Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm



Relevanta dokument
SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Modul 3 Föreläsningsinnehåll

Kundverifiering av SPs digitala signaturer

Vägledning för implementering av AD-inloggning med SITHS-kort

SITHS Thomas Näsberg Inera

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

SITHS inloggning i AD

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Systemkrav. Åtkomst till Pascal

INSTALLATION AV KLIENT

Innehåll. Dokumentet gäller från och med version

Small Business Server 2011 SSL certifikat administration

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Microsoft Internet Information Services 7 / 7.5

INSTALLATION AV KLIENT

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

Startanvisning för Bornets Internet

FLEX Personalsystem. Uppdateringsanvisning

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med SITHS-Kort mot Landstinget Västmanland

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Administrationsmanual ImageBank 2

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

Installationsguide fo r CRM-certifikat

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

Installationsanvisningar

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Handbok för användare. HCC Administration

Utfärdande av HCC. Utbyte av SITHS CA v3 på kort som kan hantera SITHS CA v1

Massutbyte av HCC. Manual för administration av massutbyte i SITHS Admin

Net id OEM Användarhandbok för Windows

Ladda upp filer fra n PLC till PC

Filleveranser till VINN och KRITA

Mobilt Efos och ny metod för stark autentisering

Startguide för Administratör Kom igång med Microsoft Office 365

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Telia Connect för Windows

Norman Endpoint Protection (NPRO) installationsguide

Innehåll Net ID installation... 2 Instruktion för nedladdning av HCC... 7 Låsa upp kort med hjälp av PUK-koden Byt säkerhetskod...

Att koppla FB till AD-inloggning

Systemkrav och rekommendationer. Åtkomst till Pascal

Uppdateringsguide v6.1

Net id Användarhandbok Windows. Version 1.2

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Kontroll av e-tjänstekort och tillhörande PIN-koder

Kom igång med Swish i kassan!

DIG IN TO. Nätverksadministration

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

Systemkrav och tekniska förutsättningar

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

Konfigurering av eduroam

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Installationsanvisning Boss delad databas

Telia Centrex IP Administratörswebb Handbok

Installationsanvisningar

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

NSL Manager. Handbok för nätverksadministratörer

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

INSTALLATION AV KLIENT

Installationsguide, Marvin Midi Server

Bakgrund Avgränsningar Begreppsförklaring Kortfattade anvisningar... 2

Manual - Phonera Online Backup

SSEK Säkra webbtjänster för affärskritisk kommunikation

LEX INSTRUKTION LEX LDAP

Checklista för tekniskt ansvarig

INSTALLATION AV KLIENT

Nätverksoperativsystem i Datornätverk (Windows Server) DVA202, VT Tentamen

Visma Proceedo. Att logga in - Manual. Version 1.3 /

Systemkrav WinServ II Edition Release 2 (R2)

Installation xvis besökssystem, Koncern

Lathund för Novell Filr

Systemkrav 2014 för enanvändarinstallation fr o m version av

Ansökningsanvisning för SUNET TCS-certifikat via SLU CA.

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Informationsmaterial och manual Nytt körordersystem webb

Portförändringar. Säkerhetstjänster 2.1 och framåt

Installationsbeskrivning för CAB Service Platform med CABInstall

Användarhandledning. edwise Webbläsarinställningar

Systemkrav. Systemkrav för Hogia Approval Manager. Gäller från och med programversion

Hej! Dags att tala om hur du bäst får till en automatiserad inloggning då du använder SharePoint Online, eller andra Microsoft-tjänster.

DNSSec. Garanterar ett säkert internet

Storegate Pro Backup. Innehåll

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Anvisning. Publiceringsverktyg för manuell inläsning av certifikatsinformation till HSA

Ändringar i utfärdande av HCC Funktion

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Telia Centrex IP Administratörswebb. Handbok

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Transkript:

Åtgärdsplan CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

Innehåll 1 Bakgrund... 3 1.1 Syfte... 3 1.2 Funktionen CRL... 3 1.3 Funktionen OCSP... 3 1.4 Rekommendationer... 3 1.5 Förkortningar och förklaringar... 3 2 Windows Server 2003... 4 2.1 Beskrivning...4 2.2 Inloggning...4 2.3 Spärrkontroll...4 2.4 Begränsningar...4 2.5 Krishantering...4 2.5.1 CRL Validity extension...4 2.5.2 Registerförändringar... 5 3 Windows Server 2008... 6 3.1 Beskrivning...6 3.2 Inloggning...6 3.3 Spärrkontroll...6 3.4 Begränsningar...6 3.5 Krishantering...6 3.5.1 CRL Grace time...6 3.6 Risker... 7 4 Manuell CRL hantering... 8 4.1 Bakgrund... 8 4.2 Manuell inläsning av CRL i domänen... 8 4.3 DNS förändring... 8 4.4 IIS...9 4.5 Automatisk nedladdning av CRL... 10 4.6 Risker... 10 5 Andra tjänster som utnyttjar certifikaten... 11 5.1 IIS... 11 6 Beskrivning kortinloggningsflöde... 12 6.1 AD-inloggning... 12

