TechEd EMEA 2008 IT Professionals - Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2

Et voici les notes que j’ai prises durant une session particulièrement intéressante (quand on aime et comprend un peu la PKI :-))

Titre de la session : Windows Vista PKI Enhancement in windows 7 and Windows Server 2008 R2

Tendances du marché de la PKI (je n’ai pas tout noté…)

Industry extend usage of x509 certificates
- Extended Validation (EV) Certificates
- Logo types

Advanced crypto (use of next generation algorithms) is picking up

3 grands pilliers dans les nouveautés en terme de PKI dans Windows 7 et Windows Server 2008 R2 :

  1. Server consolidation
  2. Improve scenario
  3. HTTP based enrollment

--------
1- Server Consolidation

  • Do more with less
  • Not persistent request usages
    • New PKI scenario (NAP) ==> Exemple : chez Microsoft IT, plusieurs millions de certificats sont émis tous les pour NAP. Ces certificats sont bien entendu non persistents

  • OCSP signing certificat
  • Augmentation de la taille des bases ==> nécessite de faire du ménage...
    • Les administrateurs vont pouvoir désormais contrôler si des certificats sont écrits dans la base de données ou si ils vont rester en mémoire vive (par exemple : pour les certificats non persistents)
  • CA is supported on Server Core
    •  Local Command line utilities
    •  remote UX management
    •  Key management by HSM vendor
    • No other ADCS Service will be supported on Server Core
  • Cross Forest enrollment
    •  Account forest / Ressource forest
    •  requires AD forest 2 way trust
    •  require Windows Server 2008 R2 CA
    •  require Windows XP and above

A lire un document qui devrait être bientôt disponible en téléchargement : Best Practice Whitepaper for PKI consolidation

--------

2- Improve existing scenario

  • Support de tous les templates mêmes sur les éditions standards
    • Support de l'autoenroll
    • Support key archival
  • Best Practice Analyzer intégré à la console d’administration

  • Improve of Certificate Selection (UI de l'utilisateur mieux sur Windows 7 que sur Windows Vista)
    •  remove duplicate and archived certificate (in Vista we show everything)
    •  icone différente entre les certificats logiciels et ceux stockés sur une carte à puce
  •  Entreprise SSL EV Certificate
    •  Mark an entreprise root CA as an Extended Validation (EV) root and add the EV policy OID
    •  Configurable via GPO 

-------------

3- HTTP Based Enrollment

ça c'est le gros truc d'après le speaker :-)

Enable new scenarios to leverage Windows PKI client :

  • Server certificates issues by a public CA
  • Issuance accros company boundary
    • ex : partnership scenario
  • Issuance to non-domain-joined machines
    • ex: my bank issue me certificates => finalement tout site B2C
       

2 news http based protocols for certificate enrollment :

  • Le premier pour demander la liste des templates (au Certificate Enrollment Policy WS)
  • Le second pour l'enrollment (au Certificate Enrollment WS)

Microsoft works with related ISVs to implement those protocoles

http based enrollment - Authentication method (for policy and enrollment server) :

  • Kerberos
  • Username/password
  • Certificate based

http based enrollment requires SSL

Enrollment wizard ==> added additional step to the Enrollment Wizard (par rapport à Vista)

-----------

Strong Authentication

  • Biometric
    •  Win7 : new platform for biometric device
      • New driver modele
      • Focused on fingerprint based AuthN in consumer scenarios
    •  Integrated user experience
      • Windows logon local and domain
      • Device and feature discovery
    •  Entreprise management
      • Disable Windows Biometric framwork  
  • Smart card
    •  Smart card plug and play
      • Windows update and WSUS/SUS based driver instalation
      • Pre-logon driver installation
      • Non-admin based driver installation
    • Smart card class mini-drivers
      • NIST SP800-73-1 (PIV) support
      • INCITS GICS (Butterfly) support
    • Windows 7 Smartcard Framework improvements