Inhalt:

Was sind die Stationen im Lebenszyklus eines Zertifikats?

Was passiert, wenn ein SSL / TLS Zertifikat ungültig wird?

Warum ist Lifecycle-Management so wichtig?

Welchen Vorteil bringt es, das Certificate Lifecycle Management (CLM) zu automatisieren?

Wie kann essendi xc beim CLM unterstützen?

 

Was sind die Stationen im Lebenszyklus eines Zertifikats?

Zertifikate werden meist über eine Public Key Infrastructure (PKI) beantragt. Das PKI Certificate Lifecycle Management umfasst alle Vorgänge rund um kryptografische Schlüssel und digitale Zertifikate.

  • Kryptografisches Schlüsselpaar (öffentlicher / privater Schlüssel) und CSR (Certificate Signing Request) erzeugen
  • Beim Validierungsservice (VA) registrieren
  • Zertifikate bei der Zertifizierungsstelle (CA) beantragen
  • Ausgestellte Zertifikate abrufen
  • Zertifikate installieren und nutzen
  • Zertifikate erneuern
  • Zertifikate revozieren (widerrufen / sperren)
certificate life cycle

 

Was passiert, wenn ein SSL / TLS Zertifikat ungültig wird?

SSL / TLS Zertifikate verschlüsseln die Informationen, die über eine Webseite übermittelt werden. Sie schützen damit zum Beispiel Adress- und Kontodaten, die Besucher in Onlineshops ganz selbstverständlich eingeben. Wird am Beginn der Browserzeile ein geschlossenes Schloss angezeigt, sind die Daten vor dem Zugriff Dritter geschützt.
Ist das Zertifikat dagegen abgelaufen, erscheint in der Browserzeile das Symbol eines geöffneten Schlosses. Auf der Webseite wird zusätzlich ein Warnhinweis angezeigt.
In so einem Fall werden die Nutzer wahrscheinlich keine Einkäufe über die offensichtlich unsichere Webseite abschließen. Dadurch kommt es zu Umsatzausfällen für die Onlineshops.

Bestimmte Browser blockieren ungeschützte Webseiten sogar ganz. In unserem Beispiel können User die Seiten dann nicht mehr aufrufen. Somit können sie keine Einkäufe mehr tätigen.
Anders, wenn das Zertifikat die Kommunikation zwischen verschiedenen Maschinen abgesichert hat. Dann können sich die Geräte nicht mehr erkennen und abstimmen. Dies wird zu Ausfällen in der Produktion führen. Daraus entstehende Lieferschwierigkeiten bedeuten unter Umständen hohe Verluste und schädigen den Ruf des Unternehmens nachhaltig.
Ein geeignetes Zertifikats-Lebenszyklus-Management für SSL-Zertifikate (SSL Certificate Lifecycle Management) ist deshalb unerlässlich.

Warum ist Lifecycle-Management so wichtig?

Abgelaufene Zertifikate können also Systemausfälle nach sich ziehen. Dies vermeidet man, indem man im gesamten Unternehmen den Lebenszyklus der Zertifikate zu jeder Zeit im Blick behält. Leider wird es immer schwieriger das zu gewährleisten, da die Laufzeiten von Zertifikaten immer kürzer werden. Gleichzeitig nimmt aber ihre Anzahl zu.
In kleinen Unternehmen mit wenigen Geräten im Netzwerk reicht oft schon die einfachste Form des CLM. Eine Tabelle, in der die Rahmendaten der eingesetzten Zertifikate (Ablaufdatum, ausstellende CA, Einsatzort,…) erfasst werden.
Ab einer bestimmten Unternehmensgröße wird eine Tabelle unübersichtlich und reicht nicht mehr aus. In diesen Fällen empfiehlt sich ein Tool, das die Zertifikate überwacht. Ein solches Tool warnt rechtzeitig vor dem Ablauf von Zertifikaten.
Gleichzeitig überwacht es aktiv den Status der digitalen Zertifikate im Unternehmen. So fällt auch auf, wenn eines von der CA widerrufen wurde und deshalb nicht mehr gültig ist.
Das ist besonders wichtig, da Hacker alle sich bietenden Schwachstellen ausnutzen. Entdecken sie ein nicht mehr gültiges Zertifikat, kann das zu einem echten Sicherheitsproblem werden. Aus diesem Grund empfiehlt es sich, den Lebenszyklus der Zertifikate aktiv im Blick zu behalten. So kann man rechtzeitig einschreiten und die Sicherheit der Systeme garantieren.

Welchen Vorteil bringt es, das Certificate Lifecycle Management (CLM) zu automatisieren?

Digitale Zertifikate sind an vielen Stellen im Unternehmen im Einsatz. Da sie ein festgelegtes Ablaufdatum haben, müssen sie effizient verwaltet werden. Oft reicht es nicht aus, nur das Ablaufdatum zu überwachen und die Zertifikate rechtzeitig zu erneuern.
Um eine lückenlose Dokumentation zu gewährleisten, müssen Zertifikate archiviert werden. In manchen Fällen müssen sie auch bei der CA widerrufen werden. Diese komplexe Aufgabe lässt sich mit einem CLM-System automatisieren.
Das System übernimmt die Verwaltung des gesamten Zertifikats-Lebenszyklus. Vom Antrag bis zur Installation in die Zielsysteme. Es erinnert rechtzeitig an die Verlängerung auslaufender Zertifikate. Bei Bedarf ermöglicht es den Widerruf korrumpierter Zertifikate auf Knopfdruck.

Wie kann essendi xc beim CLM unterstützen?

essendi xc ist ein vollumfängliches Tool zur Verwaltung der Zertifikate. Im komfortablen, zentralen Dashboard hat man alle im Unternehmen eingesetzten Zertifikate im Blick. Von hier aus werden sie einfach und smart verwaltet.
essendi xc übernimmt die Überwachung, Alarmierung und Beantragung bis hin zur Ausbringung in die Systeme. Als Compliance gerechtes Tool beinhaltet er auch Berichterstattung und Archivierung.
Der xc kann individuell an Vorgaben der Compliance angepasst werden. Berechtigungen, Nutzergruppen und Anforderungen können definiert werden. Das ermöglicht es auch Usern, die keine Experten sind, Zertifikate anzufordern und einzusetzen.
Dieser optimierte Prozess der Anforderung entlastet das IT-Team. Gleichzeitig werden Sicherheitsrisiken minimiert.
Manche digitalen Zertifikate kommen allerding unbemerkt ins Netzwerk, z. B. mit einem neuen Gerät. Bleiben diese Zertifikate unentdeckt, ist ein Ausfall vorprogrammiert. Das Tool essendi xcs (extended certificat scanning) durchsucht die Netzwerkumgebung nach Zertifikaten aller Art. Die Ergebnisse speichert er im zentralen Zertifikate Repository. Er vermerkt dazu alle Informationen, die zur Verwaltung notwendig sind.
Eine große Erleichterung ist xc auch bei der Erstellung und Installation der Zertifikate in die Zielumgebung. Er erzeugt das Schlüsselmaterial lokal und bringt die Zertifikate automatisch in die gewünschten Systeme aus. Konnektoren schaffen die Verbindung bis zur letzten Meile und bringen sie direkt in die Server und Ziel-Devices. Einmal eingerichtet, laufen die meisten Prozesse automatisiert.