Weiterbildungen für On-Premises-Produkte
Zielgruppe
- Enterprise Administratoren
- Identity Manager
- Chief Information Officer (CIO)
Dauer
Die Kursdauer beträgt 5 Tage.
Level
Dieses Seminar hat eine hohe Komplexität. Erfahrungen in Active Directory werden vorausgesetzt
Inklusiv
Teilnahme bei uns vor Ort in Ulm: Mittagessen, Getränke, Gebäck, Übernahme der Parkengebühren
Generell (persönlich übergeben oder per Paketdienst): Schreibblock, Kugelschreiber, Tasche, IQunit Zertifikat, Yubico YubiKey 5c NFC und NFC Reader (USB-A)
Buchung
Telefonisch: +49 731 1848699-0 oder
E-Mail: info@iqunit.com oder
Buchung Online
Preis
4.990,00€ exkl.MwSt.
Per Rechnung nach Kurs
Termine
+ KW 48: 24.11.2025 – 28.11.2025 (Durchführung garantiert!)
+ KW 21: 18.05.2026 – 22.05.2026
An den Terminen ist die Teilnahme in Präsenz (in unserem Schulungsraum in Ulm) oder online möglich
Sprache
Dieser Kurs (Präsentation und Unterlagen) ist auf Deutsch und auf Englisch verfügbar.
Details hierzu gerne bei Anfrage, sprechen Sie uns an!
Inhalte Public Key Infrastructure 2025
In diesem fünftägigen Intensiv-Workshop erarbeiten Sie praxisnah den Aufbau, die Absicherung und den sicheren Betrieb einer unternehmensweiten Public Key Infrastructure (PKI) auf Basis von Microsoft-Technologien. Sie lernen, wie eine PKI strategisch geplant, technisch korrekt installiert und langfristig wartbar betrieben wird – inklusive Offline-Root-CA, Subordinate-CA, CRL-Management (inkl. OCSP), Autoenrollment und Template-Design.
Ein besonderer Fokus liegt auf der Integration von Smartcard-Lösungen mit YubiKey (PIV) zur starken Authentifizierung und deren Einbindung in Windows-Logons und administrative Zugänge. Sie konfigurieren Authentication Mechanism Assurance (AMA) zur Durchsetzung gestufter Sicherheitsrichtlinien im Active Directory und erhalten Einblick in Zertifikatsnutzung für VPN, RDP und Webservices.
Abgerundet wird der Kurs durch moderne Erweiterungen wie Azure Certificate-Based Authentication (CBA) in hybriden Szenarien sowie die Transition bestehender PKI-Infrastrukturen auf neue Sicherheitsstandards.
Zahlreiche Hands-on-Labs, PowerShell-Automatisierung und Best Practices aus der Praxis sorgen für eine nachhaltige Lernerfahrung – ideal für Enterprise Administratoren, IT-Sicherheitsverantwortliche und PKI-Architekten.
Dieser Workshop bildet die perfekte Grundlage für den Secure Hybrid Authentication-Workshop: sicheres Anmelden On-Premises und Cloud.
DER EXPERTENKURS BEHANDELT FOLGENDE THEMEN:
Agenda
- PKI-Grundlagen & Anwendungsfelder
- PKI-Design & Authentication Mechanism Assurance (AMA)
- Installation & Konfiguration (Überblick)
- Vorbereiten der notwendigen INF- und Batch-Dateien
- Installation von Root- und SubCAs
- Verwaltung der Zertifikatsvorlagen, Autorenrollment und Enrollment Agent
- Certificate Revocation List und Online Certificate Status Protocol
- YubiKey Smartcard & AMA in der Praxis
- Betrieb, Sicherheit und Azure-Integration
- Transition einer bestehenden PKI
- Azure Certificate-Based Authentication
Die Themen des Public Key Infrastructure 2025 Kurses sind wie folgt:
- PKI-Grundlagen & Anwendungsfelder
- Kryptografische Grundlagen: Asymmetrische Verschlüsselung, Hashing, Signaturen
- X.509-Zertifikate, Aufbau & Validierung (inkl. RFC 5280)
- Bestandteile der PKI: CA, RA, OCSP, CRL, Zertifikatstypen
- Einsatzszenarien: TLS, Code Signing, S/MIME, Certificate based logon, Smartcard-Logon
- Einführung: FIDO2, Smartcards, Zertifikatsauthentifizierung
- PKI-Design & Authentication Mechanism Assurance (AMA)
- Designentscheidungen: 1-tier vs. 2-tier Architektur
- Sicherheit: Offline Root, Rollentrennung, Härtung der CA
- CDP, AIA, CRL-Verteilung, Namenskonventionen
- Templates & Enrollment Policies
- AMA in Active Directory:
- Einführung & Use-Cases (z. B. gestufte Authentifizierung)
- Verbindung mit Smartcard-Zertifikaten & Conditional Access
- Installation & Konfiguration (Hands-on)
- Einrichtung der Offline Root CA
- Enterprise Sub-CA Installation mit Konfiguration (CRL, AIA, OCSP)
- Erstellung & Verteilung von Templates (inkl. Smartcard Logon)
