Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

  • Startseite
  • Blog
  • Den Wechsel vollziehen: Die Umstellung auf Keyfactor (Teil II)

Den Wechsel vollziehen: Die Umstellung auf Keyfactor (Teil II)

PKI

Willkommen zum zweiten Teil einer Blogserie über die Migration von Ihrer alten PKI-Lösung auf die Plattform Keyfactor Command . Im ersten Teil haben wir den ersten Schritt bei der Umstellung auf eine neue PKI-Lösung besprochen - das Importieren Ihrer Schlüssel und Zertifikate mithilfe von optimierten Bulk-Scripting-Vorgängen. Nachdem Sie nun Ihre Zertifikate in die Datenbank importiert haben, müssen Sie Ihre Infrastruktur so konfigurieren, dass die Operationen für den Lebenszyklus von Zertifikaten über Keyfactor umgeleitet werden.

Der Platz in einem Blog reicht einfach nicht aus, um alle Fragen zu beantworten, die auf dem Weg dorthin auftauchen können, aber ich werde ein grundlegendes Verständnis dafür vermitteln, was nötig ist, um den Betrieb aufzunehmen.

Synchronisieren Sie mit Ihrem Microsoft CA

Beginnen wir damit, wie Sie Ihre interne Microsoft CA zu Ihrer neuen Datenbank Keyfactor umleiten. Es gibt zwei mögliche Szenarien:

Wir werden uns mit beiden Szenarien befassen.

Wenn Keyfactor Command in Ihrer Umgebung gehostet wird und die interne Zertifizierungsstelle sich im selben Wald befindet, ist es ganz einfach. Keyfactor kann Synchronisierungsaufträge planen, um die Zertifizierungsstelle sowie zukünftige Zertifikatsregistrierungen automatisch zu inventarisieren.

Wenn Keyfactor Command in unserer Cloud-Umgebung gehostet wird, gibt es nur einen zusätzlichen Schritt. Sie müssen einen Orchestrator in der Domäne einrichten, in der Ihre interne Zertifizierungsstelle gehostet wird, um die Zertifikate zu inventarisieren und sie mit unserer in der Cloud gehosteten Umgebung zu synchronisieren. Natürlich steht Ihnen das Team von Keyfactor zur Seite und unterstützt Sie bei jedem Schritt.

Unbekannte Schlüssel und Zertifikate entdecken

Als Nächstes müssen Sie alle Zertifikate berücksichtigen, die in Ihrem Unternehmen im Umlauf sind. Haben Sie Anwendungsteams, die mit selbstsignierten und Wildcard-Zertifikaten testen? Welche Schwachstellen wurden auf Web- und Anwendungsservern offen gelassen? Viel zu oft werden diese Schwachstellen vernachlässigt, was im Nachhinein zu schwerwiegenderen Konsequenzen führt. Um dieses Problem von vornherein einzudämmen, müssen wir zunächst diese Schwachstellen aufdecken und diese Zertifikate in Ihre Datenbank aufnehmen.

Es beginnt mit dem Einsatz des Keyfactor SSL /TLS Discovery Tools. Unser flexibler agentenbasierter oder agentenloser Ansatz ermöglicht es Ihnen, große Port- und Netzwerkbereiche zu scannen, um alle Zertifikate und ihre relevanten Informationen zu finden und zu inventarisieren. Auf diese Weise können Sie so genannte "Zertifikatsammlungen" erstellen, in denen Sie Zertifikate gruppieren können, um Richtlinien durchzusetzen, Berichte über ihren Status zu erstellen, Warnungen und Benachrichtigungen einzurichten, um der Erneuerung zuvorzukommen, oder sogar den Erneuerungsprozess mit vordefinierten Workflows vollständig zu automatisieren.

Bei der Planung einer rechtzeitigen SSL/TLS Entdeckung gibt es einige wichtige Dinge zu beachten:

  • Volumen - je größer das Netzwerk und die Portbereiche sind, die Sie abdecken wollen, desto länger dauert der Prozess. Um die Leistung zu verbessern und die Zeit bis zur Erkennung zu verkürzen, können Sie einfach mehr Agenten oder Orchestratoren einsetzen, um den Prozess zu optimieren.
  • Standort - Wenn die geografische Lage ins Spiel kommt, kann dies manchmal die Antwort eines Endpunkts an den Erkennungsagenten verzögern. Wenn die Zeitüberschreitung Ihres Agenten zu niedrig eingestellt ist, haben nicht alle Endpunkte genügend Zeit, um mit ihrem Zertifikat zu antworten.
  • Null-Endpunkte - Wenn Sie die Zeitvorgaben für die Agenten zu hoch ansetzen, werden alle Endpunkte ohne Zertifikate die gesamte Zeit in Anspruch nehmen, bevor sie zum nächsten Port wechseln. Sie sollten die schlanksten Aufträge definieren, um eine effiziente Überprüfung zu gewährleisten.
  • API-Skripte - Um schlanke Auftragsdefinitionen zu erreichen, können stark angepasste Netzwerkbereiche verwendet werden. Programmatische Netzwerkdefinitionen sparen viel Zeit bei der Implementierung eines Scanauftrags. Keyfactor bietet Beispielskripte, um diesen Prozess zu vereinfachen.
Das Banner zeigt eine Vorschau auf das Keyfactor ebook, Wie die Investition in die Zertifikatsautomatisierung Ihr Unternehmen und Ihren Gewinn schützt

