach MS Office Podpis cyfrowy w wiadomociach email Szyfrowanie wiadomoci email Szyfrowanie plik坦w EFS inne
  • 16. Format certyfikatu X.509 (v1,v2,v3) X.509 to standard definiujcy schemat dla: certyfikat坦w, kluczy publicznych, uniewa甜nie certyfikat坦w atrybut坦w certyfikat坦w Wspomagajcy budowanie hierarchicznej struktury PKI.
  • 17. OID OID (ang. Object IDentifier) - unikatowy identyfikator obiektu, su甜y do odr坦甜nienia obiektu od innych obiekt坦w oraz do tworzenia odwoa do tego obiektu przez system. U甜ytkownik posuguje si nazw obiektu, natomiast system zamienia j na identyfikator. Np. Client Authentication (1.3.6.1.5.5.7.3.2) Server Authentication (1.3.6.1.5.5.7.3.1) Secure Email (1.3.6.1.5.5.7.3.4) 0-ITU-T Telecommunication Standardization Sector, 1 ISO, 2 ISO/ITU-T Drzewo przydzielone dla Polski ma numer 1.2.616 i jest zarzdzane przez Krajowy Rejestr Identyfikator坦w Obiekt坦w (KRIO).
  • 18. Certyfikat X.509 od rodka Metoda opisu struktur danych ASN.1 (Abstract Syntax Notation One ) standard su甜cy do opisu struktur przeznaczonych do reprezentacji, kodowania, transmisji i dekodowania danych Kodowania i formaty Base64 DER (Distinguished Encoding Rules) - modyfikacja BER (Basic Encoding Rules) binarny, zwarty PEM tekstowy, do publikacji i przesyania e-mailem
  • 19. Standardy PKCS PKCS (Public Key Cryptography Standards) (RSA Data Security Inc.) PKCS #1: RSA Cryptography Standard PKCS #3: Diffie-Hellman Key Agreement Standard PKCS #5: Password-Based Cryptography Standard PKCS #6: Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard (.p7b, .p7c , .cer, .crt, .der ) PKCS #8: Private-Key Information Syntax Standard PKCS #9: Selected Attribute Types PKCS #10: Certification Request Syntax Standard (.req) PKCS #11: Cryptographic Token Interface Standard (smartcard) PKCS #12: Personal Information Exchange Syntax Standard (.pfx , .p12) PKCS #13: Elliptic Curve Cryptography Standard PKCS #15: Cryptographic Token Information Format Standard http://www.rsasecurity.com/rsalabs/pkcs/
  • 20. Jak powstaje certyfikat Obsuga certyfikat坦w przez CA 1. 2. 3. 4. 5. 6. klient generuje klucz prywatny i publiczny klient zamienia klucz na CSR (Certificate Signing Request) (online / offline) klient wysya 甜danie + klucz publiczny do CA CA weryfikuje klienta i podpisuje CSR wynik certyfikat klienta z kluczem publicznym podpisany cyfrowo przez CA dostarczenie klientowi certyfikatu
  • 21. Gdzie si ukrywa certyfikat w Windows ? certificate store (magazyn certyfikat坦w) MMC + Certificates SNAP-in (User, Computer, Service) Certmgr.msc Certutil.exe store user my IE - INTERNET OPTIONS -> CONTENT -> Certificates
  • 22. Certyfikaty Personal certyfikaty do kt坦rych mamy klucze prywatne Trusted Root Certification Authorities certyfikaty CA, kt坦rym ufamy bezwarunkowo Trusted Publishers zaakceptowane certyfikaty serwer坦w Untrusted Certificates blacklista Trusted People zaakceptowane certyfikaty os坦b Other People certyfikaty os坦b .
