You are on page 1of 6

MIGRACIJA NA WINDOWS 2008 SERVER INFRASTRUKTURU SA JAVNIM KLJUCEVIMA MIGRATIONE TO WINDOWS 2008 SERVER PUBLIC KEY INFRASTRUCTURE

Nenad Petrovi Nacionalna Sluba za zapoljavanje Sadraj Windows platforma ukljuuje jaku podrku za infrastrukturu sa javnim kljuevima jo od verzije Windows 2000. U sledeoj generaciji tj. Windows server 2003, mogunosti infrastructure sa javnim kljuevima su proirene mogunostima enrollment opcija realizovanih template sertifikatima verzije 2, kao I podrkom za autoEnrollment korisnikih sertifikata.U poslednjoj verziji tj windows server 2008 platformi , koji je I predstavljen u ovom radu, napravljen je veliki iskorak sa podrkom za napredne algoritme, validacijom sertifikata u realnom vremenu kao I efikasnom upravljivou sistema. PKI infrastruktura na Windows 2008 platformi je fokusirana u cetiri osnovna pravca: kriptografija, Enrollment, upravljanje I opoziv sertifikata.Pored navedenih poboljanja, Windows2008 PKI donosi unapredjenja uvodjenjem Roles Managera ime se kreiranje I primena novih CA-ova u postojeoj infrastrukturi u velikoj meri pojednostavljuje. Abstract - Windows has included strong platform support for public key infrastructure (PKI) since the release of Windows 2000. In next generation Windows Server 2003,expanded to provide more flexible enrollment options with version 2 certificate templates and support for auto-enrollment of user certificates. In next generation Windows Server 2008, that had presented in this paper, made a great step forward with support for advanced algorithms, real-time validity checking, and better manageability. PKI infrastructure on Windows 2008 platform is focused in four main directions: cryptography, Enrollment, management and revocation of certificates. In addition to these improvements, Windows2008 PKI shall promote the introduction of Roles Manager which design and implementation of new CA's in the existing infrastructure greatly simplifies. 1.UVOD U ovom radu analizirani su i predstavljeni mogui scenariji migracije postojee infrastrukture sa javnim kljuevima ( PKI) Win 2003 na infrastrukturu Win 2008 PKI. Pored moguih scenarija definisane su i metode u verifikaciji migriranog sistema, a koje omoguavaju da se otklone sve greke i nedostaci pre same implementacije istog. U prethodnim verzijama Windows PKI sistema, samo CA i Web Enrollment su bile sastavni deo operativnog sistema. Migracijom na Windows 2008 PKI ostvarujemo pogodnosti kroz jo dva servisa i to Online Responder i Network Device Enrollmnt (NDES), koji su sa prethodna dva, sastavni deo operativnog sistema Windows 2008 server. U cilju poveanja bezbednosti PKI sistema, pojednostavljenja u upravljanju i pojednostavljenja u implementaciji, migracija na Windows 2008 PKI je nezaobilazni process IT sistema. Sam proces migracije sastoji se iz nekoliko faza : priprema AD, nadogradnja eme AD, template sertifikata i verifikacije migriranog sistema. 2. PRIPREMA AKTIVNOG DIREKTORIJUMA ZA MIGRACIJU NA WINDOWS 2008 PKI Nadogradnja postojee infrastrukture sistema sa javnim kljuevima Windows 2003 servera na Windows 2008 PKI povlai za sobom tri osnovna pitanja: a) Da li je potrebno u postojeoj umi migrirati domen kontrolere na Windows server 2008 ? Odgovor na ovo pitanje je da nije potrebno. Naime mogue je implementirati Win 2008 PKI u direktorijumskom okruenju sa Win 2000 i Win 2003 domen kontrolerima. b) Da li je potrebno podii nivo domena ili nivo ume na nivo Win 2008 ? Odgovor na ovo pitanje je ne. Infrastruktura sa javnim kljuevima Win 2008 PKI nema zahteva u pogledu funkcionalnog nivoa domena ili ume. c) Koji je osnovni zahtev u pogledu implementacije Win 2008 PKI sistema? Osnovni zahtev se odnosi na pripremu aktivnog direktorijuma direktorijumskog servisa ( AD DS).