Synchronisierung mit Ihren öffentlichen CAs

Schließlich möchten Sie auch die Zertifikate Ihrer öffentlichen Zertifizierungsstellen wie DigiCert, Sectigo, Entrust und anderen inventarisieren. Keyfactor bietet mehrere CA-Gateways, die sich direkt mit jeder Ihrer öffentlichen Zertifizierungsstellen verbinden lassen. Im Gegensatz zu anderen Anbietern ist hier keine Middleware involviert. Keyfactor bietet ein komplettes Inventar von Zertifikaten und orchestriert den gesamten Lebenszyklus von Zertifikaten - von der Ausstellung bis zur Erneuerung und Sperrung. Der Prozess hängt wiederum davon ab, ob Ihre Instanz von Keyfactor Command in Ihrem Netzwerk oder mit Keyfactor cloud-hosted PKI as-a-Service gehostet wird.

  • Wenn Keyfactor Command in Ihrer Umgebung gehostet wird, beginnen Sie mit der Installation eines Gateways und der Bereitstellung von Admin-Zugangsdaten für die Plattform Keyfactor , um direkt mit der öffentlichen CA zu kommunizieren. So können Zertifikate inventarisiert und neue Registrierungen über das Portal Keyfactor durchgeführt werden.
  • Wenn Keyfactor Command in unserer Cloud-Umgebung gehostet wird, ist dieser Schritt noch einfacher. Keyfactor richtet den Server ein, installiert das Gateway und konfiguriert die entsprechenden Active Directory (AD)-Einstellungen. Alles, was wir brauchen, sind die Anmeldedaten und ein Zertifikat, damit sich die Plattform Keyfactor bei der CA authentifizieren kann.

Wenn Sie es bis hierher geschafft haben, ist es an der Zeit, Ihren Sieg zu feiern. Sie haben nun erfolgreich Ihre gesamte PKI inventarisiert und Ihre Infrastruktur mit der Plattform Keyfactor Command integriert.

Ersetzen oder Koexistieren

Schließlich möchten Sie auch die Zertifikate Ihrer öffentlichen Zertifizierungsstellen wie DigiCert, Sectigo, Entrust und anderen inventarisieren. Keyfactor bietet mehrere CA-Gateways, die sich direkt mit jeder Ihrer öffentlichen Zertifizierungsstellen verbinden lassen. Im Gegensatz zu anderen Anbietern ist hier keine Middleware involviert. Keyfactor bietet ein komplettes Inventar von Zertifikaten und orchestriert den gesamten Lebenszyklus von Zertifikaten - von der Ausstellung bis zur Erneuerung und Sperrung. Der Prozess hängt wiederum davon ab, ob Ihre Instanz von Keyfactor Command in Ihrem Netzwerk oder mit Keyfactor cloud-hosted PKI as-a-Service gehostet wird.

  • Wenn Keyfactor Command in Ihrer Umgebung gehostet wird, beginnen Sie mit der Installation eines Gateways und der Bereitstellung von Admin-Zugangsdaten für die Plattform Keyfactor , um direkt mit der öffentlichen CA zu kommunizieren. So können Zertifikate inventarisiert und neue Registrierungen über das Portal Keyfactor durchgeführt werden.
  • Wenn Keyfactor Command in unserer Cloud-Umgebung gehostet wird, ist dieser Schritt noch einfacher. Keyfactor richtet den Server ein, installiert das Gateway und konfiguriert die entsprechenden Active Directory (AD)-Einstellungen. Alles, was wir brauchen, sind die Anmeldedaten und ein Zertifikat, damit sich die Plattform Keyfactor bei der CA authentifizieren kann.

Wenn Sie es bis hierher geschafft haben, ist es an der Zeit, Ihren Sieg zu feiern. Sie haben nun erfolgreich Ihre gesamte PKI inventarisiert und Ihre Infrastruktur mit der Plattform Keyfactor Command integriert.

Schnelle Bereitstellung, einfacher Austausch

Stellen Sie Keyfactor Command schnell und effizient bereit. Sie können unsere Lösung sogar installieren, während Ihre bestehende Lösung noch in Betrieb ist - um sicherzustellen, dass Sie nie einem zertifikatsbedingten Ausfall ausgesetzt sind, nicht einmal für eine Minute - und sie dann nach Belieben deinstallieren.

Schrittweise Migration

Keyfactor koexistiert mit anderen Lösungen und erweitert Ihre Sichtbarkeit, indem es auffängt, was andere übersehen. Ihre alte Lösung kann weiterhin Zertifikate verwalten, während Keyfactor den Vorteil eines flexiblen und modularen Designs bietet, um die Lücken zu schließen und Ausfälle zu verhindern, bevor sie auftreten.