  • 23. CERTMGR.MSC - x.509, certyfikat Certutil.exe asn Certutil.exe store user my
  • 24. Czy mo甜na bezpieczniej chroni klucz prywatny ? SMARTCARD (PIN, BIOMETRICS) HSM
  • 25. Jak bezpiecznie obchodzi si z certyfikatem ? Klucze mog zosta utracone poprzez: Wykasowany profil u甜ytkownika Reinstalacja systemu Uszkodzenie dysku Kradzie甜 / zgubienie komputera Kopia zapasowa Export/import certyfikatu (KPUB / KPRIV)
  • 26. Eksport Certyfikat坦w i kluczy prywatnych Certificates MMC snap-in Certification Authority MMC snap-in Certutil.exe Microsoft Outlook Internet Explorer Export a single certificate: certutil -f -p Password1 -user -exportpfx 0123 c:certexport.pfx certificate ID (serial number) = 0123 Import the certificate: certutil -user -importpfx c:certexport.pfx
  • 28. Zaufanie do CA Dwa modele zaufania Web of trust - ka甜dy ka甜demu PGP Zaufanie do CA nadrzdnej instytucji - PKI
  • 29. Hierarchia drzewa certyfikacji Drzewo certyfikacji StartCom CA powiadcza StartCom C2 PIC CA StartCom C2 PIC CA powiadcza Krzysztof Binkowski Korze drzewa (root) Samopowiadczenie Autocertyfikat Skd wiemy 甜e StartCom CA jest autentyczne? anchor - kotwica zaufania
  • 30. Weryfikacja certyfikat坦w Certificate discovery odczytywany i budowany jest cay acuch zaufania, a甜 po ROOT CA Path validation weryfikowane s wszystkie certyfikaty w acuchu zaufania, a甜 po ROOT CA Revocation checking sprawdzanie czy certyfikat/y nie zostay odwoane
  • 31. Certificate Validation Tests Time validity The current date falls between the start and expiration date of the certificate Certificate recognition The certificate uses a valid X.509 format Certificate contents All required fields are completed Signature check The contents of the certificate are not modified Revocation check The certificate is not revoked Root check The certificate is chained to a trusted root CA Policy validation Critical extensions The certificate must contain certificate or application policies that an application requires The application recognizes all critical extensions
  • 32. What Are CRLs and CDPs? Purpose of CRLs: List of revoked certificates Publish periodically or on demand Can be retrieved and cached by client computers Purpose of CDPs: Distribution point for CRLs Distributed as part of a certificate Can be updated but wont affect issued certificates
  • 33. What Is an Online Responder? Uses OCSP validation and revocation checking using HTTP Receives and responds dynamically to individual requests Supports only Windows Server 2008 or Windows Server 2008 R2 and Windows Vista or Windows 7 computers Functions as a responder to multiple CAs
  • 34. PKI w Windows 2008 Budujemy wasne CA
  • 35. Active Directory Certificate Services Windows 2008 Root, Intermediate, and Subordinate Enterprise CAs AD CS enrollment Manual Group Web-Based AD CS communication
  • 36. Components of a PKI Solution CA Digital Certificates Public KeyEnabled Applications and Services Certificate Templates Certificates and CA Management Tools CRLs and Online Responders AIA and CDPs
  • 37. How AD CS Supports PKI AD CS CA CA Web Enrollment Online Responder Service NDES
  • 38. Applications That Use a PKI Digital Signatures Encrypting File System Smart Card Logon Secure E-mail Internet Authentication Certificate Services Software Code Signing Software Restriction Policy 802.1x IP Security
  • 39. What Are Certification Authorities? CA Issues a selfsigned certificate for itself Verifies the identity of the certificate requestor Issues certificates to users, computers, and services Manages certificate revocation
  • 40. Public vs. Private Certification Authorities Internal Root CA Public Root CA Subordinate CAs Issuing CAs Public Third-party Root CA Internal Employee COMPANY Internet User
  • 41. Types of Certification Authorities in Windows Server 2008 Root CA Is the most trusted type of CA in a PKI Has a self-signed certificate Issues certificates to other subordinate CAs Certificate issuance policy is typically more rigorous than subordinate CAs Requires enhanced physical security Subordinate CA Its certificate is issued by another CA Addresses specific usage policies, organizational or geographical boundaries, load balancing, and fault tolerance Issues certificates to other CAs to form a hierarchical PKI
  • 42. Standalone vs. Enterprise CAs Stand-alone CAs Enterprise CAs Requires the use of AD DS Stand-alone CA must be used if any CA (root / intermediate / policy) is offline, because a stand-alone CA is not joined to an AD DS domain Can use Group Policy to propagate certificate to trusted root CA certificate store Users provide identifying information and specify type of certificate Publishes user certificates and CRLs to AD DS Does not require certificate templates Issues certificates based upon a certificate template All certificate requests are kept pending until administrator approval Supports autoenrollment for issuing certificates
  • 43. Certificate Templates - szablony Szablony Certyfikat坦w s zestawem zasad i ustawie kt坦re s konfigurowalne po stronie urzedu certyfikacji (CA). Zasady te i ustawienia s wykorzystywane w procesie wydawania certyfikat坦w. Dostpne tylko na CA typu zintegrowanego z Active Directory Przechowywane w Active Directory Zabezpieczone przed niepowoan zmian
  • 44. Certificate Template Versions Version 1: Introduced in Windows 2000, provided for backward compatibility in later versions Created by default when a CA is installed Cannot be modified (except for permissions) or removed but can be duplicated to become version 2 or 3 templates (which can then be modified) Version 2: Default template introduced with Windows 2003 Allows customization of most settings in the template Several preconfigured templates are provided when a CA is installed Version 3: Supports advanced Suite B cryptographic settings Includes advanced options for encryption, digital signatures, key exchange, and hashing Only supports Windows Server 2008 and Windows Server 2008 R2 servers Only supports Windows Vista and Windows 7 client computers
