Académique Documents
Professionnel Documents
Culture Documents
Course
Mdulo 6
certificados
cruzada?
O que PKI?
PKI
uma abordagem padro a ferramentas,
tecnologias, processos e servios baseados em
segurana que so usados para aprimorar a
segurana de comunicaes, aplicativos e
transaes comerciais
baseada na troca de certificados digitais entre
usurios autenticados e recursos de confiana
A PKI oferece
Confidencialidade
Integridade
Autenticidade
No repdio
Autoridade de
Certificao
Certificados digitais
Servios e aplicaes
pblicas habilitadas
por chave
Modelos de
certificado
Ferramentas de
gerenciamento de
autoridade de
certificao e
certificados
CRLs e
respondentes
online
AIA e CDPs
O que so CAs?
AC raiz
Emite um
certificado
autoassinado
prprio
Verifica a
identidade do
solicitante
docertificado
Emite certificados
para usurios,
computadores e
servios
Gerencia
arevogao
docertificado
x
nu
i
L
Respondente online
Registro
Fire
wal
l
in
W
s
w
o
d
s
w
o
d
Proxy
Poltica
AC raiz
AC subordinada
AC
subordinada
Organizao 1
Organizao 2
Organizao 1
AC raiz
AC
subordinada
Organizao
2
instalao
AC raiz
Emitindo as ACs
Emitindo a AC
Emitindo a
AC
Emitindo a
AC
Uso da AC de polticas
Hierarquia de duas
camadas
AC raiz
AC raiz
AC de
polticas
AC de
polticas
Emitindo a
AC
Emitindo a AC Emitindo a
AC
Emitindo a
AC
Emitindo a ACEmitindo a
AC
ACs corporativas
Requer o uso do AD
DS
Pode usar a Poltica de
Grupo para propagar
ocertificado para um
repositrio de
certificado AC raiz
confivel
Os usurios fornecem
informaes de
identificao eespecificam
o tipo decertificado
Publica certificados de
usurio e CRLs em AD
DS
No necessita de modelos
decertificados
Todas as solicitaes de
certificados so mantidas
pendentes at a aprovao
doadministrador
D suporte ao registro
automtico para
emitir certificados
Nome do computador
e
associao do domnio
no podem ser
alterados
Nome e
Configurao
Banco de dados
do certificado
e local do log
Perodo de validade
Planejamento de uma AC Raiz
Certificado
CSP
Padro: 2048Algoritmo de hash
Tamanho da chave em caracteres
Configurao de chave privada
S/MIME
EFS
Raiz
Raiz
Subordinad
o
Subordinad
o
RAS
ndia
Canad
EUA
Locais
Usos do certificado
Raiz
Raiz
Subordinad
o
Subordinad
o
Balanceamento de carga
Funcionri
o
Contratant
e
UOs
Parceiro
CPS
Identificador de objeto
Configuraes de renovao da AC
Tamanho da chave
subordinada
corporativa
Informaes de logon
Mquinas virtuais
Nome de Usurio
Senha
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Adatum\Administrador
Pa$$w0rd
Cenrio do laboratrio
Como a A. Datum Corporation expandiu, os
seus requisitos de segurana tambm
aumentaram. Odepartamento de segurana
est interessado principalmente em habilitar o
acesso seguro a sites crticos e em oferecer
segurana adicional para os recursos. Para
resolver esses e outros requisitos de
segurana, a A. Datum decidiu implementar
uma PKI usando a funo ADCS no Windows
Server 2012
Como um dos administradores de rede snior
daA.Datum, voc responsvel por
Reviso do laboratrio
Por que no recomendado instalar apenas
deummodelo de certificado
Controle total
Leitura
Gravao
Registro
Registro automtico
Descrio
Permite que um usurio, um grupo ou um
computador designado modifique todos
os atributos (inclusive propriedade e
permisses)
Permite que um usurio, grupo ou
computador designado leiam o
certificado no AD DS aoseregistrar
Permite que um usurio, um grupo ou um
computador designado modifique todos
osatributos, exceto as permisses
Permite que um usurio, grupo ou
computador designado se registre no
modelo de certificado
Permite que um usurio, um grupo ou um
computador designado receba um
certificado pelo processo de registro
Sesso
autenticada
Usurios
Logon do carto
inteligente
Servidor Web
IPsec
Computadores
Usurio
Usurio de carto
inteligente
Computador
Controlador
dedomnio
Origina
l
Atualizad
o
Modificao
Modifique o modelo de
certificado original para
incorporar as novas
configuraes
Substituio
Carto
inteligente 1
Carto
inteligente
2
Uso
Registro automtico
Registro manual
Registrar em nome
de
Modelo de certificado
Autoridade
deCertificao
Objeto de poltica
de grupo
Mquina cliente
Roteador de rede
Autoridade
deCertifica
o
Rede
NDES
Usa SCEP para se comunicar com os
dispositivos de rede
Funes como um servio de funo dos AD
CS
Requer o IIS
3
3
2
2
A revogao de
certificado publicada
Internet
Firewall
Offline
AC raiz
FTP Server
Firewall
KRA
registre
no certificado
Demonstrao: Configurao da AC do
arquivamento dechave
N de srie:
00AD036
PKCS#7
2
2
1
1
6
6
A chave privada
perdida ou
danificada
O usurio importa
a chave privada
O Gerenciador de
Certificados extrai o
nmero PKCS#7 da
AC
O gerenciador de
certificados localiza
onmero de srie
docertificado
4
4
5
5
O KRA recupera
a chave privada
O Gerenciador de
Certificadostransfere o
nmero PKCS#7 para o
KRA
Cenrio do laboratrio
Como a A. Datum Corporation expandiu, os seus
requisitos de segurana tambm aumentaram. O
departamento de segurana est interessado
particularmente em habilitar o acesso seguro asites
crticos, e a fornecer segurana adicional para recursos
como EFS, cartes inteligentes e o recurso DirectAccess
do Windows 7 e do Windows 8. Para resolver esses e
outros requisitos de segurana, a A. Datum decidiu
implementar umaPKI usando a funo ADCS no
Windows Server 2012
Como um dos administradores de rede snior da A.
Datum, voc responsvel por implementar a
implantao do ADCS. Voc vai implantar a hierarquia
de AC, desenvolver osprocedimentos e processos de
Reviso do laboratrio
Quais so os principais benefcios do OCSP
sobrea CRL?
O que voc deve fazer voc para recuperar
aschaves privadas?
Perguntas de reviso
Problemas e cenrios reais
Ferramentas
Prtica recomendada
Problemas comuns e dicas de soluo
deproblemas