Windows 2008 PKI combat 1: Gestión

Microsoft PKI ha realizado muchas mejoras en Windows Server 2008 y agrega muchas características. La primera de estas funciones es la gestión del ciclo de vida de los certificados, especialmente en lo que respecta al registro automático de computadoras y certificados de usuario. En Windows Server 2008, las mejoras en la administración del ciclo de vida de los certificados se lograron mediante el uso de nuevas características para la itinerancia de certificados. Describiremos esta característica más adelante.

Una práctica más general para los desarrolladores es vincular la infraestructura PKI a las aplicaciones comerciales de la empresa. Un buen ejemplo es la compañía que busca integrar tarjetas inteligentes o autenticación fuerte en su propio software. La nueva interfaz de la aplicación de registro de certificados permite que esta funcionalidad se integre más fácilmente.

En el lado del servidor, las mejoras en la usabilidad se reflejan en la administración y el despliegue de los servicios de certificados. También ha habido un aumento significativo en la revocación de certificados, especialmente en el área de controles de revocación.

Instance Environment

Tomemos un ejemplo:

Usamos un servidor llamado SEA-DC-01, que es un controlador de dominio, un servidor DNS y luego Demostraremos cómo instalar la función de Servicios de certificados de Active Directory. Figura 1:

presentación PKI Hoteles en Windows Server 2008

Windows Server 2008 incluye las Asistente para agregar funciones. El Asistente para agregar roles no solo se utiliza para instalar roles, sino que también incluye la configuración de los roles. Las tareas de configuración clave que deben realizarse para que la función funcione correctamente forman parte del asistente. Todas las configuraciones que se muestran en el Asistente para agregar roles son seguras de forma predeterminada y tienen optimizaciones inteligentes predeterminadas para los profesionales de TI. Nuestro primer paso es abrir el administrador del servidor. El Administrador del servidor muestra todos los diferentes roles a partir de los detalles. Actualmente, las funciones de Active Directory Domain Services y DNS Server están configuradas. Lo que vamos a agregar hoy es el servicio de certificados. Primero necesitamos agregar el rol de IIS.

Como práctica recomendada, siempre debemos asignar una contraseña segura al administrador, establecer una IP estática y garantizar que el sistema operativo tenga aplicadas las últimas actualizaciones de seguridad.

Seleccionaremos los Servicios de certificados de Active Directory, como se muestra en la Figura 2. Nuestra guía le mostrará los pasos personalizados según la función que deseamos agregar.

entonces podemos ver Servicios de certificados de Active Directory, acceder a otros despliegue y gestión de la información de clave pública basado en Windows Server 2008 Infraestructura.

Vemos que el servidor de certificados contiene diferentes servicios de rol. Como se muestra en la Figura 3. Debido a que usaremos el registro de red, también debemos aumentar la función del servidor IIS.

infraestructura de clave pública
es una pluralidad de componentes, certificados que comprenden, listas de revocación de certificados y autoridades de certificación o las entidades emisoras. En la mayoría de los casos, las aplicaciones que dependen de los certificados X.509, como las Extensiones de correo de Internet seguras y multipropósito (S /MIME), la Capa de sockets seguros, el Sistema de archivos cifrados y las tarjetas inteligentes, requieren que se ejecute el estado del certificado. Al autenticar, firmar o encriptar operaciones. Existen varias formas de verificar el estado de revocación de certificados. Los mecanismos más comunes son las CRL, las CRL delta y los protocolos de estado de certificados en línea u OCSP. Añadiremos el protocolo OCSP.

CA se puede instalar como un servidor corporativo o independiente. La diferencia entre ellos es si el servicio de directorio se utiliza para simplificar la administración, publicación o administración de certificados. Como se muestra en la Figura 4.

necesitamos este servidor es la entidad emisora ​​raíz, porque no tenemos otras CA para obtener la clave. Como se muestra en la Figura 5.

Como se trata de una instalación nueva, vamos a crear una nueva clave privada es el uso de nuestra CA. El servidor utilizará esta clave para generar y emitir certificados a los usuarios. Como se muestra en la Figura 6.

Hay muchas opciones que se pueden seleccionar para el proveedor de servicios criptográficos (CSP) y el Algoritmo de Hash para. La opción predeterminada está establecida en RSA Proveedor de almacenamiento de claves de software de Microsoft y algoritmo SHA1 cifrado de 2048 bits. Como se muestra en la Figura 7.

usamos el nombre predeterminado de la CA. Como se muestra en la Figura 8.
Cada certificado tiene una fecha de caducidad. Después de la fecha de vencimiento, el certificado no se considerará como credenciales aceptables o disponibles. Puede actualizar el certificado utilizando la misma clave que ha usado antes o utilizando un nuevo conjunto de claves. Usamos el valor predeterminado para esta configuración. Como se muestra en la Figura 9.

Datos
CA y registrar la ubicación del archivo se pueden cambiar en el momento de la instalación. Como se muestra en la Figura 10.

Dado que IIS es un servicio dependiente, por lo que en esta presentación también necesita ser instalado, también tenemos que configurarlo. No necesitamos configurar ninguna opción especial en la instalación de IIS, como se muestra en la Figura 11, por lo que podemos usar la configuración predeterminada para ir a la página final.
Revisar resumen de las opciones de instalación que el papel, podemos hacer clic en la copia, correo electrónico o guardar el enlace. Esto abrirá una ventana de Windows Internet Explorer para realísticamente toda la información. Como se muestra en la Figura 12.

nuestra realidad para comenzar la instalación. Como se muestra en la Figura 13. Cuando se complete la instalación, nuestros servidores tendrán la capacidad de asignar y administrar las credenciales y claves del usuario.

Introducción a los Servicios de Gestión de Credenciales

Se introducirá el servicio de gestión de credenciales. Estas características se pueden dividir en roles de cliente y servidor.

El servicio de certificados del cliente consiste en el registro automático y el roaming de credenciales. La inscripción automática no es nueva, pero su arquitectura se ha rediseñado para la seguridad en Windows Vista y Windows Server 2008.

Credential Roaming es una nueva función introducida en Windows Server 2003 SP1 y ahora es una parte integral de Windows Vista y Windows Server 2008.

El lado del servidor incluye la función Servidor de certificados de Active Directory. Primero, tenemos un agente de registro delegado que define privilegios de registro específicos.

Finalmente, tenemos un servicio de registro de dispositivos de red integrado, que es una implementación de Microsoft para protocolos de registro de certificados simples de dispositivos de hardware.

En Windows, la inscripción automática no es realmente un componente nuevo, pero su arquitectura se ha reescrito para reducir la superficie de ataque.