Priprema okruenja aktivnog direktorijuma se izvodi u nekoliko koraka: A.ANALIZA OKRUENJA AD-a U procesu analize treba preduzeti nekoliko koraka, neposredno pre same instalacije enterprise okruenja infrastrukture sa javnim kljuevima i to: Utvrivanje broja uma Broj uma u direktorijumskom okruenju direktno utie na broj enterprise Sertifikacionih tela ( CA). Ovaj broj je uslovljen injenicom da Enterprise CA moze da izdaje sertifikate samo korisnicima i raunarima koji pripadaju istoj umi.Naime ako u organizaciji postoji vie uma, neophodno je da u svakoj od uma instaliramo najmanje jedan CA.

Utvrdjivanje broja domena u umi Ukoliko u direktorijumskom okruenju imamo vie od jednog domena, bitno je utvrditi u koji od postojeih domena treba podii sertifikaciono telo ( CA) Izbor domena u kome e biti instaliran CA zavisice od toga da li organizacija koristi centralizovan ili decentralizovan nain upravljanja. Naime u centralizovanom CA e biti instalirani u jednom domenu a u decentralizovanom CA-ovi su distribuirani. Utvrdjivanje lanstva lokalnih administratorskih grupa servera lana Ukoliko u sistemu koristimo kriptografski sistem za zatitu CA-ovih privatnih kljueva, svi lanovi CAovih lokanih Administratorskih grupa e imati mogunost exporta istih. Iz tog razloga potrebno je identifikovati domene ili organizacione jedinice sa najmanjim brojem lokalnih aministratorskih grupa. Utvrdjivanje verzije eme aktivnog direktorijuma Da bi ostvarili sve prednosti i funkcionalnosti koje nudi Windows server 2008 PKI, moramo implementirati poslednju verziju AD DS eme. Implementacija eme Windows 2008 server je mogua u umi koja sadri Windows 2000 SP4, Windows 2003 i Windows 2008 domen kontrolere. B.NADOGRADNJA EME AD-a Navedeni proces je jedan od osnovnih uslova koji omoguava da se iskoriste brojne prednosti i funkcionalnosti u sistemu Windows 2008 PKI od kojih moemo izdvojiti: Enrollment servis za mrene uredjaje Windows 2008 PKI podrava automatsko izdavanje sertifikata CISCO mrenim uredjajima korienjem Simple Certificate Enrollment Protocol-a (SCEPa).Naime SCEP podrava izdavanje sertifikata mrenim uredjajima bez zahteva za kreiranjem kompjuterskog naloga za uredjaje u sistemu aktivnog direktorijuma. Sistem za validaciju sertifikata Responder Windows 2008 server uvodi tzv. stalno dostupni servis odgovora validnosti sertifikata. Korienjem Online Certificate Status Protocol-a ( OSCP) responder servisa tj uvodjenjem entiteta validation authority ( VA), omoguena je jednostavna validacija opoziva sertifikata korisnika u odnosu na postojei sistem CRL lista. Podrka za template sertifikate verzije 3 Prelaskom na Windows 2008 emu omoguena je primena template sertifikata V3 i time stvorene mogunosti za primenu CNG tj kriptografskih algoritama sledee generacije. Podrka za kvalifikovan profil sertifikata Pojam kvalifikovanog profila sertifikata opisan je RFC 3739 dokumentom.Ovom podrkom omogueno je izdavanje sertifikata sa visokim stepenom potpisivanje.Naime sigurnosti za digitalno kvalifikovan elektronski sertifikat poseduje

mogunost integrisanja biometrijske informacije vlasnika sertifikata. Nadogradnja eme Aktivnog direktorijuma je proces koji se odvija u nekoliko koraka: Prvi korak je identifikovanje servera sa ulogom schema operations master kao to je prikazano na slici 1

Sl.1 Prikaz Domen kontrolera sa ulogom Schema Operations Master Postupak utvrdjivanja domen kontrolera sa ulogom schema operations master sastoji se iz nekoliko koraka: Startovati Command Prompt Ukucati komandu regsrv32 schmmgmt.dll Startovati MMC konzolu i dodati modul Active Directory Schema Desnim klikom izabrati opciju Change Master

