E2E-Zertifikatsmanagement mit Keyfactor und EJBCA

Das Konzept der Verwaltung von Maschinenidentitäten hat sich im letzten Jahr explosionsartig entwickelt - und das aus gutem Grund. Unternehmen haben jetzt mehr Elemente wie kryptografische Schlüssel, X.509-Zertifikate und andere Berechtigungsnachweise, die sie verwalten müssen, um digitales Vertrauen zwischen Identitäten und Maschinen herzustellen, einschließlich IoT Geräte, virtuelle Maschinen, Container usw.

In der Tat ist das maschinelle Identitätsmanagement so wichtig geworden, dass es auf der Gartners Liste der wichtigsten Sicherheits- und Risikotrends für 2021. Gartner hat insbesondere darauf hingewiesen, dass das Management von Maschinenidentitäten ein Schwerpunkt sein muss, wenn Unternehmen ihre digitalen Zertifikate weiter skalieren, und stellt fest, dass Unternehmen, die X.509-Zertifikatsmanagement-Tools verwenden, Folgendes erreichen können zertifikatsbezogene Ausfälle um 90 % reduzieren und den Zeitaufwand für die Verwaltung dieser Probleme um die Hälfte reduzieren können.

Welche Schritte kann Ihr Unternehmen angesichts dieser Bedeutung unternehmen, um darauf zu reagieren? Wir haben uns mit Eric Mizell, VP of Engineering bei Keyfactor, und Alex Gregory, VP of Marketplace Products bei Keyfactor, zusammengesetzt, um herauszufinden, was nötig ist, um ein End-to-End-Zertifikatsmanagement mit Keyfactor Command und PrimeKey EJBCA zu erreichen.

Hier sind die Höhepunkte unserer Diskussion.

Bevor wir darauf eingehen, wie genau Keyfactor und PrimeKey das End-to-End-Zertifikatsmanagement unterstützen können, ist es wichtig zu verstehen, warum diese Kombination in einzigartiger Weise geeignet ist, dieses Problem zu lösen. Die Antwort auf diese Frage ergibt sich aus einer Kombination von Plattformfunktionen und Fachwissen.

Keyfactor und PrimeKey fusionierten im Sommer 2021 und brachten umfassende und hoch skalierbare Lösungen für das Identitätsmanagement von Maschinen (von SSH-Schlüsseln bis hin zu SSL und TLS Zertifikaten) und die PKI von Unternehmen zusammen. Diese Kombination schafft eine End-to-End-Plattform mit erstklassigen Management- und Automatisierungsfunktionen, die Zertifikate in großem Umfang ausstellen kann.

Gleichzeitig bringen die beiden Teams von Keyfactor und PrimeKey über 20 Jahre Erfahrung in diesem Bereich mit. Keyfactor hat mehr als zwei Jahrzehnte lang PKI-Beratungsinitiativen geleitet, während PrimeKey seit 2001 die marktführende open-source PKI und CA betreibt. Mit dieser Erfahrung ist das gemeinsame Team in der Lage, die Sicherheitsteams von Unternehmen und IoT zu unterstützen, die sich mit der Sicherheit während der Herstellungs- und Produktionsprozesse befassen.

EJBCA ist eine hochleistungsfähige, skalierbare Zertifizierungsstelle. Sie unterstützt eine unbegrenzte Anzahl von PKI-Hierarchien pro Server, d. h. der einzige Grund, warum Sie weitere Server hinzufügen müssen, ist die Vergrößerung der Grundfläche Ihrer PKI. 

Und das ist ganz einfach: Man muss nur EJBCA Knoten hinter einem Load Balancer auf einer hochverfügbaren Datenbank mit einer guten HSM-Konfiguration hinzufügen, um eine wirklich unglaubliche Skalierung bei der Ausstellung von Zertifikaten zu erreichen.

Ebenso wichtig ist, dass EJBCA einfach zu konsumieren ist, mit drei verschiedenen Optionen je nach Ihren Bedürfnissen: 

• • EJBCA SaaS: Das PrimeKey- und Keyfactor -Team hostet, verwaltet und betreibt alles für Sie. Mit diesem Ansatz erhalten Sie die volle Leistung von EJBCA und können alles von den Schlüsseln und CAs bis hin zu den Namen und Profilen und allem anderen innerhalb von EJBCA konfigurieren - ohne sich um die Infrastruktur kümmern zu müssen.
  • EJBCA Cloud: Wird als Abonnement über den AWS- oder Microsoft Azure-Marktplatz angeboten, bei dem EJBCA über eine virtuelle Maschine in Ihrer Umgebung ausgeführt wird. Bei diesem Ansatz erhalten Sie das gesamte vorkonfigurierte Wissen, das für die Paketierung von EJBCA erforderlich ist, so dass Sie es nach Bedarf skalieren, entwickeln, erstellen und patchen können, um jeden Aspekt Ihrer PKI zu kontrollieren.
  • Software Client: Packt EJBCA auf eine virtuelle Maschine, die Sie vor Ort betreiben können, oder auf eine hardware appliance , die über ein von PrimeKey vorkonfiguriertes HSM verfügt.