- Autoenrollment konfigurieren
- Benutzer-, Computer- & Serverzertifikate testen
- Troubleshooting: Enrollment, Berechtigungen, Template-Probleme
- YubiKey Smartcard & AMA in der Praxis
- YubiKey als PIV-Smartcard konfigurieren
- Ausstellung von Zertifikaten für Smartcard-Login
- Integration: Active Directory Smartcard-Anmeldung
- Verwendung mit Admin-Zugängen (z. B. RDP, BitLocker, VPN)
- Durchsetzung von AMA per GPO, Conditional Access oder ADFS
- Backup- und Wiederherstellungsszenarien (z. B. verlorener YubiKey)
- Betrieb, Sicherheit, Azure-Integration & Transition
- Betrieb: CRL-Management, OCSP, Auditing, CA-Datenbankpflege
- PowerShell-Automatisierung (Enrollment, Überwachung, Erneuerung)
- Sicherheitskonzepte: CA-Härtung, Backup, KRA, Escrow
- Transition einer bestehenden PKI
- Aktualsieren auf neue Betriebssysteme der CA (2016 CA auf 2025 CA)
- Migration auf neue CA-Struktur (inkl. Root-Wechsel)
- Parallelbetrieb, Rollback-Strategien
- Kommunikation & Rolloutplanung
- Azure Certificate-Based Authentication (CBA)
- Einsatzmöglichkeiten & Voraussetzungen
- Upload von Root-Zertifikaten in Entra ID
- Einrichtung von Zertifikatsauthentifizierung für Azure AD Accounts
- Kombinierter Einsatz mit Conditional Access Policies
- Hybrid Use Case: On-Prem CA + Azure CBA
Dieser fünftägige Intensiv-Workshop vermittelt umfassendes Wissen zum Aufbau, Betrieb und zur Absicherung einer Public Key Infrastructure (PKI) auf Basis von Microsoft-Technologien. Ziel ist es, den Teilnehmern ein tiefgreifendes Verständnis für alle relevanten Aspekte einer modernen PKI zu vermitteln – von der strategischen Planung über die technische Umsetzung bis hin zum sicheren und wartbaren Betrieb. Dabei stehen sowohl theoretische Grundlagen als auch umfangreiche praktische Übungen im Mittelpunkt, sodass die Teilnehmer in die Lage versetzt werden, eigene PKI-Umgebungen professionell zu konzipieren und zu betreiben.
Zu Beginn des Workshops werden die wesentlichen kryptographischen Grundlagen behandelt, insbesondere die Funktionsweise asymmetrischer Verschlüsselung, digitale Signaturen sowie Hashing-Verfahren. Aufbau, Struktur und Bedeutung von X.509-Zertifikaten werden detailliert erläutert. Im Anschluss erfolgt eine Einführung in die verschiedenen Rollen und Komponenten einer PKI: Root- und Subordinate-Zertifizierungsstellen (CAs), Registrierungsstellen (RAs), Sperrlisten (CRLs), OCSP-Responder sowie die unterschiedlichen Typen von Zertifikaten und deren Einsatzgebiete. Dabei werden praxisrelevante Anwendungsszenarien wie HTTPS/TLS-Absicherung, VPN-Zugänge, S/MIME-E-Mail-Verschlüsselung, Code Signing und gerätebasierte Authentifizierung erläutert.
Ein zentrales Element des Workshops ist die Vermittlung von Best Practices zur Architekturplanung und sicheren Ausgestaltung einer PKI. Hierzu gehören Entscheidungen hinsichtlich der Hierarchiestruktur (Ein- oder Mehrstufenmodell), der Einsatz einer Offline Root CA zur Trennung sensibler Vertrauensebenen, die Definition von Gültigkeitszeiträumen und Namenskonventionen, die Planung von Sperrmechanismen sowie die Einrichtung von CDP- und AIA-Pfaden. Zusätzlich werden Sicherheitsaspekte wie die Härtung von CA-Systemen, Rollentrennung, Zugriffskontrollen, Backup-Strategien und die Konzeption von Key Recovery Agents (KRAs) behandelt. Die Teilnehmer lernen, wie sich diese Maßnahmen in einer realen Unternehmensumgebung praktisch umsetzen lassen.
Ein besonderer Fokus liegt auf der praktischen Einrichtung einer PKI unter Windows Server: Die Teilnehmer installieren und konfigurieren sowohl eine Offline Root CA als auch eine untergeordnete Enterprise CA. Sie lernen die Verwaltung der Zertifizierungsstellen mit nativen Werkzeugen wie der MMC-Zertifikatskonsole, certreq und certutil kennen. Darüber hinaus werden Zertifikatvorlagen erstellt, angepasst und mit passenden Berechtigungen versehen, sodass automatische Zertifikatsregistrierung über Gruppenrichtlinien (Autoenrollment) möglich wird. Dabei werden sowohl Benutzer- und Computerzertifikate als auch spezielle Templates für Smartcard-basierte Authentifizierung eingerichtet und getestet.
