Managed private PKI
Outsourcing komplexer PKI-Aufgaben
Sie können fehlende PKI-Expertise und begrenzte Ressourcen kompensieren, indem Sie zentrale PKI-Aufgaben an einen kompetenten PKI SaaS-Anbieter wie AWS ACM oder SwissSign Private MPKI auslagern. Um diese Cloud-Dienste aus Ihrer IT-Infrastruktur nutzen zu können, sind entsprechende Konnektoren erforderlich und interne Tools helfen bei der Automatisierung und Steuerung der Prozesse.
Managed PKI-Services in der Cloud
Eine managed PKI in der Cloud wird von etablierten und geprüften Dienstleistern wie öffentlichen CAs oder Cloud-Anbietern wie AWS betrieben. Für jeden Kunden wird individuell eine CA-Hierarchie eingerichtet, bestehend aus einer privaten Root-CA und einer oder mehreren ausstellenden CAs. Private Schlüssel und kryptografische Vorgänge werden normalerweise von einem Cloud-HSM verwaltet. Standardanwendungsfälle umfassen interne SSL/TLS-Zertifikate und Computer-/Gerätezertifikate.
Herausforderungen für PKI SaaS
Eingeschränkte Automatisierung
Die Automatisierungsmöglichkeiten von managed CA-Anbietern beschränken sich häufig auf die Serverregistrierung über ACME. Unternehmen benötigen weitere Automatisierung wie die automatische Windows-Registrierung, SCEP oder sogar die automatische Sperrung. Hierzu sind interne Mechanismen erforderlich.
Bewahren Sie private Schlüssel intern auf
Private Schlüssel sollten niemals unter die Kontrolle eines externen Anbieters geraten. Sie müssen in Ihren Systemen aufbewahrt werden. Für die Wiederherstellung privater Dechiffrierschlüssel müssen Sie diese in einem lokalen Schlüsselarchiv speichern, das unter Ihrer alleinigen Kontrolle steht.
Limitierte Verwaltungstools
Managed-CA-Anbieter bieten webbasierte Tools für die Verwaltung ausgestellter Zertifikate an. Der Fokus liegt klar auf SSL/TLS-Zertifikaten. Tools zur Verwaltung von Benutzer- oder Computerzertifikaten im Active Directory fehlen vollständig.
An einen Anbieter gebunden
Häufig werden Verträge mit einem CA-Anbieter abgeschlossen, der die Tools zur Verwaltung seiner Zertifikate bereitstellt. Wenn Sie die CA wechseln möchten, muss die komplette Zertifikatsmanagement-Infrastruktur von Grund auf neu aufgebaut und alle Prozesse neu gestaltet werden.
Die SECARDEO-Lösung
Vollständige Zertifikatsautomatisierung
Automatische Registrierung und Verlängerung mithilfe von Standardprotokollen wie Microsoft WCCE, ACME, REST und SCEP. Automatische Bereitstellung privater Schlüssel für Benutzergeräte per MDM oder E-Mail. Automatische Revokation geänderter oder entfernter AD-Objekte. Automatisierte Zertifikatsauffindung.
Zentrales Schlüsselarchiv
Die TOPKI-Plattform stellt ein zentrales Schlüsselarchiv in der TOPKI-Datenbank bereit. Private Schlüssel werden mithilfe von Key Recovery Agent (KRA)-Zertifikaten verschlüsselt. Nur ein autorisierter KRA innerhalb der Organisation ist in der Lage, private Schlüssel im Falle eines Verlusts oder ausgeschiedener Benutzer wiederherzustellen.
Integrierte AD-Verwaltungstools
Die TOPKI-Komponenten lassen sich gut in Ihr Active Directory und in MS Intune integrieren. Es werden AD-Benutzer, -Gruppen, -Rollen und -Berechtigungen sowie Zertifikatsvorlagen verwendet. Die Integration mit Intune erfolgt über Standard-Zertifikatskonnektoren. Eine nahtlose Verwaltung aller Zertifikate von AD-Objekten ist möglich.
Multi-CA-Unterstützung und CA-Migration
Sie können eine Verbindung mit mehreren CAs herstellen, beispielsweise mit public CAs, managed private CAs in der Cloud wie AWS oder mit Ihren internen Microsoft-CAs. Definieren und erweitern Sie AD-Zertifikatvorlagen für verschiedene Zertifikatstypen und -prozesse. Alle Zertifikate und archivierten privaten Schlüssel werden in einer lokalen Datenbank verwaltet – nicht bei Ihrem CA-Anbieter!
Implementierung
Die Secardeo TOPKI-Plattform bietet Konnektoren für öffentliche und private CAs in der Cloud wie SwissSign, Digicert oder AWS. Alle Zertifikate und insbesondere Ihre privaten Schlüssel werden in Ihrer lokalen Datenbank gespeichert, wo Sie die volle Kontrolle darüber haben. Mit diesen managed CAs kann das native Windows-Autoenrollment für Benutzer- und Computerzertifikate mithilfe von certEP verwendet werden. Der automatische Widerruf für verwaiste Zertifikate von AD-Objekten ist mit certRevoke möglich. ACME kann mit erweiterten Funktionen von certACME für die automatisierte Registrierung von SSL/TLS-Serverzertifikaten verwendet werden. Mit certLife können Sie alle diese Zertifikate zentral verwalten und dabei auch einen Self-Service für Benutzer und Administratoren aktivieren.
Proxy für die automatische Registrierung von Webserver-Zertifikaten mithilfe des Standard-ACME-Protokolls.
Certificate Enrollment Proxy für das native Windows Certificate Autoenrollment von non-Microsoft CAs on-premises oder in der Cloud.
Dienst für Certificate Lifecycle Management, Erkennung, zentrale automatische Registrierung, Self-Services, Benachrichtigungen und REST-API.
Dienst zur automatischen Revokation verwaister Zertifikate aus AD-Objekten via certEP oder eine Microsoft CA.
Ressourcen
Datenblätter:
Anwenderberichte:
- auf Anfrage