NEWS: Warum Sie S/MIME automatisieren sollten
News & Events

Ist die private PKI wirklich privat?

by 7. Oktober 2019

Wenn Sie über eine Website verfügen, die einen Service für Kunden außerhalb Ihres Unternehmens bereitstellt, verfügt diese möglicherweise über ein digitales Zertifikat, das öffentlich verwurzelt ist. Dies bedeutet, dass die Vertrauenskette zu einem Stammzertifikat führt, das von einer bekannten Zertifizierungsstelle (Certificate Authority, CA) ausgestellt wurde, die bereits von den Browsern Ihrer Benutzer und anderen wichtigen Anwendungstechnologien (z. B. Java) als vertrauenswürdig eingestuft wurde. Durch die Nutzung eines öffentlichen Stamms können Sie sofort ein universelles Vertrauen in Ihre gesamte Benutzerbasis erreichen.

Möglicherweise verfügen Sie auch über eine Reihe anderer Server, die nicht extern ausgerichtet sind und keine öffentlich gerooteten Zertifikate benötigen. Diese Server benötigen jedoch möglicherweise noch Authentifizierung, Signierung und Funktionen, um eine sichere TLS-Sitzung mit anderen internen Servern oder Anwendungen einzurichten. Der Stamm des Vertrauens für diese Server wäre eine private Zertifizierungsstelle (CA). Eine eigene Zertifizierungsstelle, die Teil des Cloud-basierten Sectigo Private PKI- Angebots ist.

Mit unserer privaten PKI-Lösung können Sie die Zertifikate für Ihre Server, Geräte und Benutzer kennzeichnen. Da der Zweck dieser Zertifizierungsstelle darin besteht, nur Ihrem Unternehmen zu dienen, bietet sie eine genauere Kontrolle, wenn diese PKI-Infrastruktur für die interne Benutzerauthentifizierung verwendet wird. Aus diesem Grund ist Private PKI bei der Bereitstellung in der Unternehmens-IT sowie in cloud-nativen DevOps- und Internet of Things-Umgebungen (IoT) äußerst beliebt.

Drei Bereitstellungsszenarien

Sie müssen drei Bereitstellungsarchitekturen berücksichtigen, um Sectigo Private PKI verwenden zu können: 

  1. Sectigo hostet die private Stammzertifizierungsstelle sowie die ausstellende (n) Zertifizierungsstelle (n) für Sie in der Cloud.
  2. Ihre Organisation hostet die private Stammzertifizierungsstelle Ihrer Wahl und Sectigo hostet die ausstellende (n) Zertifizierungsstelle (n) für Sie.
  3. Oder Sectigo hostet die private Stammzertifizierungsstelle und Ihre Organisation hostet die ausstellenden Zertifizierungsstellen

Viele unserer Kunden bevorzugen Option 1, da alle betrieblichen Aspekte der PKI, einschließlich Hosting, Wartung, Sicherheit und Compliance, von Sectigo übernommen werden. Sie beschaffen und installieren einfach Zertifikate von uns und stellen diese in Ihrer Umgebung bereit. Einige Kunden verfügen möglicherweise bereits über eine private Stammzertifizierungsstelle, oder ihre Unternehmenssicherheitsrichtlinie schreibt vor, dass sich die Stammzertifizierungsstelle in ihrer Umgebung befindet. In diesem Fall kann Sectigo die ausstellenden Zertifizierungsstellen hosten und verwalten, die von ihrer lokalen Stammzertifizierungsstelle signiert werden.

Da der Großteil der Arbeit bei der ausstellenden Zertifizierungsstelle erledigt wird, werden sie von vielen alltäglichen Aufgaben entlastet. In der dritten oben genannten Situation ist möglicherweise eine Zertifizierungsstelle (z. B. Microsoft-Zertifizierungsstelle, HashiCorp Vault PKI-Instanz oder Kubernetes-Zertifizierungsstelle) in Ihrer Umgebung aktiv und in Ihre Anwendungen integriert. Sie können Ihre Sicherheitslage erheblich verbessern, indem Sectigo eine Offline-Stammzertifizierungsstelle mit Schlüsseln hostet, die in einem Hardware Security Module (HSM) in einem nach Industriestandard geprüften Rechenzentrum gespeichert sind, und Ihre vorhandene Zertifizierungsstelle signiert, die dann die ausstellt und verwaltet Endentitätszertifikate für Benutzer und Geräte.

