PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI...
-
Upload
truongtuong -
Category
Documents
-
view
248 -
download
7
Transcript of PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI...
![Page 2: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/2.jpg)
2
Inhalt
Was ist eine PKI?Warum eine PKI bauen?PKI mit openssl und OpenCACommon pitfallsRootCASubCASoftzertifikateSmartCard ZertifikateAusblick
![Page 3: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/3.jpg)
3
Was ist eine PKI?
Public Key InfrastructureX.509v3 ZertifikateRSA Schlüssel 1024 Bit -> 2048 BitECC (elyptic curve cryptography)Hashalgorithmen SHA-1 -> SHA256TrustCenter -> CA (Certification Authority)SubCA -> CARegistrierungspunkt -> RA (Registration Authority)Signatur: Hashverschlüsselung mit Private KeyVerifikation: Hashentschlüsselung mit Public KeyZertifikatskette
![Page 4: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/4.jpg)
4
X.509v3 Zertifikate
Version, Herausgeber
GültigkeitPublic Key
![Page 5: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/5.jpg)
5
X.509v3 Zertifikate
Extensions
CDP'sSignatur
![Page 6: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/6.jpg)
6
X.509v3 Zertifikate (Windows)
Allgemein
Schlüsselverwendung
DNAusstellerGültigkeit
![Page 7: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/7.jpg)
7
X.509v3 Zertifikate (Windows)
Details
VersionGültigkeitDN / AusstellerPublic Key
![Page 8: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/8.jpg)
8
X.509 Zertifikate (Windows)
Details
Extensions
![Page 9: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/9.jpg)
9
RSA Schlüsselpaare
Heute 1024 BitAb 2008 2048 Bit (SigG)ECCRoot Zertifikate 4096 BitEndUser Zertifikate 1024 Bit
![Page 10: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/10.jpg)
10
Hashalgorithmen
Sicherheit nicht beweisbarAktuell SHA-1Ab 2008 SHA-256 (SigG)Andere :
MD5 brokenRIPE-MDSHA-X
![Page 11: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/11.jpg)
11
Trustcenter CA (Certification Authority)
OfflineUnterschied zu PGP : Wir vertrauen der Wurzel (Root)PGP : Web of TrustSelfsigned Root Certifikate Subject = IssuerHSM (Hardware Security Module)Aufgaben:
Authentifizierung von SubCA'sZertifikatsausgabe für SubCA'SRückruf von ZertifikatenSperrlistenausgabe (Certificate Revocation List CRL)
![Page 12: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/12.jpg)
12
SubCA
OfflineCAMasterSubCA Zertifikat ausgestellt von RootCAbestimmter Verwendungszweck (Logon, Email ...)Betrieb einer oder mehrerer RA'sAufgaben:
Ausstellung von Zertifikaten (EndUser)Sperrung von Zertifikaten (EndUser)Ausgabe von Sperrlisten
![Page 13: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/13.jpg)
13
RA (Registration Authority)
OnlineRAMasterseparation of dutyAufgaben:
Identitätsprüfung von NutzernAusgabe von ZertifikatenVeröffentlichung der (sub)CA Sperrlisten (http / ldap)
![Page 14: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/14.jpg)
14
Signatur
Hashwertbildung über DokumentRSA Verschlüsselung des Hashesenc(Hash)+Zertifikat+Info = Signatur
![Page 15: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/15.jpg)
15
Verifikation
Hashwertbildung über Dokument (Hash-I)Prüfung Zertifikat (Zertifikatskette, Sperrliste)Extraktion Public KeyEntschlüsselung enc(Hash) = Hash-IIHash Vergleich Hash-I == Hash-II?
![Page 16: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/16.jpg)
16
Zertifikatskette
![Page 17: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/17.jpg)
17
Warum eine PKI bauen?