1 Bakgrund 1.1 Syfte Syftet med detta dokument är att beskriva de möjligheter till krishantering som finns om man infört en lösning baserad på smarta kort utfärdade av SITHS för inloggning i den egna infrastrukturen såsom AD. Detta utifall Infrastrukturen för Internet eller SJUNET skulle gå ner, eller till och med utfärdandet av spärrlistor från TeliaSonera. Man måste betänka att man inför ett beroende av en tredje part som dels utfärdar certifikaten, men även hanterar spärr av kort och certifikat. 1.2 Funktionen CRL I fallet SITHS så hanteras och utfärdas denna spärrlista av Telia till två platser, dels en LDAP sökväg vilken endast är åtkomlig via SJUNET. Observera att anmälan måste göras för att få tillgång till CRL via SJUNET. ldap://sithscrl.carelink.sjunet.org/cn=siths%20ca%20ver%2 03,o=SITHS%20CA,c=SE?certificateRevocationList;binary? Och en http-sökväg: http://www.carelink.se/siths-ca/ca003.crl När inloggning med ett certifikat utfärdat av denna CA används för inloggning till ett målsystem kontrolleras denna lista för att kontrollera om användarens certifikat är spärrat eller inte. Om certifikatet är spärrat eller om listan är oåtkomlig kommer användaren nekas inloggning till målsystemet eller katalogen. 1.3 Funktionen OCSP I fallet SITHS så hanteras och utfärdas denna tjänst av TeliaSonera. OCSP Respondern finns tillgänglig på adressen: http://sithsocsp.trust.telia.com Adressen är endast är åtkomlig via SJUNET. När inloggning med ett certifikat utfärdat av denna CA används för inloggning till ett målsystem kontrolleras denna lista för att kontrollera om användarens certifikat är spärrat eller inte. Om certifikatet är spärrat eller om listan är oåtkomlig kommer användaren nekas inloggning till målsystemet eller katalogen. NOT För att få tillgång till spärrlistorna via SJUNET måste man begära åtkomst till dessa från organisationens publika ip-adress på SJUNET genom att skicka ett e-post meddelande till hsasupport@cybercomgroup.com. 1.4 Rekommendationer Rekommenderat för bäst säkerhet och funktionalitet använda sig av ett AD som baserar sig på Windows Server 2008 eller senare. Inloggning med kort mot ett Active Directory stöds sedan Windows 2000, men detta dokument hanterar 2003 efter SP2 och framåt. Anledningen till det är att hanteringen av CRL:er förändrades efter SP2 för 2003. 1.5 Förkortningar och förklaringar CRL Certificate Revocation List. En lista som innehåller alla de serienummer på de certifikat som är spärrade och inte ska kunna användas för inloggning i systemen. CDP - Certificate Revocation List Distribution Point. Den plats eller sökväg till vilken CRL publiceras. OCSP - Online Certificate Status Protocol. En live -lista som alla de serienummer på de certifikat som är spärrade och inte ska kunna användas för inloggning i systemen. SJUNET - Sjunet är ett robust och kvalitetssäkrat kommunikationsnät för vårt och omsorg som är till för att underlätta detta informationsutbyte. Sjunet garanterar mycket hög tillgänglighet och är ofta ett krav för att sprida verksamhetskritisk information. AD Active Directory. Behörighetskatalog i Windows Server. DNS Domain Name System. Är ett system för att förenkla adressering av datorer på IP-nätverk som till exempel Internet IIS Internet Information Services. Microsofts Webbserver som finns med Serveroperativet. 3 / 12 CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet.

