„Secardeo certACME automatisiert die zeitaufwändige Registrierung und Erneuerung von Serverzertifikaten in einer Organisation und hilft, Ausfallzeiten zu vermeiden.“

Ausfallzeiten vermeiden und Kosten senken!

• Die automatische Zertifikatserneuerung verhindert Ausfälle aufgrund abgelaufener Zertifikate.
• Die ständig reduzierte Lebensdauer von Server TLS-Zertifikaten erfordert häufige Erneuerungen.
• Jede manuelle Zertifikatsverlängerung verursacht interne Kosten.

Zertifikatsregistrierung sicher & zentral.

• ACME Challenge-Validierung via HTTP, DNS, TLS ALPN.
• Apple Device Attestation und MDM Lookup für Intune.
• Whitelisting für DNS oder Geräte-IDs.
• ACME Genehmigungsworkflow.
• Überprüfung von zentralen Crypto Policies.
• External Account Binding & AD Enroll Permission.
  
• Zertifikatsverwaltung in einer zentralen Datenbank.
• Überprüfbare Zertifikatsverwaltungsprozesse.

Die Lebensdauer öffentlicher TLS-Zertifikate, üblicherweise ein Jahr, verringert sich immer mehr, weshalb eine automatisierte Zertifikatsverwaltung dringend erforderlich ist. Die Nichtverfügbarkeit von Webservern aufgrund abgelaufener Zertifikate kann zu massiven finanziellen Schäden führen. Das ACME-Protokoll  (Automatic Certificate Management Environment) wird verwendet, um die Interaktionen zwischen Zertifizierungsstellen und IT-Systemen zu automatisieren. Es wurde ursprünglich für den kostenlosen CA-Dienst Let's Encrypt entwickelt.  Hiermit können domänenvalidierte DV Zertifikate ausgestellt werden.

Secardeo certACME ist ein Proxy zur automatischen Registrierung von Zertifikaten für Server, Clients oder Apple-Geräte mithilfe des ACME-Protokolls von privaten oder öffentlichen CAs. Alle Zertifikate werden in der zentralen TOPKI-Zertifikatsdatenbank gespeichert. Dies gewährleistet eine vollständige Kontrolle über die Zertifikate und überprüfbare Zertifikatsverwaltungsprozesse.

Öffentliche Webserver können zwar grundsätzlich direkt an eine öffentliche CA mittels ACME angebunden werden. Hierdurch geht aber die Kontrolle durch das IT Management und die Auditierbarkeit verloren. Durch eine Anbindung mittels certACME wird dieses Problem behoben und die Sicherheit kann durch Genehmigungsprozesse, Whitelisting oder External Account Binding weiter erhöht werden. Auch können hiermit organisationsvalidierte OV-Zertifikate im Rahmen eines MPKI-Vertrags automatisiert ausgestellt werden.

Interne Server oder auch beispielsweise Linux-Clients können mit certACME problemlos an eine vorhandene Microsoft CA (ADCS) oder auch OpenSource CAs wie EJBCA, OpenXPKI oder DogTag angebunden werden. Auch die Nutzung von kostenlosen CAs wie Let*s Encrypt oder ZeroSSL ist für interne Systeme mit certACME möglich, ebenso wie die Anbindung an kommerzielle CAs wie SwissSign, GlobalSign oder AWS.

Apple-Geräte, die durch ein MDM System wie Intune verwaltet werden, können ebenfalls über certACME mit Gerätezertifikaten versorgt werden. Hierfür wird die Apple Device Attestation genutzt und für die hochsichere Schlüsselpaarerzeugung kann die Secure Enclave des Geräts verwendet werden. Durch Abruf im MDM System oder einer Whitelist wird zusätzlich der Gerätestatus überprüft. Damit wird ein deutlich höheres Sicherheitsniveau erreicht als es bei Verwendung des alten SCEP Protokolls möglich ist.

certACME lässt sich problemlos als Microsoft IIS-Webanwendung integrieren und fungiert als ACME-Server für ACME-Clients. certACME verwendet dabei lokale oder AD Certificate Templates. Es validiert die Zertifikatsanforderungen mithilfe einer HTTP-, DNS- oder TLS-ALPN-Challenge und leitet den CSR an die verbundene öffentliche oder private Zertifizierungsstelle weiter, wobei auch mehrere CAs angebunden sein können. Dabei kann die Compliance mit einer festgelegten Crypto-Policy validiert werden. Optional erweitert certACME einen CSR um Unternehmensattribute wie Organisation, Land, Organisationseinheit. certACME speichert alle Zertifikate in einer lokalen oder zentralen SQL-Datenbank. certACME sendet automatisch konfigurierbare Benachrichtigungen an Zertifikatsmanager und Administratoren.