Digitale SignaturVerschlüsselungAuthentifizierungZugangsschutz / Zeiterfassung
![Page 18: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/18.jpg)
18
Digitale Signatur
Signatur von EmailsSignatur von DokumentenDigitale Archive (SigG)LangzeitarchivierungDigitaler Rechnungsausgang (SigG)Digitaler Posteingang (SigG)
![Page 19: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/19.jpg)
19
Verschlüsselung
Verschlüsselung von EmailsVerschlüsselung von DokumentenVerschlüsselung von Partitionen transparent
EFSBitlocker
![Page 20: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/20.jpg)
20
Authentifizierung
XDM, GDM, KDM Logon (Smartcard)Winlogon (Smartcard)OpenVPNSSL (serverseitig)Bidirektionales SSL (server,-clientseitig) Apache/IISPropriätere Softwarelösungen
![Page 21: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/21.jpg)
21
Zugangsschutz / Zeiterfassung
Zuganskontrollsysteme (Zutritt E4NetKey)Zeiterfassung
![Page 22: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/22.jpg)
22
PKI mit openssl und OpenCA
openssl (http://www.openssl.org)OpenCA (http://www.openca.org)Struktur
RootCA opensslSubCA OpenCARA OpenCALDAP OpenLDAP
![Page 23: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/23.jpg)
23
openssl
Vollständige ImplementierungPKCS#11 Engine
SmartcardeinsatzHSM Einsatz
Deployment SupportVersion : 0.9.8e
![Page 24: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/24.jpg)
24
OpenCA
Vollständige ImplementierungHSM UnterstützungCA / RA Konzept (separation of duty)Authentifizierungskonzept (X.509)common templatesLDAP AnbindungVersion 0.9.3 rc1LiveCD (pitfalls)
![Page 25: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/25.jpg)
25
Struktur
openssl/SmartCard
OpenCA / CA
OpenCA/RA/LDAP
Linux / Windows ...
![Page 26: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/26.jpg)
26
Common pitfalls
Fehlender Egoismus4 Augen PrinzipErzeugung von SchlüsselnDN's von RootCA,- SubCA-ZertifikatenFehlender CPSKeine Sperrlisten (CRL's)Falsche CDP'sKeine PfadlängeFehlende RedundanzRecovery AgentBackupIssuing CA mit SmartCardPKCS#15 Karten
![Page 27: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/27.jpg)
27
Egoismus
Selbstschutz bei Erzeugung von SchlüsselnSelbstschutz bei Erzeugung von Zertifikatennonrepudiation (unabweisbar)Fusion
![Page 28: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/28.jpg)
28
4 Augen Prinzip
RAMaster, CAMaster4 PersonenTeilung von PasswörternTeilung von realen Schlüsseln für CA Zugriff (Stahlschrank)
![Page 29: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/29.jpg)
29
Erzeugung von Schlüsseln
Nutzung von openssl im RA OfficeErzeugung von PKCS#12 Containern für NutzerWer hatte Zugriff auf private Schlüssel?
![Page 30: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/30.jpg)
30
Distinguished Names
CountryOrganizationCommon name
RICHTIG!
![Page 31: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/31.jpg)
31
Distingueshed Names
Falsch!
●keine OU in Zertifikaten●kein Firmenname in Zertifikaten (Fusion, Egoismus)
![Page 32: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/32.jpg)
32
Distingueshed Names
Class Angabe im Common NameClass 0 - Demozwecke, keine Auth. Class 01 - einfache Auth, EmailClass 02 - fortgeschrittene Auth, Nutzerident. Class 03 – full Auth, persönliches Erscheinen
![Page 33: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/33.jpg)
33
Fehlender CPS
Certificate Practise Statement
Ausgleich zu fehlender Identität im DNRechtliche Absicherung
![Page 34: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/34.jpg)
34
Keine Sperrlisten
Keine Verifikation möglichVerifikationsmodelle
Schalenmodell (shell model)Kettenmodell (chain model)
SigGCRL.issue.time > Signature.creation.time
![Page 35: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/35.jpg)
35
Falsche CDP's
CRL Distribution Point (CDP)Modell der CDP's (User->SubCA->CA)Keine CDP's in Root ZertifikatenRedundanz durch http und ldapRedundanz durch VerteilungKein Company Name in URL's
![Page 36: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/36.jpg)
36
Keine Pfadlänge (CPL)
Certificate Path Length (CPL)Basic Constraint CA:true, pathlen:n
Richtig!