2 Windows Server 2003 2.1 Beskrivning Idag finns några begränsningar i vad man kan åstadkomma med en AD-infrastruktur som baserar sig på Windows Server 2003 SP2 för detta ändamål. Därför rekommenderas att man bygger denna lösning på Windows Server 2008 eller senare. 2.2 Inloggning När ett AD används som behörighetskatalog för på inloggning med tredjeparts certifikat krävs en del anpassningar för att möjliggöra det. Se separat beskrivning för detta. 2.3 Spärrkontroll När en användare loggar på domänen kontrolleras om certifikatet är spärrat antingen mot en CRL eller mot en OCSP Responder. Om certifikatet skulle vara spärrat eller om platsen för informationen inte skulle kunna nås nekas användaren inloggning. Primärt så görs kontrollen mot en OCSP Responder om en sådan finns tillgänglig vilken alltid måste vara online för att man ska få svar om certifikatet är giltigt eller inte. Microsoft har valt att även lagra OCSP svaren lokalt på domänkontrollanten för att kunna återanvända dessa och slippa göra uppslag mot OCSP Respondern varje gång för att på så sätt minska trafiken. De kort som vid något tillfälle används för inloggning i domänen lagras hos domänkontrollanten. för den egna CA:n kan klienten inte längre logga in. Detta kan åtgärdas genom en registerförändring på klienten. Se följande Microsoft Knowledge Base artikel: http://support.microsoft.com/kb/887578 2.5 Krishantering Om all anslutning till Internet eller SJUNET skulle gå ner måste man ganska skyndsamt se till att ha en lösning på plats då man som bäst har 24 timmar på sig att få igång anslutningen innan spärrlistorna gå ut. 2.5.1 CRL Validity extension I Windows Server 2003 SP2 (stöds inte i tidigare versioner) är det i ett krisscenario möjligt bygga runt problematiken om både Internet och SJUNET skulle gå ner, men ändå möjliggöra kortinloggning efter det att CRL:en gått ut. Man har som sagt i bästa fall 24 timmar på sig att åtgärda problemen i fall detta skulle hända. Efter CRL:en gått ut kommer annars samtliga användare nekas inloggning. För OCSP fungerar detta endast för de kort som vid något tillfälle används för påloggning iom att det senaste svaret från OCSP respondern lagras i domänkontrollanten. Ej tidigare använda kort nekas inloggning. Sekundärt används CRL för att kontrollera om certifikatet är spärrat. Servern lagrar (cache) listan. Anledningen till det är att Microsoft har valt att göra så för att slippa onödig trafik. 2.4 Begränsningar Ett problem som finns gällande spärrlistor i Windows server 2003 är att om det i spärrlistan står en tidpunkt nästa gång listan ska uppdateras så tolkas denna som giltighetstid, även fast listan kan vara giltig längre än när nästa uppdatering är satt till. Om klienten som ska logga in mot domänen baserar sig på Windows är det viktigt att veta att även klienten gör en giltighetskontroll av domänkontrollantens certifikat. Normalt så är dessa certifikat utfärdade av en egen CA vilken inte omfattas av detta dokument. Men om den egna CA:n inte längre skulle kunna utfärda spärrlistor Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet. 4 / 12

2.5.2 Registerförändringar Det åtgärdssätt som finns är att göra ett antal registerinställningar: Starta Register Editorn a) Leta upp följande undernyckel: HKEY_Local_Machine\System\CurrentControlSet\Se rvices\kdc Skapa följande registernyckel: Value Name: CRLValidityExtensionPeriod Value Type: DWORD Value Data: Hours (Decimal) Man kan alltså förlänga giltighetstiden på en utgången CRL med det antal timmar man specificerar. HKEY_Local_Machine\System\CurrentControlSet\Se rvices\kdc Skapa följande registernyckel: Value Name: CRLTimeoutPeriod Value Type: DWORD Value Data: Seconds (Decimal) Här kan man alltså specificera CRL time out för att reduce false positives. Om inte detta värde sätts används standardvärdet som är 90 sekunder Se följande Microsoft Knowledge Base artikel: http://support.microsoft.com/kb/887578 b) Leta upp följande undernyckel: 5 / 12 CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet.

