Seminar / Training
Starke Authentisierung ist nur dann belastbar, wenn Kryptografie, Ausgabeprozesse, Kartenbetrieb, Verzeichnisdienste und Sperrverfahren zusammenpassen. Die Schulung verbindet diese Bereiche zu einem prüfbaren Ende-zu-Ende-Prozess.
Seminarprofil
Die Übungen verwenden eine Test-PKI und exemplarische SmartCards. Produktionsschlüssel und reale personenbezogene Daten werden nicht benötigt.
Inhaltsübersicht
- Kapitel 1: Authentisierungsmodell und Vertrauensgrenzen
- Kapitel 2: Zertifikatsprofile und elliptische Kurven
- Kapitel 3: SmartCards, Leser und PIN-Prozesse
- Kapitel 4: Backend-Anbindung und Benutzerzuordnung
- Kapitel 5: Sperrprüfung und Zertifikatslebenszyklus
- Kapitel 6: Pre-Logon und domänenbasierte Anmeldung
- Kapitel 7: Diagnose von Zertifikats- und Kartenfehlern
Zielsetzung
Ziel ist die Planung, Konfiguration und Diagnose zertifikatsbasierter Benutzer-, Geräte- und Gateway-Authentisierung einschließlich Karten- und Sperrprozessen.
Zielgruppe
PKI-Administratoren, VPN-Administratoren, Identity- und Access-Management-Fachkräfte, Windows-Administratoren und IT-Sicherheitsverantwortliche.
Voraussetzungen
Grundkenntnisse in X.509, Zertifizierungsstellen, Active Directory oder LDAP sowie TCP/IP und IPsec. Erfahrung mit SmartCard-Middleware ist hilfreich.
Kapitel 1: Authentisierungsmodell und Vertrauensgrenzen
Inhaltsverzeichnis des Kapitels
- Benutzer-, Geräte- und Gatewayidentitäten
- Authentisierung und Autorisierung
- Zugelassene und optionale Verfahren
- Vertrauensanker
Schritt-für-Schritt-Anleitung
- Schritt 1: Alle beteiligten Identitäten werden nach Zweck und Lebensdauer inventarisiert.
- Schritt 2: Authentisierung wird von nachgelagerter Rechtevergabe getrennt betrachtet.
- Schritt 3: Verfahren werden nach vorgesehenem Schutzprofil und Betriebsfall ausgewählt.
- Schritt 4: Vertrauensanker und zulässige Zertifizierungsketten werden dokumentiert.
Kapitel 2: Zertifikatsprofile und elliptische Kurven
Inhaltsverzeichnis des Kapitels
- X.509-Felder und Erweiterungen
- Schlüsselverwendung
- ECC-Parameter
- Zertifikate für Benutzer, Geräte und Server
Schritt-für-Schritt-Anleitung
- Schritt 1: Für jede Identitätsklasse wird ein eigenes Zertifikatsprofil definiert.
- Schritt 2: Schlüsselverwendung, erweiterte Schlüsselverwendung und Namensfelder werden festgelegt.
- Schritt 3: Zulässige Algorithmen und Kurven werden mit den Systemvorgaben abgeglichen.
- Schritt 4: Musterzertifikate werden ausgestellt und ihre Kettenprüfung wird nachvollzogen.
Kapitel 3: SmartCards, Leser und PIN-Prozesse
Inhaltsverzeichnis des Kapitels
- Karteninitialisierung
- Leser und Middleware
- PIN- und Fehlversuchsregeln
- Kartenwechsel und Ersatz
Schritt-für-Schritt-Anleitung
- Schritt 1: Karte, Leser, Treiber und Middleware werden als kompatible Einheit geprüft.
- Schritt 2: Zertifikate und private Schlüssel werden nach dem vorgesehenen Ausgabeprozess personalisiert.
- Schritt 3: PIN-Änderung, Fehlversuche, Sperrung und Entsperrung werden kontrolliert getestet.
- Schritt 4: Ersatzkarten und Kartenverlust werden mit Sperrung und Neuzuordnung vollständig durchgespielt.