![Page 37: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/37.jpg)
37
Fehlende Redundanz
Sperrlistenabfrage just in timeHTTP schneller als LDAP, trotzdem beide nutzenReihenfolge von URI's in Zertifikaten
![Page 38: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/38.jpg)
38
Recovery Agent
Beispiel verschlüsselte Email SoftzertifikateDateiverschlüsselung, Archive, PartitionenKündigungsgrund
![Page 39: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/39.jpg)
39
Backup
PKI – was gehört ins Backup?Privater Schlüssel (SmartCard)Root ZertifikatEndUser ZertifikateOpenCA Backup ohne privaten SchlüsselMehrfach auf CD Schreiben, Stahlschrank
![Page 40: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/40.jpg)
40
Issuing CA mit SmartCard
Zwischen 200k und 400k SignaturenKeine Garantie
![Page 41: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/41.jpg)
41
PKCS#15 Karten
löschbarprivate Key ausserhalb der KartePKCS#12 Dateien notwendigVergleich Softzertifikate
![Page 42: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/42.jpg)
42
RootCA
ScreenCastSmartCard -> privater SchlüsselPKCS#11, openssl, openscDateisystemstrukturRequest generierenSelfSigned Root Zertifikat
![Page 43: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/43.jpg)
43
ScreenCast
Bau einer RootCA
![Page 44: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/44.jpg)
44
SmartCard
T-TeleSec E4NetKeyEAL 3+ zertifiziertSigG konform, BSI zertifiziert1 x SigG Zertifikat (SigG)3 x Schlüsselpaar (NetKey)6 x Zertifikat (NetKey)Weitere Applikationen
![Page 45: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/45.jpg)
45
Openssl, PKCS#11 engine, opensc
openssl 0.9.8eEngine PKCS#11 opensc.orgopensc-pkcs11.so InterfaceCCID DriverCCID CardReader (SCM SPR532, Cherry ST-2000)
![Page 46: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/46.jpg)
46
Dateisystemstruktur
siehe Downloadsiehe ScreenCast 1Ablage ZertifikateSerialnumber auto incrementindexing database PflegeSubversion für Storage
![Page 47: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/47.jpg)
47
Request generieren
Init
Request
PIN
data
![Page 48: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/48.jpg)
48
SelfSigned Root Zertifikat
Init
Sign
PIN
![Page 49: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/49.jpg)
49
SubCA
opensslOpenCA
![Page 50: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/50.jpg)
50
openssl
Vorteil : einfache InstallationNachteile :
Keygenerierung für Nutzer schwierigopenssl am Arbeitsplatz notwendigVerteilung der ca.config
![Page 51: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/51.jpg)
51
openssl
Request für eine SubCA
![Page 52: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/52.jpg)
52
openssl
RootCA signiert Request
![Page 53: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/53.jpg)
53
OpenCA
Vorteile:Vollständige ImplementierungTrennung RA / CA (Rollenkonzept)WebinterfaceLDAP Unterstützungxenroll.dll für Tokennutzung
Nachteile:schwierige InstallationKomplexe Handhabung
![Page 54: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/54.jpg)
54
OpenCA
siehe ScreenCast'sOpenCA installierenRA / CA trennenCA initialisierenSubCA Request generieren Request exportierenRequest von RootCA signieren lassenSubCA Zertifikat importierenCAMaster, RAMaster Zertifikate ausgebenKonfigurieren, Templates erzeugenKonfiguration signieren
![Page 55: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/55.jpg)
55
Softzertifikate
Windows certificate StoreThunderbird / Firefox interne Security EngineKeygenerierung am ArbeitsplatzNutzung von CSP (M$)Direkte Nutzung (OS)Vorteile:
backupfähig (PKCS#12)Nachteile:
unsicheres StorageKeylogger PIN
![Page 56: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/56.jpg)
56
SmartCard Zertifikate
Fortgeschrittene Zertifikate (Email, Logon)SigG Zertifikate (unabweisbar)Vorteile:
sicheres Keystoragesichere Pineingabe (CCID)anderweitig nutzbarTokenverfahren
Nachteile:kein Backup privater SchlüsselVerlustBeschädigung
![Page 57: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/57.jpg)
57
Ausblick
Elektronischer Personlausweis (epa)Elektronische Gesundheitskarte (egk)Elektronischer ReisepassVorbereitung digitale Signatur (SigG, fortgeschritten)
![Page 58: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/58.jpg)
58
Ausblick
Vielfältige Nutzung:Workstation LogonWinlogonEmailsignatur,- verschlüsselungDateisignatur,- verschlüsselungVPNSSL unidirektionalSSL bidirektional (WebLogon)ArbeitszeiterfassungZutrittsbeschränkung
![Page 59: PKI – CA / SubCA mit openssl - heinlein-support.de · 2 Inhalt Was ist eine PKI? Warum eine PKI bauen? PKI mit openssl und OpenCA Common pitfalls RootCA SubCA Softzertifikate SmartCard](https://reader030.fdocuments.net/reader030/viewer/2022012905/5ad99e6e7f8b9afc0f8b6bb8/html5/thumbnails/59.jpg)
59
Literatur
Openssl Dokumentationhttp://www.openssl.org/docs/apps/openssl.html
OpenSC Dokumentationhttp://www.opensc-project.org/opensc/wiki/
OpenCA Dokumentationhttps://www.openca.org/projects/openca/docs.shtmlhttp://www.openca.info/docs/howto/OpenCA_092_on_debian_dartmouth.txt
CA-Handbuch des DFNftp://ftp.pca.dfn.de/pub/docs/PCA/DFN-PCA/handbuch/ca-hb.pdf