Seminar / Training
Inhaltsverzeichnis
- Abstract
- Zielarchitektur und Rollenmodell
- Vorbereitung: Voraussetzungen, Netzwerkpfade, Host-Härtung
- Installation und Dienstbetrieb
- Konfiguration: Resolver, Namensauflösung, Encaya-Parameter
- Trust Anchor: Erzeugung, Verteilung, Einschränkung
- Client-Anbindung: Plattformmuster und Validierung
- End-to-End Tests, Abnahme, Dokumentation
- Rollout-Plan und Pilotierung
Abstract
Das Seminar führt durch ein vollständiges Deployment: Rollenmodell, Installation, Konfiguration, Erzeugung der notwendigen Vertrauensanker, Start als Dienst, sowie die kontrollierte Client-Anbindung. Praxisübungen erzeugen lauffähige Referenz-Konfigurationen, Testfälle und ein Betriebs-Runbook für Pilot- und Produktionsumgebungen.
Zeitplan
Tag 1 Agenda
- Architektur und Rollen
- Netzwerk- und Sicherheitsvorbereitung
- Installation und Service-Setup
- Basis-Konfiguration Resolver/Namenspfad
Tag 2 Agenda
- Trust Anchor und Einschränkungen
- Client-Anbindung und Trust Store
- Abnahme, Runbook, Rollout-Plan
Zielarchitektur und Rollenmodell
Rollenmodell (Referenz):
- Namensauflösungsinstanz (DNS-Brücke oder Resolver-Chain)
- Encaya-Server (Auskunfts- und Kompatibilitätsschicht)
- Client-Systeme (TLS-Clients mit Trust Store)
Varianten:
- Single-Host Setup (alles auf einem Host)
- 2-Tier Setup (Encaya getrennt, Resolver/Brücke getrennt)
- 3-Tier Setup (Resolver-Host, Encaya-Host, Clients)
Vorbereitung: Voraussetzungen, Netzwerkpfade, Host-Härtung
Checkliste Voraussetzungen
- Betriebssystem-Standard: Service-Manager, Logging, Zeit-Synchronisation
- DNS-Pfad: definierte Ports, definierte Resolver-Kette
- Zugriffspfad Encaya: klarer Client-Zugriff, ggf. segmentiert
- Paket-/Artefaktbereitstellung: offlinefähige Installationspakete
- Test-Domain und Test-Zertifikatsmaterial in Trainingsumgebung
Step-by-step: Netzwerkpfade verifizieren
- Kommunikationsmatrix erstellen (Quelle, Ziel, Port, Protokoll, Zweck).
- Erreichbarkeit prüfen (Resolver, Encaya, ggf. Node/RPC).
- Zeitabweichung prüfen (Zertifikatsvalidität, DNSSEC).
- Logging-Endpunkte definieren.
- Ergebnis als „Minimaler erlaubter Pfad“ dokumentieren.
Installation und Dienstbetrieb
Ziel
Encaya als stabiler Dienst mit kontrollierter Konfiguration, Start/Stop, Logs, Autostart.
Step-by-step: Service-Setup
- Installationsartefakt in definiertes Verzeichnis ausrollen.
- Service-Account definieren, minimal berechtigen.
- Konfigurationspfad festlegen, Rechte setzen.
- Dienstdefinition erstellen (Startparameter, Restart-Policy).
- Logs aktivieren (stdout/stderr, File, Journal).
- Dienst starten, Health-Check durchführen.
Konfiguration: Resolver, Namensauflösung, Encaya-Parameter
Kernthemen
- Namensauflösung für Zielzonen (Stub-Zone oder Forwarding)
- DNSSEC-Validierung: „wo wird validiert“ und „wer ist Trust Anchor“
- Encaya Upstream DNS: IP/Port, Timeouts, Cache-Parameter
- Fehlerpfade: NXDOMAIN, SERVFAIL, Timeout
Step-by-step: Basiskonfiguration
- Zielzone(n) definieren.
