Wenn Sie in der Welt der Public Key Infrastructure (PKI) leben, sind Sie eine seltene Spezies.
Trotz ihrer Bedeutung für die IAM-Strategie (d. h. die Sicherung von Maschine-zu-Maschine-Verbindungen mit eindeutigen Identitäten) wird PKI oft missverstanden. Einige wenige Unternehmen verfügen über internes Fachwissen, aber für die meisten ist es eher eine "heiße Kartoffel", die an jeden weitergereicht wird, der mutig genug ist, sich damit zu befassen. Wohin also wenden sich diese "PKI-Administratoren", wenn sie Rat suchen?
Sie haben es erraten, das Internet - und es stellt sich heraus, dass Reddit ein Hotspot für PKI-bezogene Fragen ist. In diesem Blog durchforsten wir die Tiefen von Reddit, um ein paar "Geschichten aus der Praxis" aufzudecken und einige praktische Ratschläge zu 3 häufigen Fehlern zu geben, die wir bei PKI und Zertifikatsmanagement sehen, und wie man sie vermeiden kann.
Problem Nr. 1: Veraltete, falsch konfigurierte PKI
PKI-Implementierungen sind langlebig, in der Regel 15-20 Jahre. Das Problem ist, dass PKI-Umgebungen, die vor Jahren eingerichtet wurden, einfach nicht für moderne IT-Infrastrukturen konzipiert waren.
Active Directory Certificate Services (auch bekannt als Microsoft CA) mag damals eine einfache Wahl gewesen sein, aber die Verlagerung zu Multi-OS- und Multi-Cloud-Umgebungen erfordert mehr von PKI als nur die automatische Registrierung. Microsoft CA kann gedehnt werden, aber nur bis zu einem gewissen Grad, bevor es zu einem betrieblichen Hindernis wird.
Ein weiteres Problem besteht darin, dass PKI-Implementierungen in der Regel noch lange nach dem Wechsel ihres Erstellers zu einem anderen Unternehmen oder in eine neue Rolle innerhalb des Unternehmens weiterbestehen. Selbst wenn die PKI richtig konzipiert und aufgebaut ist, kann es allzu leicht passieren, dass die Konfigurationen von den Richtlinien abweichen. Wenn das einmal passiert ist, gibt es keine einfache Möglichkeit, den Kurs zu ändern.
"PKI gehört zu den Dingen, die einfach zu machen sind, aber genauso einfach falsch gemacht werden können. Und wenn man nicht frühzeitig merkt, dass es falsch ist, ist es eine echte Qual, es zu beheben.
"Ja, unsere CA wurde vor ein paar Wochen atomisiert und wir sind gerade dabei, sie zu reparieren. Lustige Zeiten."
Die Lektion ist gelernt: PKI zu betreiben ist ein Marathon, kein Sprint. Es geht auch um mehr als nur CAs und Zertifikate. Berücksichtigen Sie die Anforderungen Ihrer verschiedenen Teams und Anwendungen und bestimmen Sie die Fähigkeiten, Prozesse und Mitarbeiter, die Sie zur Unterstützung benötigen.
Fortschritte bei branchenüblichen Protokollen (z. B. ACME, EST und CMP), die Skalierbarkeit von CA und SaaS-basierte PKI-Alternativen können dazu beitragen, viele der Herausforderungen bei der Einrichtung einer angemessenen PKI und ihrer Pflege im Zuge des Wechsels von Mitarbeitern im Unternehmen zu lösen.
Problem Nr. 2: Begrenzte Sichtbarkeit von Zertifikaten
Ihre PKI in Ordnung zu bringen ist eine Sache, aber wie behalten Sie den Überblick über all die Zertifikate, die Sie ausgestellt haben? Wie sieht es mit Zertifikaten aus, die von anderen Teams in der Organisation ausgestellt wurden?
Eine Kombination aus Excel-Tabellen, Kalendererinnerungen oder PowerShell-Skripten ist ein gängiger Ansatz, aber es gibt immer ein Zertifikat, das Ihnen entgeht. Wo ist es installiert? Wem gehört es? Ist es noch im Unternehmen?
Es wird zu einem nicht enden wollenden Spiel von "whack-a-mole". Egal, wie viele Überwachungstools oder Zeilen und Spalten Sie erstellen, abgelaufene Zertifikate tauchen immer wieder unerwartet aus dem Nichts auf. Gerade als Sie dachten, Sie hätten es unter Kontrolle, passiert es wieder. Ein Ausfall trifft Ihre Produktionsumgebung. Ein weiteres nicht verfolgtes Zertifikat ist abgelaufen, und es ist Ihre Aufgabe, es aufzuspüren und zu reparieren.