U polju Current Schema Master je definisano FQDN ime servera koji ima trenutnu ulogu Schema Master domen kontrolera. Drugi korak podrazumeva proces nadogradnje eme Nakon identifikovanja Schema Master domen kontrolera, preko konzole, zapoeti proces logovanja. Ulogovati se kaorisenjem naloga koji je lan Schema Admins ili Enterprise Admins grupe na root domen kontroleru u umi ili lan domenske Administratorske grupe domena iji je lan i sam Schema Master domen kontroler.I ovaj proces se izvodi u nekoliko koraka: Pozicionirati se na drive u kome se nalazi instalacioni disk Win 2008 na folder sources/adprep Izvriti pripremu ume komandom adprep /forestprep .Ukoliko je operacija uspena dobie se poruka Adprep successsfully.

Neophodno je da se izmena izreplicira na sve domen kontrolere.Kada se zavri proces replikacije prelazimo na sledei korak u kome vrimo pripremu svih domena u umi na osnovu sledece procedure:

Ulogovati se na domen kontroler koji ima ulogu infrastructure master Pozicionirati se na drive sa instalacionim diskom win 2008 i to na folder source/adprep Izvrsiti komandu adprep /domainprep /gpprep

aktivnog direktorijuma nije podran.Pored iznetog podatka bitno je znati da u procesu nadogradnje na Windows server 2008 PKI nije podrana direktna nadogradnja izmedju razliitih arhitektura procesora.U ovom sluaju moe se postupiti jednom od tri navedena metoda: a) Implementacija nove infrastrukture CA Ovo je prvi od tri navedena metoda za migraciju na x64 platformu a prikazana je na slici 3 na kojoj je primenjena migracija nad dva issuing CA servera.

Navedenu proceduru treba sprovesti na svaki domen u umi aktivnog direktorijuma. Treci korak je modifikacija grupe Cert Publisher

Navedenoj grupi je dodeljena dozvola za itanje i upisivanje informacija o atributima korisnikog sertifikata.Pri tome je bitno naglasiti injenicu da ukoliko CA izda sertifikat korisniku, i ukoliko postoji zahtev za objavlivanje sertifikata, proces ce biti prekinut ukoliko CA nije lan grupe Cert Publishers. 3. MIGRACIJA POSTOJEE PKI INFRASTRUKTURE Kada govorimo o migraciji postojee infrastrukture sa javnim kljuevima treba istai da se razlikuje od procesa uvodjenja nove infrastrukture. U daljem tekstu predstavljen je jedan od modela migracije na Windows 2008 PKI. U procesu migracije prvi korak je utvrdjivanje koja verzija Windows Certificate Services e biti nadogradjena. Drugi korak je utvrdjivanje da li se nadogradnja radi na operativnom sistemu Windows sa 32bitnom ili 64-bitnom arhitekturom procesora.Jedan od metoda koji se preporuuje je tzv. in-place nadogradnja koju ne podravaju sve verzije Windows Certificate Services-a.U sledeoj tabeli na slici 2 dat je prikaz moguih in-place nadogradnji u zavisnosti od verzije operativnog sistema

Sl3.Implementacija nove infrastrukture u procesu migracije U prikazanom scenariju moemo izdvojiti nekoliko koraka Instalacija dva nova issuing CA servera sa novim NETBIOS imenima Svi postojei template sertifikati se povlae na CA-ovima sa x32 arhitekturom ime se onemoguava proces iznajmljivanja sertifikata sa navedenih servera Postojei CA serveri nastavljaju da funkcioniu ali samo u domenu objavljivanja liste iznajmljenih sertifikata ili CRL liste Ukoliko je ukljuena i opcija arhiviranja para kljueva na x32 platformi tada je neophodno uraditi migraciju na 64-bitnu platformu

