PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Posted on 12. June 2012 by Marc.Grote

Hallo Leutz,

das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)

Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).

Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.

Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.

Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.

Gruss Marc

Safeword 2 Faktor Authentifizierung fuer Forefront UAG

Posted on 12. June 2012 by Marc.Grote

Hallo Leutz,

das folgende Bilderbuch zeigt die Implementierung einer 2 Faktor Authentifizierung mit Safeword fuer ein Forefront UAG Portal:
http://www.it-training-grote.de/download/FF-UAG-2Factor-Auth.pdf

Gruss Marc

Hyper-V 3.0 Failover Cluster und VM Replica

Posted on 2. June 2012 by Marc.Grote

Hallo Leutz,

die RC Version von Windows Server 2012 ist verfuegbar. Anlass genug, alle meine VM, Notebooks, Netbook und meinen Hyper-V 3.0 Cluster von der Beta auf die RC zu bringen und in meinen SCVMM 2012 neu zu integrieren.
Nach Neueinrichtung des Clusters habe ich “endlich” die VM Replica Funktionen von Hyper-V 3.0 mit den Windows Failoverdiensten und dem Hyper-V Replica Broker erfolgreich eingerichtet. Dabei ist folgendes Bilderbuch entstanden:
http://www.it-training-grote.de/download/HYPERV-30-REPLICA.pdf

Weitere Informationen zur Einrichttung eines Hyper-V 3.0 Clusters:
http://www.it-training-grote.de/download/Hyper-v-livemig-complete.pdf

Gruss Marc

Extended Validation (EV) Zertifikate von einer Windows Server 2008 R2 CA ausstellen

Posted on 8. May 2012 by Marc.Grote

Hallo Leutz,

das folgende Bilderbuch zeigt wie man von einer Windows Server 2008 R2 Enterpise CA eine neue Zertifikatvorlage mit EV (Extended Validation) Verwendungszweck ausstellen kann:
http://www.it-training-grote.de/download/EV-Certificate-W2K8R2CA.pdf
Ueber Sinn und Unsinn kann sicherlich diskutiert werden, derartige EV-Zertifkate im Intranet zu verwenden 🙂

Gruss Marc

Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2

Posted on 5. May 2012 by Marc.Grote

Hallo Leutz,

Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2 steht zum Download zur Verfuegung:
http://support.microsoft.com/kb/2689195

Gruss Marc Grote

Upgrade SCCM(SCEP) 2012 RC2 zu SCCM 2012 RTM – Part III

Posted on 3. May 2012 by Marc.Grote

Hallo Leutz,

Part I meiner Bilderbuchserie zeigt die Migration von FEP 2010 auf SCEP 2012 (seinerzeit RC Version): http://www.it-training-grote.de/download/FEP2010-SCEP2012-Migration.pdf

Part II beschreibt das Update der SCCM(SCEP) 2012 RC2 Version auf die RTM Version: http://www.it-training-grote.de/download/SCCM-RC-RTM-Update.pdf

Dieser Part III beschreibt die Dekommissonierung der alten SCCM 2007 / FEP 2010 Installation: http://www.it-training-grote.de/download/FEP2010-decommissioning.pdf

Gruss Marc

2. Treffen der Forefront User Group Nord (FUGN)

Posted on 19. April 2012 by Marc.Grote

Liebe Forefront Gemeinde,

seit Jahren hat sich im sueddeutschen Raum erfolgreich die Forefront User Group von Dieter Rauscher und Christian Groebner etabliert und wir (Karsten Hentrup / Marc Grote) haben paralell dazu eine Forefront User Group im norddeutschen Raum etabliert. Als Abkuerzung haben wir uns fuer den Namen FUGN entschieden.

Veranstaltungsort fuer derzeit geplante Treffen im Halbjahres Rythmus ist die Firma Invenate GmbH in Hannover, welche uns freundlicherweise die Raeumlichkeiten fuer dieses und zukuenftige Treffen zur Verfuegung stellt.

Das zweite Treffen findet am 16.05.2012 in der Zeit von 19:00 Uhr bis ca. 22:15 Uhr an folgender Adresse statt:
Invenate GmbH
Mengendamm 12
30177 Hannover

Die geplante Agenda:
19:00 – 19:15 – Begruessung und Vorstellungsrunde
19:15 – 20:30 – Forefront Identity Manager 2010 “Live Demo” – Invenate GmbH Andreas Lassen
20:30 – 21:00 – Pause / Networking
21:00 – 21:30 – SCEP2012 – Alles besser als FEP2010 – Marc Grote
21:30 – 22:15 – Exchange Active Sync (Pushmail) via Forefront TMG + zertifikatbasierte Authentifizierung – Karsten Hentrup
22:15 – Ende – Diskussionen / Networking

Fuer das Anmeldeprocedere verwenden wir die XING-Gruppe Forefront User Group: https://www.xing.com/net/pric9d398x/ffug
Weitere Informationen: http://blog.forefront-tmg.de/?page_id=482
Wer also bereits einen XING Account besitzt, den moechten wir bitten, sich ueber diese Gruppe zu den Treffen anzumelden. Sollte jemand XING nicht verwenden moechten, kann er sich auch per E-Mail bei folgenden Adressen anmelden:
Karsten Hentrup (mailto:hentrup@forefront-tmg.de) und Marc Grote (grote@forefront-tmg.de)

Gruss von der FUGN

Karsten Hentrup und Marc Grote

Upgrade SCCM(SCEP) 2012 RC2 zu SCCM 2012 RTM – Part II

Posted on 12. April 2012 by Marc.Grote

Hallo Leutz,

Part I meiner Bilderbuchserie zeigt die Migration von FEP 2010 auf SCEP 2012 (seinerzeit RC Version): http://www.it-training-grote.de/download/FEP2010-SCEP2012-Migration.pdf

Dieser Part (Part II) beschreibt das Update der SCCM(SCEP) 2012 RC2 Version auf die RTM Version: http://www.it-training-grote.de/download/SCCM-RC-RTM-Update.pdf

Part III beschreibt die Dekommissonierung der alten SCCM 2007 / FEP 2010 Installation: http://www.it-training-grote.de/download/FEP2010-decommissioning.pdf

Gruss Marc

DirectAccess in Windows Server 2012

Posted on 8. April 2012 by Marc.Grote

Hallo Leutz,

zu Ostern hat der Osterhase eine Menge Geschenke fuer mich. Die finalen (2012er) Versionen von SCEP, SCVMM, SCCM, SCOM, DPM etc. warteten(warten) auf mich, in meine Testumgebung integriert zu werden.
Zusaetzlich hatte ich heute endlich mal Zeit, DirectAccess von Windows Server 2012 auszuprobieren. Bisher hatte ich in der DeveloperPreview nur den Assistenten leidenschaftslos durchgeklickt :-(. Dabei ist folgendes Bilderbuch entstanden:
http://www.it-training-grote.de/download/Windows8-DirectAccess.pdf

Gruss Marc

Forefront UAG DirectAccess – Remote Control aktivieren

Posted on 10. February 2012 by Marc.Grote

Hallo Leutz,

immer haeufiger wird Forefront UAG mit DirectAccess eingerichtet und meine Kunden wuenschen sich natuerlich auch eine Remote Control-Moeglichkeit dieser Clients. Das Standardkonzept von DA sieht aber keine klassische Remote Control vor, lediglich der Infrastruktur Server Zugriff im ersten IPSEC Infrastrukturtunnel ist geregelt. Wie man aus dem Corporate Network Remote Access auf DA-Clients einrichten kann steht in diesem kleinen Bilderbuch:
http://www.it-training-grote.de/download/UAG-DA-RemoteAccess.pdf

Gruss Marc

Marc Grote Blog

Wissenswertes(?) zu System Center, Windows Server, Security, Exchange und menschlichem

Category Archives: itproblogs.de

PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Safeword 2 Faktor Authentifizierung fuer Forefront UAG

Hyper-V 3.0 Failover Cluster und VM Replica

Extended Validation (EV) Zertifikate von einer Windows Server 2008 R2 CA ausstellen

Rollup 2 for Forefront Threat Management Gateway (TMG) 2010 Service Pack 2

Upgrade SCCM(SCEP) 2012 RC2 zu SCCM 2012 RTM – Part III

2. Treffen der Forefront User Group Nord (FUGN)

Upgrade SCCM(SCEP) 2012 RC2 zu SCCM 2012 RTM – Part II

DirectAccess in Windows Server 2012

Forefront UAG DirectAccess – Remote Control aktivieren