Ein zentraler Bestandteil des Workshops ist die starke Authentifizierung mittels Smartcards, insbesondere unter Verwendung des YubiKey im PIV-Modus. Die Teilnehmer lernen, wie der YubiKey initialisiert und mit einem persönlichen Schlüssel- und Zertifikatspaar versehen wird. In praktischen Übungen wird gezeigt, wie sich Benutzerzertifikate mithilfe des YubiKey Manager auf das Gerät übertragen lassen und wie eine Anmeldung an Windows-Clients mithilfe der Smartcard durchgeführt wird. Dabei werden sowohl technische Voraussetzungen (u. a. Smartcard Logon Templates, Zertifikatsmapping im AD) als auch Sicherheitsaspekte wie PIN-Policy, Sperrung und Wiederherstellung berücksichtigt. Die Teilnehmer erfahren, wie Smartcards zur Absicherung privilegierter Zugänge (z. B. RDP, BitLocker, VPN) eingesetzt werden können und wie sich damit eine „Smartcard-only“-Policy technisch umsetzen lässt.
Darüber hinaus werden fortgeschrittene Szenarien rund um die Authentication Mechanism Assurance (AMA) behandelt. Die Teilnehmer lernen, wie sich gestufte Authentifizierungsniveaus im Active Directory definieren lassen und wie diese über Zertifikatsmerkmale durchgesetzt werden können. Die Kombination von AMA mit Gruppenrichtlinien, Sicherheitsgruppen und IPSec Policies ermöglicht es, differenzierte Zugangsberechtigungen in Abhängigkeit vom verwendeten Authentifizierungsmechanismus umzusetzen – etwa um besonders schützenswerte Systeme nur noch bei vorheriger starker Authentifizierung zugänglich zu machen.
Ergänzend zum klassischen On-Premises-Szenario wird auch die Integration der PKI in Cloud-Infrastrukturen behandelt, insbesondere die Azure Certificate-Based Authentication (CBA) mit Entra ID (vormals Azure AD). Die Teilnehmer erhalten eine Einführung in die Voraussetzungen und Konfigurationen, die notwendig sind, um On-Premises ausgestellte Zertifikate für die Authentifizierung in Azure-basierten Umgebungen zu nutzen. Dazu gehört das Hochladen von Root- und Intermediate-Zertifikaten in Azure, das Erstellen von CBA-Policies sowie die praktische Anbindung von Clients. Die Kombination aus lokal betriebener PKI und Azure CBA ermöglicht hybride Authentifizierungsszenarien mit hohem Sicherheitsniveau.
Ein weiteres Thema des Workshops ist die Transition bestehender PKI-Infrastrukturen. Viele Unternehmen betreiben veraltete Zertifizierungsstellen, deren technisches oder organisatorisches Design heutigen Sicherheitsanforderungen nicht mehr genügt. Die Teilnehmer lernen, wie sich solche Umgebungen mit minimalen Risiken und klaren Migrationspfaden ablösen oder schlicht aktualisieren lassen. Hierzu gehören Parallelbetrieb, kontrollierter Rollout neuer Templates, Erneuerung der Root-CA (Root Rollover), Re-Enrollment bestehender Zertifikate und der Umgang mit vertrauenswürdigen Drittzertifizierungsstellen.
Abschließend wird der laufende Betrieb der PKI beleuchtet. Dazu zählen Maßnahmen zur Überwachung und Pflege der CA-Datenbank, das Management von CRLs und Delta-CRLs, die Einrichtung und Pflege von OCSP-Responder-Instanzen sowie die Protokollierung sicherheitsrelevanter Vorgänge mittels Audit-Logs. Die Teilnehmer erlernen den Einsatz von PowerShell zur Automatisierung wiederkehrender Aufgaben wie Template-Erstellung, Reporting, Benutzerzertifikatverwaltung oder Massenimport/-export. Auch organisatorische Maßnahmen wie die Definition klarer Rollen, Prozesse zur Antragstellung, Genehmigung und Dokumentation sowie der Umgang mit kompromittierten oder abgelaufenen Zertifikaten werden diskutiert.
Der Workshop kombiniert fundiertes Theorie-Wissen mit einem hohen Anteil an praktischen Übungen in einer dediziertenTestumgebung. Die Teilnehmer erhalten damit das notwendige Rüstzeug, um eine PKI nicht nur technisch korrekt, sondern auch zukunftssicher und auditkonform zu betreiben. Durch die thematische Tiefe und den praxisorientierten Aufbau eignet sich der Kurs besonders für Administratoren, Sicherheitsverantwortliche und IT-Architekten, die in ihrer Organisation für Authentifizierungs- und Verschlüsselungsinfrastrukturen verantwortlich sind.