3 Windows Server 2008 3.1 Beskrivning Använder man sig av en AD-infrastruktur som bygger på Windows Server 2008 finns fler möjligheter för krishantering. Dels kan man använda sig av det scenario där man manuellt laddar ner CRL:en och distribuerar lokalt men det finns nu även en GPO för att sätta grace time. Därför rekommenderas att man bygger sin lösning på Windows Server 2008 eller senare. 3.2 Inloggning När ett AD används som behörighetskatalog för på inloggning med tredjeparts certifikat krävs en del anpassningar för att möjliggöra det. Se separat beskrivning för detta. 3.3 Spärrkontroll När en användare loggar på domänen kontrolleras om certifikatet är spärrat antingen mot en CRL eller mot en OCSP Responder. Om certifikatet skulle vara spärrat eller om platsen för informationen inte skulle kunna nås nekas användaren inloggning. Primärt så görs kontrollen mot en OCSP Responder om en sådan finns tillgänglig vilken alltid måste vara online för att man ska få svar om certifikatet är giltigt eller inte. Microsoft har valt att även lagra OCSP svaren lokalt på domänkontrollanten för att kunna återanvända dessa och slippa göra uppslag mot OCSP Respondern varje gång för att på så sätt minska trafiken. De kort som vid något tillfälle används för inloggning i domänen lagras hos domänkontrollanten. registerförändring på klienten. Se följande MS KB artikel. http://support.microsoft.com/kb/887578 3.5 Krishantering Om all anslutning till Internet eller SJUNET skulle gå ner måste man ganska skyndsamt se till att ha en lösning på plats då man som bäst har 24 timmar på sig att få igång anslutningen. 3.5.1 CRL Grace time I Windows Server 2008 är det enklare att i ett krisscenario bygga runt problematiken om både Internet och SJUNET skulle gå ner, men ändå möjliggöra kortinloggning efter det att CRL:en gått ut. Man har som sagt i bästa fall 24 timmar på sig att åtgärda problemen i fall detta skulle hända. Efter CRL:en gått ut kommer samtliga användare nekas inloggning. För OCSP fungerar detta endast för de kort som vid något tillfälle används för påloggning iom att det senaste svaret från OCSP respondern lagras i domänkontrollanten. Ej tidigare använda kort nekas inloggning. För att hantera detta finns numera en policy som tillåter att man under en tid arbetar vidare med en CRL/OCSP vars giltighet egentligen gått ut.. Policyn för CRL Grace Time sätts med fördel på samtliga domänkontrollanter med Default Domain Controllers Policy under Computer Configuration Windows Settings Public Key Policies Certificate Path Validation Settings. Sekundärt används CRL för att kontrollera om certifikatet är spärrat. Servern lagrar (cache) listan. Anledningen till det är att Microsoft har valt att göra så för att slippa onödig trafik. 3.4 Begränsningar Om klienten som ska logga in mot domänen baserar sig på Windows är det viktigt att veta att även klienten gör en giltighetskontroll av domänkontrollantens certifikat. Normalt så är dessa certifikat utfärdade av en egen CA vilken inte omfattas av detta krishanterings dokument. Men om den egna CA:n inte längre skulle kunna utfärda spärrlistor för den egna CA:n kan klienten inte längre logga in. Detta kan åtgärdas genom en Sedan under fliken Revocation bocka sedan för Allow CRL and OCSP responses to be valid longer than their lifetime och sätt hur många timmar utöver den Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet. 6 / 12

normala giltighetstiden CRL ska vara giltig. Max är 2000 timmar dvs. 83,3 dygn. läget där man nekas inloggning avaktiverar man helt enkel policyn. 3.6 Risker De risker som finns med att manipulera CRL-kontrollen är att inloggning med ett certifikat som egentligen är spärrat under en kort period skulle kunna lyckas. Har man en användare eller tjänst som utgör ett direkt hot bör man alltså ta för vana att spärra de konton som utgör en risk. Troligen har de flesta en sådan rutin på plats. Denna policy kan när som helst aktiveras eller avaktiveras och slår direkt, dvs. om inloggning med 3part certifikat plötsligt misslyckas för att anslutningen försvunnit kan denna aktiveras för att få ingång inloggningen igen, på samma sätt om man vill återgå till 7 / 12 CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet.

4 Manuell CRL hantering 4.1 Bakgrund Nedanstående beskrivning är endast aktuell i det fall man vill adressera ett nätverksproblem som gör att man inte når de publicerade CRL:erna. Det är alltså inte en metod för att hantera en situation där: a) Inga CRL:er produceras av CA b) De CRL:er som produceras är trasiga Metoden kan dock nyttjas, med ovanstående begränsning, i det fall man inte accepterar grace time - metoden. NOT Denna lösning fungerar endast då inte DNSSEC används. 4.2 Manuell inläsning av CRL i domänen Se till att den replikeras på alla DNS servrar i organisationen. Man kan manuellt lägga upp ett DNS namn i den lokala DNS:en och peka förfrågningarna till CRL:en till en lokal webbsida där man manuellt hämtar och lägger upp CRL:en 4.3 DNS förändring Lägg upp en ny Zon i den lokala DNS:en. Observera att detta är ett exempel och kanske inte följer best practise. Döp zonen till carelink.se Skapa en primär Zon Tillåt dynamiska uppdateringar Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet. 8 / 12

Döp zonen till www och peka ut IP-adress till den servern som du vill lägga CRL:en på, så ett uppslag mot www.carelink.se kan göras lokalt istället. Slutför guiden. 4.4 IIS Starta Internet Information Services (IIS) Manager och bläddra fram Default Web Site alt. det egna namnet den fått. Välj att skapa ett nytt virtuellt bibliotek Observera att detta är ett exempel och kanske inte följer best practise. Gå sedan in i verktyget DNS manager och skapa en ny värd (A eller AAAA) under den nya zonen carelink.se som skapades Döp siten till t.ex. www.carelink.se och peka sedan ut vilket bibliotek den ska gå mot. 9 / 12 CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet.

