Webserver SSL/TLS Zertifikate

Automatisieren und kontrollieren Sie Ihre Serverzertifikate

Ausfälle durch abgelaufene Serverzertifikate sind kostspielig und können durch automatisierte Zertifikatsverlängerungen oder Benachrichtigungen der Administratoren leicht verhindert werden.

TLS-Serverzertifikate

Die Kommunikation über HTTP oder andere Anwendungsprotokolle wird durch das TLS-Protokoll (früher SSL) geschützt. X.509-Zertifikate werden zur Authentifizierung des Servers und zur Aushandlung von Sitzungsschlüsseln verwendet. Für öffentliche Webserver müssen diese Zertifikate von einer vertrauenswürdigen öffentlichen CA ausgestellt werden. Für interne Server können Zertifikate einer internen privaten CA verwendet werden. Die Lebensdauer öffentlicher TLS-Zertifikate, die derzeit bei einem Jahr liegt, nimmt immer mehr ab und daher ist eine automatisierte Zertifikatsverwaltung dringend erforderlich.

Herausforderungen für Serverzertifikate

Manuelle Prozesse

Manuelle Verwaltungsprozesse sind zeitaufwändig und kostspielig. Das Fehlen von Administratoren oder menschliches Versagen in einer mit Tabellenkalkulationen verwalteten Umgebung birgt ein hohes Risiko.

Keine klare Übersicht

Die Anzahl der Serverzertifikate, ihre Herkunft und ihr Standort sind unbekannt. Es werden hunderte oder tausende Zertifikate mit unbekanntem Ablaufdatum von verschiedenen CAs verwendet.

Unklare Verantwortlichkeiten

Der Besitz von Zertifikaten ist häufig nicht definiert. Wer ist für die fristgerechte Erneuerung verantwortlich? Wer verwaltet den CA-Vertrag?

Verkürzte Lebensdauer

Die Lebensdauer öffentlicher TLS-Zertifikate beträgt derzeit ein Jahr und einige CAs bieten sogar nur 90 Tage an. Diese wird immer mehr abnehmen und das Erneuerungsproblem verschärfen.

Die SECARDEO Lösung

Vollständige TLS-Automatisierung

Automatische Registrierung und Verlängerung mithilfe von Standardprotokollen wie ACME, REST und SCEP für gängige Webserver. Unterstützung mehrerer Zertifizierungsstellen wie öffentliche CAs, verwaltete private CAs oder eine Microsoft-CA.

Auffinden von Zertifikaten

Ihr Netzwerk kann manuell oder automatisch nach TLS-Serverzertifikaten oder SSH-Schlüsseln durchsucht werden. Die gefundenen Zertifikate und Schlüssel stehen dann einer zentralen Verwaltung zur Verfügung.

Bequeme Self-Services

Ein Administrator kann Zertifikatsanforderungen hochladen oder einfach generieren. Er kann seine Zertifikate finden und herunterladen, delegieren, erneuern oder widerrufen. Zusätzliche Metainformationen helfen bei der Strukturierung von Managementprozessen.

Erweiterte Kontrolle

Steuern Sie Zertifikatsvorgänge durch rollenbasierte Benutzerautorisierung, manuelle Genehmigung, Servervalidierung und Domänenautorisierung. Nutzen Sie anpassbare E-Mail-Benachrichtigungen zu Zertifikatsereignissen. Die gemeinsame Nutzung von Zertifikaten in Gruppen erleichtert und sichert deren Verwaltung.

Implementierung

Secardeo TOPKI stellt Softwarekomponenten zur Verfügung, die spezifischen Verwaltungsaufgaben für SSL/TLS-Serverzertifikate dienen. Damit können Sie Zertifikate von öffentlichen oder privaten CAs in der Cloud anfordern. Oder Sie können eine interne Microsoft-Zertifizierungsstelle verwenden. Die automatische Registrierung von SSL/TLS-Zertifikaten wird durch die Unterstützung des Standard ACME-Protokolls ermöglicht. Für eine manuelle Registrierung stehen webbasierte Self-Services für Serveradministratoren zur Verfügung. Für höhere Sicherheitsanforderungen können Genehmigungs- und Abnahmeworkflows eingesetzt werden. Die Zertifikatsverwaltung ist auf bestimmte Rollen aufgeteilt. Die Verwaltung von Benutzern, Gruppen, Rollen und Berechtigungen erfolgt über Active Directory-Mechanismen. Automatische Benachrichtigungen und generierte Berichte helfen dabei, die vollständige Kontrolle über alle zertifikatsbezogenen Ereignisse zu erhalten. Für die Integration von IT-Anwendungen in den Zertifikatsmanagement-Workflow kann eine REST-API genutzt werden.