Sobald Sie mit der Erstellung von Zertifikaten begonnen haben, müssen Sie diese während ihres gesamten Lebenszyklus verwalten. Hier kommt Keyfactor Command ins Spiel.

Keyfactor Command unterstützt die Automatisierung des Lebenszyklus von Zertifikaten und bietet die notwendige Transparenz, um alle Zertifikate in Ihrer Umgebung zu identifizieren und ein Inventar von Zertifizierungsstellen, Zertifikatspeichern, Anwendungsservern usw. zu führen. Diese Transparenz kann Risikobewertungen unterstützen, z. B. welche Zertifikate demnächst ablaufen und welche potenziellen Schwachstellen bei selbstsignierten Zertifikaten bestehen. Keyfactor Command ermöglicht Ihnen auch die Erstellung von Warnungen für bestimmte Risikopunkte, z. B. wenn Zertifikate demnächst ablaufen und erneuert werden müssen, um einen Ausfall zu vermeiden.

Keyfactor Command unterstützt alles von der automatischen Registrierung von Zertifikaten bis zur automatischen Bereitstellung von Anwendungsservern, Load Balancern, Firewalls und mehr. KeyfactorDie Automatisierung vermeidet fehleranfällige Prozesse und die nur allzu häufige Situation, dass Sicherheitsteams bei der Erneuerung dieser Zertifikate einen Server übersehen.

Wichtig ist, dass Keyfactor Command auch über starke API-Integrationspunkte in jede CA verfügt. Diese Integrationen bieten eine Echtzeit-Bestandsaufnahme aller in einer Umgebung vorhandenen Zertifikate und unterstützen Funktionen wie das automatische Eintragen, Widerrufen und Bereitstellen von Zertifikaten. Und das alles über eine einzige Schnittstelle, um einen zentralen Punkt für die Sichtbarkeit und Verwaltung zu schaffen.

Die Integration von Keyfactor Command und EJBCA bietet zahlreiche Vorteile. Sie trägt zur Vereinfachung der PKI bei, indem sie Programme hochgradig skalierbar macht und den gesamten Verwaltungsprozess automatisiert, um die Agilität der Kryptoindustrie zu unterstützen. Darüber hinaus bietet sie ein noch nie dagewesenes Maß an Transparenz, da Sie eine beliebige Anzahl öffentlicher und privater Zertifizierungsstellen einbinden können, und verringert das Risiko, indem sie Ihr gesamtes Unternehmen (einschließlich DevOps-Teams) dabei unterstützt, schnell und sicher zu arbeiten.

Schauen wir uns einmal an, wie das alles zusammenhängt.

Nehmen wir an, Sie haben mehrere PKI-Hierarchien innerhalb von EJBCA und Ihre Root-CA, einschließlich ihres Krypto-Tokens, ist offline. Das bedeutet, dass diese Schlüssel in Ihrem HSM gespeichert werden. Sie können auf diese Schlüssel zugreifen, um sie zum Signieren zu verwenden, indem Sie Ihr Passwort in das HSM eingeben. 

Sobald Sie Zugang zu den Schlüsseln haben, können Sie diese zum Signieren verwenden. In diesem Fall fügen wir eine CA namens "Keyfactor Webinar Issuing CA" hinzu. Es gibt viele verschiedene Möglichkeiten, diese CA zu signieren: Wir können eine selbstsignierte CA erstellen (was Sie in der Regel nicht tun sollten), eine externe CA verwenden (was in der Regel am besten für Offline-Root-CAs geeignet ist), oder Sie können eine Root-CA für Ihre PKI verwenden (was wir in diesem Beispiel tun werden).

Bevor wir die CA signieren, müssen wir einige Parameter festlegen. Zunächst müssen wir sie als ausstellende CA für 15 Jahre "aktiv" machen. Als nächstes müssen wir eine CRL einrichten. In diesem Fall verwenden wir eine dreitägige CRL mit einer eintägigen Überlappung, die es uns ermöglicht, mehrere verschiedene CRLs im Umlauf zu haben und dennoch genau zu kontrollieren, wie viele davon aktiv sind.