4.5 Automatisk nedladdning av CRL Som en ytterligare backupplan kan man med Net id automatisera nedladdning av CRL:er så den alltid är uppdaterad ifall Internet och Sjunet skulle gå ned. Net id installeras på en maskin och följande kommando schemaläggs. iid -download -url "ldap://ldap.pso-labs.net/cn=telia Managed CA,o=Telia Test,c=se?certificaterevocationlist;binary" -file C:\inetpub\wwwroot\carelink.se\www\sithsca\crl003.crl 4.6 Risker När du skapad siten välj att konvertera densamma till en applikation. De risker som finns med att manipulera CRL-kontrollen är att inloggning med ett certifikat som egentligen är spärrat under en kort period skulle kunna lyckas. Har man en användare eller tjänst som utgör ett hot bör man alltså under denna period vidta extra försiktighetsåtgärder och spärra konton som utgör en risk. Skapa en mapp under biblioteket som www.carelink.se pekar till lokalt som heter siths-ca t.ex. C:\inetpub\wwwroot\carelink.se\www\siths-ca Ladda ner filen ca003.crl från www.carelink.se på följande adress: http://www.carelink.se/siths-ca/ca003.crl Lägg filen i C:\inetpub\wwwroot\carelink.se\www\siths-ca IIS:en är nu redo att ta emot crl förfrågningar. Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet. 10 / 12

5 Andra tjänster som utnyttjar certifikaten saknade CRL:er. Det finns en möjlighet att i IIS helt stänga av kontrollen av CRL. Detta ska förstås endast ske efter lämplig riskanalys. Vi har inte kunnat hitta en motsvarade grace time - funktionalitet för IIS som för själva AD. Se följande länkar. 5.1 IIS Ett annat exempel på tjänster som använder certifikat för inloggning är Microsofts webbserver IIS. Den är också beroende av att kontrollera certifikaten vilket innebär att den på samma sätt som AD är sårbar för http://www.microsoft.com/technet/prodtechnol/wind owsserver2003/library/iis/0c08d268-1634-4486-8382-b735e295b3aa.mspx?mfr=true http://learn.iis.net/page.aspx/110/changes-betweeniis-60-and-iis-7-security/ 11 / 12 CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet.

6 Beskrivning kortinloggningsflöde 6.1 AD-inloggning i autentiseringsprocessen gå fel, att en CDP inte nås, att användaren inte finns i AD eller att certifikatet inte är giltigt, nekas användaren inloggning. 1. När användaren loggar in skickas en begäran till Domänkontrollanten. Begäran innehåller användarnamn, en tidsstämpel och en kopia av användarens certifikat. Användarnamnet och tidstämpeln är signerad med användarens privata nyckel. 2. Domänkontrollanten kontrollerar om certifikatet är giltigt via CDP (Certificate distribution Point) för att verifiera att certifikatet inte är återkallat. Skulle certifikatet vara återkallat eller att CDP inte kunde nås kommer användaren att nekas inloggning. Skulle certifikatet ha gått ut nekas även då användaren inloggning. CRL (Certificate Revocation List) lagras på flera ställen. Oftast i AD där en LDAP förfrågan i första hand sker, sekundärt i en Webb server. 3. Domänkontrollanten kontrollerar att vilken ca som utfärdat certifikatet och att det certifikat kedjan finns med i sin lista över betrodda utfärdare. 4. Domänkontrollanten frågar AD vilken användare som presenterar certifikatet via UPN i certifikatet. Om användaren inte finns i AD kommer användaren att nekas inloggning. 5. AD returnerar användarens publika nyckel till domänkontrollanten. 6. Domänkontrollanten genererar en sessionsnyckel för användaren och krypterar denna med användarens publika nyckel. Domänkontrollanten genererar en TGT (Ticket Granting Ticket) och krypteras med domänkontrollantens huvudnyckel. Båda krypterade nycklarna returneras till användaren i ett PKI svarsmeddelande som användaren sedan dekrypterar med sin privata nyckel. En kontroll av domänkontrollandens certifikat görs mot CDP för att kontrollera att detta inte är återkallat. Skulle något steg Copyright 2015 SecMaker AB Författare: Jens Alm Fel! Ingen text med angivet format i dokumentet. 12 / 12

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss