TechEd EMEA 2008 IT Professionals – Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2


Et voici les notes que j’ai prises durant une session particulièrement intéressante (quand on aime et comprend un peu la PKI :-))


Titre de la session : Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2



Tendances du marché de la PKI (je n’ai pas tout noté…)


Industry extend usage of x509 certificates
- Extended Validation (EV) Certificates
- Logo types


Advanced crypto (use of next generation algorithms) is picking up


3 grands pilliers dans les nouveautés en terme de PKI dans Windows 7 et Windows Server 2008 R2 :



  1. Server consolidation

  2. Improve scenario

  3. HTTP based enrollment

--------
1- Server Consolidation



  • Do more with less

  • Not persistent request usages


    • New PKI scenario (NAP) ==> Exemple : chez Microsoft IT, plusieurs millions de certificats sont émis tous les pour NAP. Ces certificats sont bien entendu non persistents



  • OCSP signing certificat

  • Augmentation de la taille des bases ==> nécessite de faire du ménage...


    • Les administrateurs vont pouvoir désormais contrôler si des certificats sont écrits dans la base de données ou si ils vont rester en mémoire vive (par exemple : pour les certificats non persistents)

  • CA is supported on Server Core


    •  Local Command line utilities

    •  remote UX management

    •  Key management by HSM vendor

    • No other ADCS Service will be supported on Server Core

  • Cross Forest enrollment


    •  Account forest / Ressource forest

    •  requires AD forest 2 way trust

    •  require Windows Server 2008 R2 CA

    •  require Windows XP and above

A lire un document qui devrait être bientôt disponible en téléchargement : Best Practice Whitepaper for PKI consolidation


--------


2- Improve existing scenario



  • Support de tous les templates mêmes sur les éditions standards


    • Support de l'autoenroll

    • Support key archival

  • Best Practice Analyzer intégré à la console d’administration



  • Improve of Certificate Selection (UI de l'utilisateur mieux sur Windows 7 que sur Windows Vista)


    •  remove duplicate and archived certificate (in Vista we show everything)

    •  icone différente entre les certificats logiciels et ceux stockés sur une carte à puce

  •  Entreprise SSL EV Certificate


    •  Mark an entreprise root CA as an Extended Validation (EV) root and add the EV policy OID

    •  Configurable via GPO 

-------------


3- HTTP Based Enrollment


ça c'est le gros truc d'après le speaker 🙂


Enable new scenarios to leverage Windows PKI client :



  • Server certificates issues by a public CA

  • Issuance accros company boundary


    • ex : partnership scenario

  • Issuance to non-domain-joined machines


    • ex: my bank issue me certificates => finalement tout site B2C
       

2 news http based protocols for certificate enrollment :



  • Le premier pour demander la liste des templates (au Certificate Enrollment Policy WS)

  • Le second pour l'enrollment (au Certificate Enrollment WS)

Microsoft works with related ISVs to implement those protocoles


http based enrollment - Authentication method (for policy and enrollment server) :



  • Kerberos

  • Username/password

  • Certificate based

http based enrollment requires SSL


Enrollment wizard ==> added additional step to the Enrollment Wizard (par rapport à Vista)


-----------


Strong Authentication



  • Biometric


    •  Win7 : new platform for biometric device


      • New driver modele

      • Focused on fingerprint based AuthN in consumer scenarios

    •  Integrated user experience


      • Windows logon local and domain

      • Device and feature discovery

    •  Entreprise management


      • Disable Windows Biometric framwork  


  • Smart card


    •  Smart card plug and play


      • Windows update and WSUS/SUS based driver instalation

      • Pre-logon driver installation

      • Non-admin based driver installation

    • Smart card class mini-drivers


      • NIST SP800-73-1 (PIV) support

      • INCITS GICS (Butterfly) support

    • Windows 7 Smartcard Framework improvements


Comments (2)

  1. Anonymous says:

    Au programme Windows Server 2008 R2, Active Directory 2008 R2, PKI, Windows 7, BitLocker et DPM 2007

Skip to main content