Automatisierung von Selbstbedienungszertifikaten: Keyfactor & ServiceNow

In der heutigen IT-Landschaft benötigt jedes Team ständigen Zugang zu IT-Diensten und -Infrastrukturen, um schnell und ohne Unterbrechungen arbeiten zu können. Daher besteht ein dringender Bedarf an einer effektiven Verwaltung aller Komponenten, die das technologische Rückgrat eines Unternehmens bilden. Genau hier kommen ITSM-Lösungen ins Spiel.

ITSM (kurz für IT-Service-Management) umfasst alles von Serviceanfragen und Änderungsmanagement bis hin zur Behebung von IT-Störungen, wenn diese auftreten - im Grunde jeden IT-Service, den ein Unternehmen seinen Endnutzern und Kunden bereitstellt.

ServiceNow ist eine führende ITSM-Lösung, die entwickelt wurde, um diese Dienste von einer einzigen Plattform aus bereitzustellen. Sie bietet einen zuverlässigen Prozess für die Anforderung von Ressourcen und eine Workflow-Engine zur Genehmigung und Bearbeitung dieser Anforderungen.

Eine der wichtigsten Ressourcen, die ein Unternehmen verwalten muss, sind SSL/TLS Zertifikate, die zur Sicherung von Verbindungen und zum Schutz sensibler Daten verwendet werden. DevOps und IT-Betrieb benötigen für ihren täglichen Betrieb schnellen Zugriff auf Zertifikate, aber PKI- und Sicherheitsteams haben oft Mühe, mit den Anfragen Schritt zu halten. Noch schwieriger ist es, den Überblick über die Zertifikate zu behalten (d. h. Eigentümer, Standort, Ablaufdatum, Algorithmus usw.) und sie zu erneuern, bevor sie auslaufen.

Die altmodische Verwaltung per Tabellenkalkulation (die auch heute noch weit verbreitet ist) ist einfach nicht effektiv, insbesondere in den heutigen Multi-Cloud- und Container-Umgebungen, in denen Zertifikatsanforderungen in die Tausende gehen. ServiceNow ist ideal geeignet, um Prozesse und Workflows für diese große Menge an Zertifikatsanfragen zu erstellen, aber Unternehmen benötigen dennoch eine Möglichkeit, Zertifikate während ihres gesamten Lebenszyklus effektiv zu verwalten.

Geben Sie Keyfactor Command ein. Die Plattform ermöglicht es Unternehmen, den Lebenszyklus von Schlüsseln und Zertifikaten in ihrer gesamten Umgebung zu erkennen, zu überwachen und zu automatisieren - von der Antragsannahme über die Ausstellung und Bereitstellung bis hin zur Sperrung und Erneuerung. Für Unternehmen, die ServiceNow nutzen, ist es jedoch oft sinnvoller, wenn die Endbenutzer Zertifikate über dieselbe Anwendung anfordern, die sie auch für alle anderen IT-bezogenen Workflows verwenden.

Aus diesem Grund integrieren viele unserer Kunden Keyfactor Command in ihre ServiceNow-Plattform und stellen den Benutzern einfache Self-Service-Workflows zur Verfügung, mit denen sie zertifikatsbezogene Aufgaben wie Anfragen, Widerruf und Erneuerung direkt über die ServiceNow-Oberfläche durchführen können.

Unsere API-first-Architektur macht es einfach, die Funktionalität von Keyfactor Command auf das ServiceNow API-Framework zu erweitern. Da ServiceNow die Möglichkeit hat, externe REST-API-Aufrufe in jeden Workflow einzubetten, kann Keyfactor einen authentifizierten Zugriff auf seine robuste API-Bibliothek ermöglichen. Die Plattform nutzt auch Ereignis-Handler für den Lebenszyklus von Zertifikaten, um Workflows innerhalb von ServiceNow auf der Grundlage von Änderungen des Zertifikatsstatus (z. B. bevorstehender Ablauf) auszulösen.

Im Folgenden finden Sie zwei gängige Zertifikatsverwaltungsprozesse, die durch die Integration der Keyfactor Certificate Lifecycle Automation Engine in die ServiceNow ITSM-Plattform vereinfacht wurden.

Die häufigste Aufgabe bei der Zertifikatsverwaltung ist die Beantragung, Genehmigung, Ausstellung und Lieferung von Zertifikaten an Benutzer oder Anwendungen. Diese Zertifikate können von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die an eine Website zur Authentifizierung von SSL gebunden ist, oder von einer internen CA, die für die Server-Authentifizierung im internen Netzwerk verwendet wird. In jedem Fall müssen Organisationen die Möglichkeit bieten, dass: (1) Benutzer ein Zertifikat anfordern, (2) autorisierte Benutzer die Anforderung genehmigen, (3) das Zertifikat ausstellen und (4) das Zertifikat ausliefern und einsetzen.