Sobald diese Parameter festgelegt sind, wird die Stammzertifizierungsstelle durch Klicken auf "Erstellen" in der Plattform dazu veranlasst, die neue ausstellende Zertifizierungsstelle zu signieren, wodurch eine neue PKI-Hierarchie entsteht. 

Dieser Vorgang dauert nur ein paar Sekunden, und sobald die neue ausstellende CA erstellt ist, brauchen wir die Stamm-CA nicht mehr online zu haben. Es empfiehlt sich, die Stamm-CA immer offline zu halten, es sei denn, sie wird für die Erstellung einer neuen ausstellenden CA benötigt.

Sobald wir unsere ausstellende CA haben, können wir über Protokolle und APIs nachdenken. EJBCA bietet umfangreiche Protokollunterstützung: Von ACME bis hin zur Konfiguration der automatischen Registrierung kann es in Ihre Active Directory-Domäne integriert werden und Zertifikate für Benutzer mit Computern über native automatische Registrierungsprotokolle ausstellen. Das Tolle an dieser Einrichtung ist die Flexibilität, Protokolle im laufenden Betrieb zu aktivieren und zu deaktivieren.

Jetzt können wir damit beginnen, neue Zertifikate auszustellen. Die Integration mit Keyfactor Command bedeutet, dass Keyfactor jedes neue Zertifikat und jeden neuen Schlüssel sieht, die über EJBCA erstellt wurden.

Verwenden wir ein Webserverprofil, um ein Schlüsselpaar mit dem Namen "Keyfactor Webinar" zu erstellen. Wir können alle DN-Attribute konfigurieren, die wir wollen, wie OU, Organisation, Qualität usw. Wir können auch einen Benutzernamen und einen Anmeldecode angeben.

Übersichtlichkeit ist in der Welt der PKI das A und O. Deshalb ist das Dashboard von Keyfactor Command , das Informationen auf höchster Ebene anzeigt, so wichtig. Es zeigt Details an, z. B. welche Zertifikate aktiv sind, welche bald ablaufen, wo sich die Zertifikate befinden und welche möglicherweise widerrufen werden müssen.

Außerdem können Sie auf jedes Zertifikat klicken, um weitere Details zu erfahren.

Keyfactor Command können Zertifikate auch in Sammlungen gruppiert werden, so dass verschiedene Gruppen ihr Dashboard so anpassen können, dass sie nur ihre Zertifikate und die für sie wichtigen Informationen sehen. Wir können auch Zertifikate nach CA gruppieren, um z. B. alle Zertifikate zu sehen, die über EJBCA ausgestellt wurden.

Wir können beliebige Suchparameter verwenden, einschließlich Zertifikatsattribute, Metadaten oder Schlüssellänge, um Sammlungen zu erstellen. Das Beste daran ist vielleicht, dass die Suche in einfachem Englisch funktioniert, so dass sich niemand um das Schreiben einer Abfrage kümmern muss.

Keyfactor ist CA-unabhängig, d.h. es kann all diese Daten von jeder öffentlichen oder privaten CA abrufen. Daher sollte dies ein fortlaufender Prozess sein, damit wir immer über den neuesten und besten Bestand an Zertifikaten in unserer Umgebung und die entsprechenden Details zu jedem einzelnen Zertifikat verfügen. Am besten ist es, Regeln für inkrementelle Scans festzulegen, um neue Zertifikate und Aktualisierungen von Informationen zu bestehenden Zertifikaten zu erfassen.

Diese inkrementelle Bestandsaufnahme ist wichtig, wenn wir mit der Ausstellung von Zertifikaten fortfahren. Mit der Kombination von Keyfactor Command und EJBCA können wir diesen Prozess sogar bis zu einem gewissen Grad automatisieren, indem wir verschiedenen Benutzergruppen die Berechtigung erteilen, Zertifikate von einer ausstellenden Zertifizierungsstelle auszustellen, oder wir können eine ausstellende Zertifizierungsstelle zu einem Zertifikatspeicher hinzufügen, um den Prozess noch weiter zu automatisieren.

Auf dem Weg dorthin wird die kombinierte Leistung von Keyfactor Command und EJBCA den gesamten Prozess vereinfachen, indem wichtige Aufgaben automatisiert werden und ein tiefer Einblick in das gesamte PKI-Programm ermöglicht wird.

Sind Sie daran interessiert, mehr über die kombinierte Leistung von Keyfactor Command und PrimeKey EJBCA zu erfahren? Klicken Sie hier, um das gesamte Webinar, einschließlich einer Demo, zu sehen, wie die beiden Lösungen integriert werden, um ein durchgängiges Zertifikatsmanagement zu unterstützen.