Sl2. Podrane nadogradnje Na osnovu tabele vidimo da je jedina verzija nad kojom je mogua direktna nadogradnja je Windows 2003 SP1 ili novijim ili windows 2003 R2. Jedan od bitnih podataka je da ukoliko imam Windows Certificate Services instaliran na Windows 2003 platformi sa Itanium sistemom, nije mogue izvriti nadogradnju na Windows 2008.Naime na navedenom sistemu servis

b) Nadogradnja postojeih CA-ova na Windows 2008 a zatim migracija CA baze, sertifikata, i para klueva na sistem sa arhitekturom x64 Win 2008 U ovoj strategiji prvo pristupamo nadogradnji postojee baze CA, sertifikata i para kljueva a nakon ove nadogradnje pristupamo migraciji i to:

Bekapjujemo nadogradjenu bazu CA korienjem komande certutil backupdb Zatim pristupamo exportu CA ovih privatnih kljueva i CA sertifikata.Ovaj korak zavisi prvenstveno od primenjenog kriptografskog sistema za zatitu privatnog kljua ili CSP-a. Sledei korak je bekap kljua u registry bazi i to HKLM/SYSTEM/CurrentControlSet/Services/C ertSvc Bekap konfiguracionog fajla tj CAPolicy.inf fajla

b) In-place proces nadogradnje Realizacija navedene nadogradnje sprovodi se primenom sledee procedure: U sluaju da je CA koji nadogradjujemo issuing CA, potrebno je podesiti da Enterprise Adminstratorska grupa bude lan lokalne Administratorske grupe Nakon toga ulogovati se na CA korienjem naloga koji je lan Enterprise Admins Group Uraditi bekap svih fajlova koji se odnose na servis Certificates Upotrebiti instalacioni disk Windows server 2008 sa istom verzijom operativnog sistema koja odgovara trenutno korienoj Pre samog procesa instalacije prihvatiti opciju online update Izabrati opciju Full Instalation i zatim opciju Upgrade Nakon uspeno obavljenog Upgrade ulogovati se na isti sa nalogom koji je lan Enterprise Admins Group Otvoriti Certification Authority i proveriti statuse svih servisa

Nakon ovih postupaka servere sa 32-bitnim operativnim sistemom obavezno skidamo sa mree, nakon ega podiemo servere sa 64-bitnom arhitekturom.Prilikom podizanja nove infrastrukture voditi rauna o sledeim savetima: 64-bitni CA se instalira na istoj ediciji Win 2008 servera kao i prethodni 32-bitni CA-ovi - 64-bitni CA-ovi mora imati isto NETBIOS ime kao i 32-bitni CA-ovi - 64-bitni CA-ovi se moraju nalaziti u istom domenu ili grupi kojoj su i pripadali 32-bitni CA-ovi Nakon obavljenih priprema treba pristupiti restore proceduri za CA par kljueva, CA baze, CA registry kljua i CAPolicy.inf fajla. Migracija postojee baze CA,sertifikata i para kljueva x32 Win 2003 na X64 Win 2003 CA a nakon toga nadogradnja na CA na x64 Win 2008 platformi Poslednja strategija je slina prethodnoj i izvrava po sledeoj proceduri: - Bekapovati bazu CA, par kljueva, sertifikate, registry kljua i CAPolicy.inf fajla na postojeem 32-bitnom CA sistemu - Skinuti sa mree 32-bitne CA-ove - Instalirati 64-bitne CA-ove sa istim NETBIOS imenima i u istom domenu ili grupi - Restore bekapa CA elemenata c) 3. PROCES NADOGRADNJE NA WIN 2008 PKI Proces nadogradnje se izvodi u nekoliko faza i to: a) Priprema AD DS Pre procesa nadogradnje CA-ova na Windows 2008 strukturu moramo sprovesti nadogradnju eme Aktivnog direktorijuma na Windows 2008 verziju. Bitno je naglasiti da nadogradnja eme ne zahteva i nadogradnju domen kontrolera.Nadogradnju sprovodimo u nekoliko koraka: Identifikovanje domen kontrolera sa ulogom schema master, sobzirom da se na njemu i vri nadogradnja eme Proces replikacije izmena na sve domen kontrolere u umi Opciono primeniti nadogradnju domena korienjem naredbe adpre /domainprep /gpprep

c) Nadogradnja template sertifikata Prelaskom na Windows server 2008 PKI pored postojeih template sertifikata pojavljuju se jo dva i to: OSCP Response Signing Kerberos Authentication