So funktioniert es mit Keyfactor + ServiceNow:

• Anfordern: Mit ServiceNow können Benutzer hochgradig anpassbare Anforderungsformulare erstellen, um ein Zertifikat anzufordern. Dies könnte die Zertifikatsignierungsanforderung (CSR) beinhalten, die ein Benutzer erstellt und direkt in das Formular einfügt, oder vielleicht werden genügend Informationen direkt in das Formular eingegeben, damit Keyfactor ein Zertifikat mit öffentlichen und privaten Schlüsseln generieren kann (als PFX-Anforderung bezeichnet).
• Genehmigung: ServiceNow-Anfragen können so eingerichtet werden, dass sie auch Workflows zur Genehmigung auslösen. Ein bestimmter Benutzer oder eine Gruppe erhält eine ausstehende Genehmigung in ihrer Warteschlange und kann die Anfrage entweder ablehnen oder genehmigen. Wenn die Anfrage jedoch einen CSR enthält, woher wissen sie dann, was sie genehmigen? Hier kann einer der vielen Keyfactor API-Aufrufe helfen. Ein ServiceNow-Workflow kann eine Aufgabe enthalten, die die Keyfactor API aufruft und den Inhalt des CSR abruft, um dem Genehmiger weitere Details zu liefern.
• Ausstellen: Nach der Genehmigung kann der ServiceNow-Workflow die entsprechende Keyfactor API (CSR oder PFX Enrollment) aufrufen, um das Zertifikat von einer beliebigen internen oder öffentlichen CA auszustellen, die in Keyfactor Command konfiguriert ist.
• Zustellung: Es gibt mehrere Optionen für die Lieferung und Bereitstellung von Zertifikaten. Die Keyfactor Enrollment-API kann den öffentlichen Teil des Zertifikats an ServiceNow zurückgeben, das dann die Anforderung für zusätzliche Workflow-Prozesse aktualisieren kann. Keyfactor kann auch die Bereitstellung und Bindung von Zertifikaten an Zertifikatspeicher auf Netzwerkendpunkten wie IIS, F5, Citrix ADC, Java Keystore und mehr vollständig automatisieren. Für die PFX-Registrierung kann ein Download-Link per E-Mail gesendet werden, damit der Benutzer das Zertifikat und den privaten Schlüssel sicher abrufen kann.

Jedes Zertifikat läuft ab. Um Ausfällen zuvorzukommen, müssen Unternehmen manuelle, fehleranfällige Prozesse eliminieren und die Erneuerung von Zertifikaten in ihrer gesamten Umgebung automatisieren.

Hier sehen Sie, wie Keyfactor und ServiceNow es einfach machen:

• Warnung: Unter Verwendung der Event Handler von Keyfactorkönnen Warnungen konfiguriert werden, um Zertifikatsinhaber per E-Mail zu benachrichtigen, wenn ein Zertifikat abläuft. Diese Warnungen können auch automatisch einen neuen Vorfall oder eine Anfrage in ServiceNow auslösen und an die zuständige Person oder Gruppe weiterleiten.
• Genehmigung: Der ServiceNow-Workflow kann bei Bedarf einen Genehmigungsschritt enthalten, so dass der Genehmigende feststellen kann, ob das Zertifikat erneuert werden muss oder ob die Anwendung oder das Gerät, die bzw. das das Zertifikat verwendet, nicht mehr in Betrieb ist und der Antrag abgelehnt werden kann (so dass das Zertifikat ablaufen kann).
• Erneuerung: Nach der Genehmigung ruft ServiceNow die Keyfactor API auf, um das Zertifikat automatisch zu erneuern.
• Optional: In der Plattform Keyfactor können auch zusätzliche Warnungen konfiguriert werden, um andere zu benachrichtigen, wenn das Zertifikat nach der ersten Warnung nicht erneuert wurde.

Um sensible Daten zu schützen und die Geräte, Maschinen und Anwendungen in unserer Infrastruktur sicher zu verbinden, sind Unternehmen zunehmend auf digitale Zertifikate angewiesen. In den dynamischen Multi-Cloud-Umgebungen von heute, in denen IT-Ressourcen in rasender Geschwindigkeit bereitgestellt werden, ist ein schneller und zuverlässiger Prozess zur Verwaltung von Zertifikaten im großen Maßstab wichtiger denn je.

Keyfactor und ServiceNow bieten die Tools, die den Benutzern einen schnellen Self-Service-Zugang zu Zertifikaten ermöglichen, wenn sie diese benötigen, und gleichzeitig sicherstellen, dass jedes Zertifikat vertrauenswürdig, konform und aktuell ist.