- Resolver-Stub/Forwarding konfigurieren.
- Validierungspfad festlegen (DNSSEC an oder aus).
- Encaya so konfigurieren, dass DNS-Anfragen über den definierten Resolverpfad laufen.
- Funktionsprobe: Name Resolution ohne TLS.
Trust Anchor: Erzeugung, Verteilung, Einschränkung
Ziel: Minimaler Trust Anchor nur für den vorgesehenen Namensraum.
Step-by-step: Trust Anchor Lifecycle
- Root/CA-Material erzeugen (Trainingsumgebung: Tooling bereitstellen).
- Zertifikat exportieren, Fingerprint dokumentieren.
- Einschränkungen planen:
- EKU nur „TLS Server Authentication“
- Name Constraints nur für Ziel-TLD oder Zielnamespace
- Verteilmechanismus auswählen:
- GPO/MDM (Windows)
- Paket/Script (Linux)
- Browser-spezifisch (falls erforderlich)
- Rollback definieren: Entfernen, Sperren, Versionierung.
Client-Anbindung: Plattformmuster und Validierung
Muster 1: Clients mit System-Trust-Store
- zentrale Verteilung von Trust Anchor
- Validierung über OS-Verifier
Muster 2: Clients mit eigenem Trust-Store
- separater Import
- zusätzlicher Kontrollbedarf (Drift, Updates)
Step-by-step: Client-Validierung
- Trust Anchor importieren.
- Einschränkungen prüfen (EKU, Name Constraints).
- DNS-Stub/Resolver-Einstellungen setzen.
- TLS-Verbindung zum Testziel herstellen.
- Kette und Hostname-Policy prüfen.
- Ergebnis dokumentieren (Screenshot/Logs, Abnahmebogen).
End-to-End Tests, Abnahme, Dokumentation
Abnahmekriterien:
- Name Resolution für Zielzone stabil
- Encaya-Service startet automatisch, loggt strukturiert
- Clients validieren definierte Ziele, lehnen nicht definierte Ziele ab
- Rollback durchgeführt und nachvollziehbar
Artefakte:
- Referenz-Config
- Testplan mit erwarteten Outcomes
- Betriebs-Runbook v1
Rollout-Plan und Pilotierung
- Pilotgruppe definieren, Telemetrie festlegen
- Change-Plan: Trust Anchor Updates, Notfallrücknahme
- Kommunikationsplan: Sperrlisten, Exceptions, Support-Pfade
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleichzeitig mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können auf Deutsch – bei Firmenseminaren ist auch Englisch möglich – gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Lucas Beich
Telefon: + 49 (221) 74740055
E-Mail: lucas.beich@seminar-experts.de
Seminardetails
| Dauer: | 2 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich oder Live Stream: € 1.198 zzgl. MwSt. Inhaus: € 3.400 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | System- und Netzwerkadministratoren, DNS- und PKI-Verantwortliche, IT-Sicherheitsingenieure sowie Infrastruktur- und Plattform-Teams mit Deployment-Verantwortung |
| Vorausetzung: | Gute Linux- oder Serverkenntnisse, solides Verständnis von DNS, TLS und Zertifikaten; praktische Erfahrung mit Service-Betrieb und Netzwerkkonfiguration empfohlen |
| Standorte: | Stream Live, Inhaus/Firmenseminar, Berlin, Bremen, Darmstadt, Dresden, Erfurt, Essen, Flensburg, Frankfurt, Freiburg, Friedrichshafen, Hamburg, Hamm, Hannover, Jena, Kassel, Köln, Konstanz, Leipzig, Luxemburg, Magdeburg, Mainz, München, Münster, Nürnberg, Paderborn, Potsdam, Regensburg, Rostock, Stuttgart, Trier, Ulm, Wuppertal, Würzburg |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter + 49 (221) 74740055 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