U cilju dodavanja novih template-a primeniti sledeu proceduru: Ulaniti Windows server 2008 u domen Podesiti da Enterprise Adminstratorska grupa bude lan lokalne Administratorske grupe U start menu ukucati komandu certtmpl.msc, nakon ega e se pojaviti poruka da li elimo da instaliramo novi template U konzoli Certificate Templates proveriti prisutnost novih template sertifikata

d) Aktivacija dodatnih mogunosti tj opcija koje dolaze sa Windows 2008 serverom Nakon prethodne operacije u kojoj smo odradili nadogradnju na Windows 2008 server na postojeem CA, neophodno je pristupiti promeni hash algoritma.Kod promene hash algoritma treba razlikovati dva sluaja i to: a) CSP sa CryptoApi verzijom 1 U ovom sluaju promenu hash algoritma mogue je izvriti na jedan od dostupnih algoritama:SHA1, MD2, MD4, MD5. Promena hash algoritma obavlja se po sledeoj proceduri: U prvom koraku utvrdjujemo koju vrstu CSP koristi CA komandom certutil getreq ca\csp\provider U zavisnosti od rezultata izvrenja prethodne komande potrebno je utvrditi koji algoritam

koristi CA i to u sluaju CSP CryptoAPI V1 korienjem komande certutil v csplist > csplist.txt. Kao rezultat prethodne komande dobiemo sledei rezultat prikazan na slici 4 a u kome se moe videti vrsta algoritama

vrednosti definisane u polju CRL Distribution Point (CDP). Ukoliko nakon nadogradnje URL-ovi nisu dobro konfigurisani download sertifikata ili liste e biti onemoguen.Ovo je vrlo bitno jer nije mogue za izdati sertifikat uraditi povratak na prethodni korak u kome bi se vrila izmena AIA i CDP ekstenzija. U procesu verifikacije AIA i CDP ekstenzija mogue je koristiti dva osnovna alata i to: a) PKI Health Toll Ovaj alat koji se startuje kroz konzlu PRIEVIEW.MSC je alat koji kroz grafiki interfejs daje prikaz CA hijararhije sa AIA i CDP ekstenzijama za svaki od CA-ova.PKI Health Tool je sastavni deo Win 2003 Resource Kit-a ali je u Windows 2008 integrisan.Naime ovaj alat se automatski instalira sa ukljuivanjem Active Directory Certificate Services role.Kada startujemo navedeni alat pojavie se maska kao na slici 5.

Sl4. Rezultat izvravanja komande certutil Za promena algoritma u sluaju CSP CryptoAPI V1 koristiti naredbu certutil setreq ca\csp\HashAlgorithm 0x8004. Nakon sprovedenih komandi obavezno restartovati CA.

b) CSP sa CNG ( Cryptography Next Generation) Cryptography Next Generation poseduje mogunost promene hash algoritma na jednu od moguih verzija: SHA1, MD2, MD4, MD5, SHA256, SHA384, SHA512, AES-MAC - U sluaju CNGCSP korienjem naredbe certutil getreq ca\csp\CNGHashAlgorithm utvrdjujemo trenutno korienu verziju algoritma - Za promenu treutno korienog algoritma neophodno je primeniti sledeu komandu certutil setreq ca\csp\CNGHashAlgorithm sha384, gde na kraj komande definiemo vrstu hash algoritma - Nakon izvenih komandi obavezno restartovati CA Jedna od bitnih injenica koje nikako ne smeno zaobii, je ta da nije mogua promena provajdera, tipa provajdera kao i CNGPublickeyAlgorithm-a.U suprotnom dolazi do pada Certificate servisa.

Sl5. PKI Health Tool konzola Na konzoli se jasno uoava status svakog od CA u infrastrukturi PKI sistema a takodje i vrednosti polja AIA i CDP za svaki od CA-ova.Instalacija ovog alata se izvodi kroz panel Features Summary tj ekiranjem opcije Certification Authority Tool kao na slici 6.