Kapitel 4: Backend-Anbindung und Benutzerzuordnung
Inhaltsverzeichnis des Kapitels
- Lokale Benutzerverwaltung
- RADIUS
- LDAP und Active Directory
- Gruppen- und Identitätsmapping
Schritt-für-Schritt-Anleitung
- Schritt 1: Das führende Identitätssystem wird für den jeweiligen Anwendungsfall festgelegt.
- Schritt 2: Namensattribute, Gruppen und Zertifikatsmerkmale werden einem eindeutigen Benutzerobjekt zugeordnet.
- Schritt 3: Authentisierungsanfragen werden vom Gateway bis zum Backend protokolliert verfolgt.
- Schritt 4: Fehlende, doppelte oder widersprüchliche Zuordnungen werden mit Negativtests erkannt.
Kapitel 5: Sperrprüfung und Zertifikatslebenszyklus
Inhaltsverzeichnis des Kapitels
- CRL und Delta-Listen
- OCSP und Online-Prüfung
- Erneuerung und Ablauf
- Widerruf und Schlüsselkompromittierung
Schritt-für-Schritt-Anleitung
- Schritt 1: Sperrlisten- und OCSP-Endpunkte werden aus den Zertifikaten ermittelt und erreichbar gemacht.
- Schritt 2: Aktualisierungsintervalle und Verhalten bei nicht erreichbarer Sperrprüfung werden festgelegt.
- Schritt 3: Zertifikatserneuerung wird vor Ablauf mit Parallelbetrieb und Rückfallmöglichkeit getestet.
- Schritt 4: Ein Kompromittierungsfall wird von der Sperrung bis zur erneuten Betriebsfreigabe geübt.
Kapitel 6: Pre-Logon und domänenbasierte Anmeldung
Inhaltsverzeichnis des Kapitels
- PLAP-Ablauf
- Benutzerzertifikat und PIN
- Active-Directory-Erreichbarkeit
- Passwort- und Richtlinienwechsel
Schritt-für-Schritt-Anleitung
- Schritt 1: DNS, Routing und benötigte Domänendienste werden bereits vor der Windows-Anmeldung erreichbar geplant.
- Schritt 2: Der Connector wird für die Authentisierung mit Benutzerzertifikat und PIN vorbereitet.
- Schritt 3: VPN-Aufbau und anschließende Domänenanmeldung werden getrennt protokolliert geprüft.
- Schritt 4: Sonderfälle wie abgelaufenes Kennwort, neues Benutzerprofil und fehlende Netzverbindung werden getestet.
Kapitel 7: Diagnose von Zertifikats- und Kartenfehlern
Inhaltsverzeichnis des Kapitels
- Kettenfehler
- Zeit- und Gültigkeitsprobleme
- Karten- und Leserfehler
- Backend- und Mappingfehler
Schritt-für-Schritt-Anleitung
- Schritt 1: Fehler werden zuerst anhand Zeitpunkt, Zertifikat, Benutzer und betroffener Komponente eingegrenzt.
- Schritt 2: Kette, Gültigkeit, Schlüsselverwendung und Sperrstatus werden in fester Reihenfolge geprüft.
- Schritt 3: Karte, Leser und Middleware werden mit einem kontrollierten Gegenvergleich isoliert.
- Schritt 4: Nach der Korrektur werden Authentisierung, Rechtezuordnung, Protokollierung und Sperrprüfung erneut validiert.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-

René Launa
Telefon: + 43 (720) 022000
E-Mail: rené.launa@seminar-experts.at -

Adam Steyer
Telefon: + 43 (720) 022000
E-Mail:
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | PKI-, VPN-, Identity- und Windows-Administratoren sowie IT-Sicherheitsverantwortliche |
| Voraussetzungen: | Grundkenntnisse in X.509, Zertifizierungsstellen, Verzeichnisdiensten, TCP/IP und IPsec |
| Standorte: | Bregenz, Graz, Innsbruck, Klagenfurt, Linz, Salzburg, Wien |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 43 (720) 022000 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
