Certificate Lifecycle Management im Unternehmen
Abdeckung aller Anwendungsfälle für Zertifikate
In einer Organisation werden verschiedene Arten von X.509-Zertifikaten für SSL/TLS, S/MIME, VPN, 802.1x, Dokumentensignatur und vieles mehr verwendet. Die Verwaltung tausender Zertifikate und privater Schlüssel verschiedener CAs kann nur durch eine maximale Automatisierung der Zertifikats-Lebenszyklusprozesse effizient gehandhabt werden.
Digitale Zertifikate in einem Unternehmen
Immer mehr Anwendungen nutzen digitale Zertifikate zur Verschlüsselung, Authentifizierung oder digitalen Signatur. Dutzende Zertifikatstypen für Benutzer, Server oder Geräte mit völlig unterschiedlichen Eigenschaften müssen zuverlässig und effizient verwaltet werden. Private Dechiffrierschlüssel müssen sorgfältig archiviert werden. Schlüssel und Zertifikate müssen den Anwendungen bereitgestellt werden, die sie benötigen. Es wird eine Lösung benötigt, die eine Automatisierung des Zertifikatslebenszyklus und praktische Self-Services für alle Arten von Zertifikaten bietet.
Herausforderungen für das Zertifikatsmanagement
Mangelnde Automatisierung
Die manuelle Verwaltung von Zertifikaten auf Basis von Excel-Tabellen ist zeitaufwändig und fehleranfällig. Alle Lebenszyklusphasen von der Registrierung bis zum Ablauf müssen für alle Arten von Zertifikaten entsprechend automatisiert werden.
Spur verloren
Oft ist unklar, welche Arten von Zertifikaten und Schlüsseln es gibt und welche CAs verwendet werden. Niemand weiß, wie viele Zertifikate von wem verwendet werden. Der Ablauf wichtiger Zertifikate ist ein Albtraum.
Begrenzte oder monolithische Werkzeuge
Auf dem Markt erhältliche Tools zur Zertifikatsverwaltung sind entweder auf bestimmte Anwendungsfälle wie SSL/TLS beschränkt oder Sie können eine teure monolithische Software kaufen. Benötigt wird eine modulare Toolplattform, die für alle Zertifikatsanwendungsfälle geeignet ist und sich gut in Active Directory und Intune integrieren lässt.
An einen Anbieter gebunden
Häufig werden Verträge mit einem CA-Anbieter abgeschlossen, der die Tools zur Verwaltung seiner Zertifikate bereitstellt. Wenn Sie die CA wechseln möchten, muss die komplette Zertifikatsmanagement-Infrastruktur von Grund auf neu aufgebaut und alle Prozesse neu gestaltet werden.
Die SECARDEO-Lösung
Vollständige Zertifikatsautomatisierung
Automatische Registrierung und Verlängerung mithilfe von Standardprotokollen wie Microsoft WCCE, ACME, REST und SCEP. Automatische Bereitstellung privater Schlüssel für Benutzergeräte per MDM oder E-Mail. Automatisierte Veröffentlichung und Abruf von S/MIME-Zertifikaten. Automatischer Widerruf geänderter oder entfernter AD-Objekte. Automatisierte Zertifikatserkennung.
Multi-CA-Unterstützung und CA-Migration
Sie können eine Verbindung mit mehreren Zertifizierungsstellen herstellen, beispielsweise mit öffentlichen Zertifizierungsstellen, verwalteten privaten Zertifizierungsstellen in der Cloud wie AWS oder mit Ihren internen Microsoft-Zertifizierungsstellen. Definieren und erweitern Sie AD-Zertifikatvorlagen für verschiedene Zertifikatstypen und -prozesse. Alle Zertifikate und archivierten privaten Schlüssel werden in einer lokalen Datenbank verwaltet – nicht bei Ihrem CA-Anbieter!
Integration in die Microsoft-Infrastruktur
Die TOPKI-Komponenten lassen sich gut in Ihr Active Directory und in MS Intune integrieren. Es werden AD-Benutzer, -Gruppen, -Rollen und -Berechtigungen sowie Zertifikatsvorlagen verwendet. Die Integration mit Intune erfolgt über Standard Zertifikats-Konnektoren. Eine nahtlose Verwaltung aller Zertifikate aus ADCS ist möglich.
Selbstbedienung
Mit certLife wird ein komfortabler Self-Service für Serveradministratoren oder auch normale Benutzer bereitgestellt. Hier können sie ganz einfach Zertifikate anfordern, erneuern, wiederherstellen oder an andere Benutzer delegieren oder schließlich eigene Zertifikate widerrufen. Auch eine Gruppenfreigabe von Zertifikaten ist möglich. Die Anmeldung basiert auf den AD-Anmeldeinformationen des Benutzers.
Implementierung
Secardeo TOPKI (Trusted Open PKI) ist eine PKI-Systemplattform zur automatisierten Schlüsselverteilung von X.509-Zertifikaten und privaten Schlüsseln an alle Benutzer und Geräte dorthin, wo sie benötigt werden. Hierzu stellt TOPKI Komponenten zur Verfügung, die für spezifische Aufgaben des Certificate Lifecycle Managements dienen. Die PKI-Softwarekomponenten der TOPKI-Plattform können in andere PKI-Systeme, Active Directory oder Mobile Device Management-Systeme integriert werden. TOPKI ermöglicht eine nahtlose Einführung verwalteter PKI-Dienste. Dadurch können Sie automatisch Zertifikate von öffentlichen oder privaten CAs in der Cloud anfordern. Oder Sie können Open-Source-Zertifizierungsstellen verwenden, um beispielsweise interne Computerzertifikate automatisch zu registrieren. Die TOPKI PKI-Produkte erweitern auch Ihre bestehende Microsoft PKI.
Proxy für die automatische Registrierung von Webserver-Zertifikaten mithilfe des Standard-ACME-Protokolls.
Zertifikats-Directory-Server zum sicheren Veröffentlichen interner S/MIME-Zertifikate und zum globalen Abrufen externer Zertifikate.
Certificate Enrollment Proxy für das native Windows Certificate Autoenrollment von non-Microsoft CAs on-premises oder in der Cloud.
EAS-Proxy zum Abrufen von Empfänger-Zertifikaten von einem globalen Directory-Server auf mobile Geräte für eine durchgängige S/MIME-Verschlüsselung.
Dienst für Certificate Lifecycle Management, Discovery, zentrale automatische Registrierung, Self-Services, Benachrichtigungen und REST-API.
Dients für Key-Recovery und Verteilung von Benutzerschlüsseln (S/MIME) aus einem zentralen Schlüsselarchiv auf mobile oder MDM-verwaltete Geräten.
Dienst zur automatischen Revokation herrenloser Zertifikate aus AD-Objekten über certEP oder eine Microsoft CA.
Dienst zur Synchronisierung von Active Directory-Benutzerzertifikaten und CRLs mit einer certBox.