PKI-Verwaltung ist heute harte Arbeit. Tabellenkalkulationen oder selbstentwickelte Tools haben Sie vielleicht so weit gebracht, aber die Zeiten haben sich geändert. Mit der Notwendigkeit, rund um die Uhr Zertifikatsanfragen und -erneuerungen zu stellen, regelmäßige Compliance-Audits durchzuführen und unseriöse Zertifikate aufzuspüren, haben Sie einen Wendepunkt erreicht.
Wenn Sie auf der Suche nach einem Tool für die Zertifikatsverwaltung sind, haben Sie wahrscheinlich schon zu viele Ausfälle erlebt - oder Sie haben ein Audit nicht bestanden. Sie sind nicht allein. Jüngste Berichte zeigen, dass 87 % der Unternehmen in den letzten 24 Monaten mindestens einen zertifikatsbezogenen Ausfall erlebt haben.
Wie viele andere haben auch Sie beschlossen, dass Sie ein Tool für das Zertifikatsmanagement einsetzen müssen, sind sich aber nicht sicher, welche Fragen Sie stellen oder wo Sie überhaupt anfangen sollen. Dann sind Sie hier richtig.
Beginnen Sie mit den Anforderungen
Bestimmen Sie zuallererst die Projektanforderungen. Einige Fragen, die Sie sich stellen sollten:
- Welche (und wie viele) CAs muss das Zertifikatsmanagement-Tool unterstützen?
- Welche Systeme und Anwendungen in der Organisation sind auf Zertifikate angewiesen?
- Welche Kriterien sind für die verschiedenen Benutzergruppen innerhalb der Organisation erforderlich?
- Gibt es einen bestimmten Zeitrahmen für die Bewertung und Einführung?
- Brauche ich ein Tool für die Zertifikatsverwaltung, das auch verwaltete PKI bietet?
Sobald Sie Ihre Anforderungen festgelegt haben, stellen Sie den Anbietern diese 10 Fragen vor dem Kauf, um sicherzustellen, dass das von Ihnen gewählte Zertifikatsmanagement-Tool Ihre Anforderungen erfüllt.
10 Fragen, die Sie Anbietern von Zertifikatsmanagement stellen sollten
Frage 1: Unterstützt das Zertifikatsmanagement-Tool mehr als eine CA?
Organisationen mit interner PKI verwenden durchschnittlich 8 verschiedene ausstellende CAs, ganz zu schweigen von einer oder mehreren öffentlichen CAs. Lassen Sie sich nicht auf von CAs bereitgestellte Tools ein, mit denen Sie nur die Zertifikate ihrer eigenen CA ausstellen und verwalten können. Die Nachverfolgung von Zertifikaten über mehrere CA-Dashboards hinweg erfordert einen kontinuierlichen, manuellen Aufwand, der nicht nur zeitaufwändig, sondern auch fehleranfällig und unübersichtlich ist.
Frage Nr. 2: Welchen Grad an Transparenz wird Ihr Tool bieten?
Es sind nicht die Zertifikate, die Sie kennen, die Ihren nächsten Ausfall verursachen, sondern die, die Sie nicht kennen - und eine unvollständige Bestandsaufnahme lässt Sie ungeschützt. Die netzwerkbasierte Erkennung ist eine Grundvoraussetzung. Fragen Sie den Anbieter, ob seine Lösung CAs direkt inventarisieren kann. Kann sie Zertifikate erkennen, die außerhalb von Standardprozessen ausgestellt wurden (z. B. Rogue-Zertifikate)? Kann sie Schlüssel- und Zertifikatsspeicher in Netzwerkgeräten und Cloud-Diensten inventarisieren?
Frage Nr. 3: Wie lässt sich das Tool zur Zertifikatsverwaltung in meine bestehende Infrastruktur integrieren?
Ein Zertifikatsverwaltungstool, das erhebliche Änderungen an bestehenden Firewall- und Port-Konfigurationen erfordert, wird wahrscheinlich den Netzwerkverkehr verlangsamen und alle möglichen IDS- und IPS-Alarme auslösen. Sie sollten Ihren Anbieter um eine detaillierte Aufstellung der Erkennungs- und Verwaltungsfunktionen bitten, die er anbietet, und - was noch wichtiger ist - wie diese über CAs, Netzwerksegmente und IaaS-Plattformen hinweg implementiert werden.
Frage 4: Was ist, wenn ich eine CA in meiner PKI ändern, entfernen oder hinzufügen muss?
Krypto-Agilität ist der Schlüssel. Wenn eine Zertifizierungsstelle oder ein Algorithmus kompromittiert wird, reicht es nicht aus, Schlüssel und Zertifikate einfach von einer neuen Zertifizierungsstelle neu auszustellen. Der Anbieter sollte dafür sorgen, dass der Prozess (1) das Unternehmen nicht unterbricht, (2) innerhalb eines geschäftskritischen Zeitrahmens realisierbar ist und (3) in Ökosystemen mit Hunderttausenden von Zertifikaten in verteilten Systemen und Anwendungen realisierbar ist.
Frage Nr. 5: Welche Automatisierungsmöglichkeiten bietet das Tool?
Automatisierung kann - und sollte - viele Formen annehmen, und zwar so, wie Sie es brauchen. Ein effektives Tool für die Zertifikatsverwaltung bietet agentenbasierte und agentenlose Automatisierung, eine robuste API-Bibliothek und Unterstützung für Standardprotokolle wie Windows-Auto-Enrollment, ACME und SCEP. Vergewissern Sie sich, dass der Anbieter in Ihre Zielsysteme integriert werden kann - F5, IIS, Citrix, AWS und Azure KeyVault, um nur einige zu nennen.