"G@&%$!# ZERTIFIKATE, die ablaufen AAAAAAAARRRRGGGHHH Ernsthaft, warum können sie nicht einfach nie ablaufen. Jedes g%#$@#! Ding scheint tausend davon zu brauchen, und sie laufen immer ab, bevor man sie erwischen kann."
Lektion gelernt: Es sind nicht die Zertifikate, von denen man weiß, dass sie einem Kopfzerbrechen bereiten. Es ist das eine Zertifikat, das Sie nicht gesehen haben. Sie wissen schon... das eine Zertifikat, das ein Administrator letztes Jahr auf diesem einen Load Balancer installiert hat. Sie wissen doch, wo es ist, oder?
Für eine vollständige und genaue Bestandsaufnahme benötigen Sie einen vollständigen Einblick in (1) CA-Datenbanken, (2) SSL/TLS Endpunkte im Netzwerk und (3) Schlüssel- und Zertifikatsspeicher. Wenn Sie keinen Einblick von der Zertifizierungsstelle bis hin zum Zertifikatspeicher haben, ist es sehr schwierig, unerwartete Änderungen zu erkennen.
Problem Nr. 3: Manuelle Prozesse im Zusammenhang mit Zertifikaten
Selbst wenn Sie über PKI-Experten verfügen, sind Ihre Zertifikatsnutzer keine Experten. Sie machen Fehler und ignorieren Richtlinien. Auch Techniker und Entwickler haben viel zu tun, aber ihr Schwerpunkt liegt auf der Bereitstellung neuer Funktionen und der Aufrechterhaltung des Betriebs, nicht auf der Handhabung von Zertifikaten.
Die meisten Menschen sind ganz furchtbar, wenn es um Dinge geht, die sie nur einmal in einem blauen Mond tun müssen, wie die Installation eines Zertifikats. Sie installieren es vielleicht einmal, schwören, dass sie es verstanden haben, dokumentieren es vielleicht sogar und machen dann weiter.
Ein Jahr vergeht, und plötzlich vergessen sie, wie sie es gemacht haben. Wenn sie also über ein bald ablaufendes Zertifikat informiert werden, erneuern sie es und installieren es auf einem Server. Erledigt, richtig? Ein paar Tage später gibt es einen weiteren Ausfall. Es stellt sich heraus, dass sie vergessen haben, es an die richtige Anwendung zu binden.
"Ich würde nie so viel mit Zertifikaten arbeiten wollen, dass ich als "Zertifikatsexperte" bezeichnet werde. Jedes Jahr, wenn ich ein paar erneuern muss, möchte ich eine Gabel nehmen und mir die Augen ausstechen."
"Ich LIEBE es, Zertifikate zu erneuern. Das hat noch nie jemand gesagt."
Lektion gelernt: Wenn Sie für die PKI verantwortlich sind, kann es Ihnen unmöglich erscheinen, mit den Zertifikatsanforderungen Schritt zu halten. Auf der anderen Seite sind Zertifikatsnutzer oft frustriert über manuelle Prozesse zur Erneuerung und Installation von Zertifikaten auf ihren Rechnern oder Anwendungen.
Legen Sie die Gabel weg. Der Einsatz von Automatisierungswerkzeugen, einschließlich neuer Standardprotokolle, open-source und Lösungen zur Automatisierung des Lebenszyklus von Zertifikaten, kann die Anzahl der Stunden für manuelle Aufgaben im Zusammenhang mit Zertifikaten verringern und das damit verbundene Risiko menschlicher Fehler reduzieren.
Lesen Sie die ganze Geschichte
Wenn Sie mit einem oder mehreren dieser "PKI-Probleme" konfrontiert sind, sind Sie nicht allein. Deshalb haben wir ein eBook über "7 Gründe, warum Teams bei PKI und Zertifikatsmanagement scheitern" zusammengestellt.
Darin beleuchten wir die Höhen und Tiefen eines Tages im Leben eines "PKI-Administrators" und teilen Lektionen mit denjenigen, die auf Reddit ihren Frustrationen freien Lauf gelassen haben. Wir hoffen, dass Sie aus ihren Worten ebenso viel Vergnügen wie Erkenntnisse ziehen werden.