Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2
Et voici les notes que j’ai prises durant une session particulièrement intéressante (quand on aime et comprend un peu la PKI :-))
Titre de la session : Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2
Tendances du marché de la PKI (je n’ai pas tout noté…)
Industry extend usage of x509 certificates
- Extended Validation (EV) Certificates
- Logo types
Advanced crypto (use of next generation algorithms) is picking up
3 grands pilliers dans les nouveautés en terme de PKI dans Windows 7 et Windows Server 2008 R2 :
- Server consolidation
- Improve scenario
- HTTP based enrollment
--------
1- Server Consolidation
- Do more with less
- Not persistent request usages
- New PKI scenario (NAP) ==> Exemple : chez Microsoft IT, plusieurs millions de certificats sont émis tous les pour NAP. Ces certificats sont bien entendu non persistents
- OCSP signing certificat
- Augmentation de la taille des bases ==> nécessite de faire du ménage...
- Les administrateurs vont pouvoir désormais contrôler si des certificats sont écrits dans la base de données ou si ils vont rester en mémoire vive (par exemple : pour les certificats non persistents)
- CA is supported on Server Core
- Local Command line utilities
- remote UX management
- Key management by HSM vendor
- No other ADCS Service will be supported on Server Core
- Cross Forest enrollment
- Account forest / Ressource forest
- requires AD forest 2 way trust
- require Windows Server 2008 R2 CA
- require Windows XP and above
A lire un document qui devrait être bientôt disponible en téléchargement : Best Practice Whitepaper for PKI consolidation
--------
2- Improve existing scenario
- Support de tous les templates mêmes sur les éditions standards
- Support de l'autoenroll
- Support key archival
- Best Practice Analyzer intégré à la console d’administration
- Improve of Certificate Selection (UI de l'utilisateur mieux sur Windows 7 que sur Windows Vista)
- remove duplicate and archived certificate (in Vista we show everything)
- icone différente entre les certificats logiciels et ceux stockés sur une carte à puce
- Entreprise SSL EV Certificate
- Mark an entreprise root CA as an Extended Validation (EV) root and add the EV policy OID
- Configurable via GPO
-------------
3- HTTP Based Enrollment
ça c'est le gros truc d'après le speaker :-)
Enable new scenarios to leverage Windows PKI client :
- Server certificates issues by a public CA
- Issuance accros company boundary
- ex : partnership scenario
- Issuance to non-domain-joined machines
- ex: my bank issue me certificates => finalement tout site B2C
- ex: my bank issue me certificates => finalement tout site B2C
2 news http based protocols for certificate enrollment :
- Le premier pour demander la liste des templates (au Certificate Enrollment Policy WS)
- Le second pour l'enrollment (au Certificate Enrollment WS)
Microsoft works with related ISVs to implement those protocoles
http based enrollment - Authentication method (for policy and enrollment server) :
- Kerberos
- Username/password
- Certificate based
http based enrollment requires SSL
Enrollment wizard ==> added additional step to the Enrollment Wizard (par rapport à Vista)
-----------
Strong Authentication
- Biometric
- Win7 : new platform for biometric device
- New driver modele
- Focused on fingerprint based AuthN in consumer scenarios
- Integrated user experience
- Windows logon local and domain
- Device and feature discovery
- Entreprise management
- Disable Windows Biometric framwork
- Win7 : new platform for biometric device
- Smart card
- Smart card plug and play
- Windows update and WSUS/SUS based driver instalation
- Pre-logon driver installation
- Non-admin based driver installation
- Smart card class mini-drivers
- NIST SP800-73-1 (PIV) support
- INCITS GICS (Butterfly) support
- Windows 7 Smartcard Framework improvements
- Smart card plug and play
Comments
- Anonymous
November 04, 2008
PingBack from http://mstechnews.info/2008/11/windows-vista-pki-enhancement-in-windows-7-and-windows-server-2008-r2/