4. VERIFIKACIJA PROCESA MIGRACIJE PKI INFRASTRUKTURE Ovaj korak je jedan od najvanijih, a na osnovu koga moemo utvrditi da li su svi CA-ovi infrastrukture sa javnim kljuevima pravilno konfigurisani. Bilo kakva nekorektnost mora biti utvrdjena i otklonjena pre samog procesa putanja u produkciju. U ovoj fazi definiu se preporuke kao i alati koje treba koristiti u procesu verifikacije. Prvi korak u verifikaciji je proces u kome treba utvrditi da li test klijent ima mogunost dovlaenja sertifikata i liste opozvanih sertifikata.U ovom koraku treba voditi rauna da se sertifikat dovlai sa lokacije koja je navedena u URL polju u okviru AIA ekstenzije, a CRL lista sa

Sl6. Instalacija Certification Administration Tool-a Kada se jednom instalira, konzola se startuje kocanjem komande pkiview.msc.Jedan od bitnih koraka je i podeavanje globalnih opcija navedenog alata.Da bi smo podesili globalne opcije neophodno je u mmc konzoli desnim klikom mia na Enterprise PKI izabrati opciju Options.Nakon ove operacije pojavie se ekran kao na slici 7.

b) Certutil Certutil.exe je alat koji radi u komandnom reimu i koji korienjem switch-eva verify i urlfetch omoguava validaciju AIA i CDP ekstenzija, odnosno viewstore kojim utvrdjujemo sadraj stor-ova.

5. ZAKLJUAK Sl7. Global options PKI Health Tool Posmatrajui sliku vidimo da je mogue podesiti tri paramatra A)The expiring certificate indikator definie koliko dana pre isteka sertifikata e PKI Health Tool dati informaciju o isteku B)The Base CRL experision indikator ukazuje na upozorenje o isteku CRL liste.Ako CRL listu objavljujemo dnevno ova vrednost se postavlja na 8 sati C)The delta CRL experation indikator je slian prethodnoj, stime da ukoliko se Delta CRL lista objavljuje dnevno, ova vrednost se podeava na 4 sata. Pored validacije statusa ovaj alat daje informacije o Active Directory Certificates i CRL storovima.Maska pomou koje radimo menadzment storova prikazana je na slici 8 Migracija postojee infrastrukture Windows 2003 server PKI na Windows 2008 server PKI je neizbean proces .Prelaskom na novu infrastrukturu ostvariemo brojne prednosti od koji moemo izdvojiti : Cryptography Next Generation (CNG)-poveanje bezbednosti, Online Certificate Status Protocol (OCSP)- jednostavno i efikasno dobijanje statusa izdatih i povuenih sertifikata u realnom vremenu, Network Device Enrollment Services (NDES)- podrka za mrene uredjaje, Version 3 Certificate Templates, Detailed Enrollment Agent delegation- jednostavno upravljanje pravima za izdavanje sertifikata I Detailed Certificate Manager-a. Ovo su samo neke od prednosti koje utiu na donoenje odluke o migraciji na Window 2008 PKI infrastrukturu.

LITERATURA [1] Brian Komar, Windows server 2008 PKI and Certificate Security [2] Microsoft Official Course 2821: Deploying and Managing a Public Key Infrastructure (http://www.microsoft.com/learning/en/us/course.aspx?ID =2821A&locale=en-us) [3] Microsoft Official Course 6416B: Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008 Sl8. Menadzment konzola storova U okviru managament store ekrana mogue je sprovesti analizu sledeih storova: -Certification Authorities Container koji sadrzi sertifikate svih root CA-ova u organizaciji -Enrollment Services Container sadri sve Enterprise CA sertifikate u organizaciji -KRA Container sadri sve Key Recovery Agent sertifikate publikovane u AD DS -CDP Container sadri osnovnu i delta CRL listu za svaki CA a koji izdaju revocation liste u AD DS -AIA Container sadri CA sertifikate svih CA-ova u infrastrukturi PKI -NTAuthCertificates sadre zapise svih CA-ova koji su izdali sertifikata za smart card logon i Remote authentication [4] Carsten B. Kinder, Active Directory Certificate Server Enhancements in Windows Server Longhorn