  • 45. Certificate Template Categories and Purposes Category Single Purpose Example Basic Encrypting File System (EFS) Authenticated Session Users Smart Card Logon Multiple Purposes Example Administrator User Smart Card User Web Server IPSec Computers Computer Domain Controller
  • 46. Default templates in Windows Server 2008 Administrator Authenticated Session Basic EFS CA Exchange CEP Encryption Code Signing Computer Cross-Certification Authority Directory E-mail Replication Domain Controller Domain Controller Authentication EFS Recovery Agent Enrollment Agent Enrollment Agent (Computer) Exchange Enrollment Agent (Offline request) Exchange Signature Only Exchange User IPSec IPSec (Offline request) Kerberos Authentication Key Recovery Agent (KRA) OCSP Response Signing Remote Access Service (RAS) and Internet Authentication Service (IAS) Server Root CA Router (Offline request) Smart Card Logon Smart Card User Subordinate CA Trust List Signing User User Signature Only Web Server Workstation Authentication Certificate Templates Overview http://technet.microsoft.com/en-us/library/cc730826(WS.10).aspx
  • 47. Szablony certyfikat坦w + logowanie SMARTCARD
  • 49. Certificate Enrollment Methods Method Use To automate the request, retrieval, and storage of certificates for domain-based computers. Users do not have to take any action to be issued a certificate via Autoenrollment. To manually request certificates by using the Certificates console or Certreq.exe when the requestor cannot communicate directly with the CA. To request certificates from a Web site located on a CA. To issue certificates when Autoenrollment is not available. To provide a user account the right to request certificates on behalf of another user. The user account must have an enrollment agent certificate. Autoenrollment Manual Enrollment Web Enrollment Enrollment Agents
  • 50. Obtaining Certificates by Using Manual Enrollment Manual Enrollment Certificates MMC Web Server NDES
  • 51. Enrollment / Web Enrollment
  • 52. Issuing Certificates by Using Autoenrollment Step Purpose A certificate template is configured to allow Read, Enroll, and Autoenroll permissions for designated users. Create a template The CA is configured to follow the settings in the template and the template is configured to not have any approvals or signatures. Additionally, the template is configured to enroll without requiring user input during the process. Configure CA & template An Active Directory Group Policy Object (GPO) is created to enable Autoenrollment. The GPO is linked to the appropriate site, domain, or organizational unit (OU). Create/configure GPO The client machine receives the certificates during the next Group Policy refresh interval. Receive by client
  • 53. Autoenrollment - GPO Computer autoenrollment Computer Configuration Windows Settings Security SettingsPublic Key Polices Certificate Services Client - Auto-Enrollment User autoenrollment User ConfigurationWindows SettingsSecurity SettingsPublic Key Polices Certificate Services Client - Auto-Enrollment
  • 54. Zastosowanie praktyczne bezpieczna sie WiFi w oparciu o certyfikaty RADIUS DC1 Active Directory DNS, DHCP NPS AD CS
  • 56. Checklist: Implementing 802.1X Authenticated Wireless Access Task Reference Install and configure the following required fundamental network services: Active Directory Domain Services (AD DS), the Domain Name System (DNS) server role, the Dynamic Host Configuration Protocol (DHCP) server role. Install the Network Policy Server (NPS) component of the Network Policy and Access Services server role and authorize NPS in AD DS. Windows Server 2008 Foundation Network Guide, available for download in Word format at the Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231, and in HTML format in the Windows Server 2008 Technical Library: http://go.microsoft.com/fwlink/?LinkId=106252 Purchase, and then physically install wireless access points (APs) on your network. See your wireless AP hardware documentation Join wireless computers to the domain and create user accounts in AD DS for all your domain users. Windows Server 2008 Foundation Network Guide, available for download in Word format at the Microsoft Download Center: http://go.microsoft.com/fwlink/?LinkId=105231, and in HTML format in the Windows Server 2008 Technical Library: http://go.microsoft.com/fwlink/?LinkId=106252 If you are using PEAP-MS-CHAP v2, and have not already done so, auto enroll a server certificate to NPS servers or purchase and install server certificates on your NPS servers. Foundation Network Companion Guide: Deploying Server Certificates and Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2 Wireless Authentication (http://go.microsoft.com/fwlink/?LinkId=33675) If you are using EAP-TLS or PEAP-TLS without smart cards, auto enroll a server certificate to NPS server, and auto enroll client or computer certificates to domain member client computers. Foundation Network Companion Guide: Deploying Server Certificates and Foundation Network Companion Guide: Deploying Computer and User Certificates Follow the steps in this guide to deploy 802.1X authenticated wireless access. Deploying 802.1X Authenticated Wireless Access http://technet.microsoft.com/en-us/library/dd283023(WS.10).aspx
  • 59. 息 2011 Microsoft Corporation. Wszelkie prawa zastrze甜one. Microsoft, Windows oraz inne nazwy produkt坦w s lub mog by znakami towarowymi lub zastrze甜onymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje maj charakter wycznie informacyjny. FIRMA MICROSOFT NIE UDZIELA 纏ADNYCH GWARANCJI (WYRA纏ONYCH WPROST LUB DOMYLNIE), W TYM TAK纏E USTAWOWEJ RKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.
AboutCopyright
息 2025 際際滷