Wir können Sie bei der Auswahl der für Ihre Situation am besten geeigneten Option unterstützen und Sie bei der Implementierung der ausgewählten Bereitstellungsarchitektur unterstützen. Die Abbildungen 1, 2 und 3 zeigen alle drei Szenarien.

Abbildung 1. Von Sectigo gehostete private PKI

 

Abbildung 2. Vom Kunden gehostete Stammzertifizierungsstelle mit von Sectigo gehosteter ausstellender Zertifizierungsstelle
Abbildung 3. Von Sectigo gehostete Stammzertifizierungsstelle mit vom Kunden gehosteter ausstellender Zertifizierungsstelle

IT- und DevOps-freundliche private PKI

Für die Authentifizierung von Container zu Container und von Anwendung zu Anwendung sowie für die sichere Kommunikation zwischen ihnen werden Sie wahrscheinlich vertrauenswürdige Zertifikate in Ihrer AWS-, Azure- oder anderen Cloud-Umgebung nutzen. Sectigo Private PKI wird in die gängigsten DevOps-Tools integriert, sodass Sie beim automatisierten Roll-out Ihrer Infrastruktur und Anwendungen Zertifikate von Sectigo Private PKI nahtlos registrieren und deren Lebenszyklus verwalten können. Um sicherzustellen, dass Ihre Software nicht manipuliert wird, sollten Sie außerdem Ihren Container und andere Anwendungen mit Codesignaturen versehen, die auch von derselben PKI-Infrastruktur stammen können.

Mit dem Aufkommen der Cloud-freundlichen Mikrodienstarchitektur können Ihre Dienste kommen und gehen, was ein hohes Volumen und kurzlebige Zertifikate erfordert. Sectigo Private PKI ist in der Lage, Zertifikate mit einem kurzen Lebenszyklus auszustellen und zu verwalten. Unser Lizenzierungsschema unterstützt dieses Geschäftsmodell, um es für Sie kosteneffizient zu gestalten.

Automatisierungsorientierte Lösung

Automatisierung spielt in unserer Architektur eine Schlüsselrolle. Sectigo Private PKI unterstützt Sie bei der End-to-End-Automatisierung der Ausstellung und Installation von Zertifikaten.

Wir unterstützen branchenübliche Protokolle wie die Registrierung über sicheren Transport (EST) und das Simple Certificate Enrollment Protocol (SCEP) und arbeiten an der Integration mit Tools von Drittanbietern, z. B. Kubernetes Cert-Manager, HashiCorp Terraform und Vault, Ansible. Marionette, Koch und andere. In Microsoft Windows-Umgebungen können Sie unsere automatische Registrierungsfunktion nutzen, um Zertifikate von Sectigo Private PKI auszustellen. Für Nicht-Microsoft-Unternehmen können Sie andere unterstützte Tools verwenden, die mit unserer privaten PKI getestet wurden, um Zertifikate für diese zu verwalten.

Dieser aktuelle Blog, „Wenn es um die Automatisierung von SSL-Zertifikaten geht, bietet Sectigo viele Optionen“, enthält nützliche Informationen über die Suite von Automatisierungstools, die Sectigo einsetzt, um die manuelle Arbeit von Administratoren zu reduzieren.

Central Management Console

Unsere Kunden bevorzugen es selten, zu zwei verschiedenen Anbietern zu gehen, um ihre öffentlichen und privaten Zertifikate zu erhalten. Aus diesem Grund haben wir unser System so konzipiert, dass Sie alles von einer zentralen Konsole aus verwalten können, die als Enterprise Certificate Manager bezeichnet wird . Die Erfahrung des Administrators ist unabhängig von der Art der von Ihnen verwalteten Zertifikate gleich. Alle Ihre Zertifikate werden in der zentralen Konsole mit ihrem Status und Ablaufdatum angezeigt. Certificate Manager kann alle Ihre Zertifikate erkennen, auch wenn sie nicht von Sectigo / Comodo stammen, und darüber Berichte erstellen.

Wir haben weitere aufregende Pläne, um Ihnen einen umfassenden Überblick über Ihre privaten PKI-, öffentlichen SSL- und Unternehmens-IoT-Zertifikate zu verschaffen. Kontaktieren Sie uns für weitere Informationen.

Tags: