Wie können Sie dafür sorgen, dass alle Zertifikate in Ihrem Unternehmen nach denselben Sicherheitsregeln arbeiten? Für viele Teams ist das leichter gesagt als getan. Die gute Nachricht: Sie haben bereits eine eingebaute Möglichkeit, Konsistenz zu erzwingen: Certificate Signing Requests (CSRs).
Ein CSR hilft bei der Standardisierung von Schlüsselgrößen, Algorithmen und Identitätsfeldern, so dass jedes Zertifikat den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens entspricht.
Sie erstellen eine CSR, wenn Sie ein neues Zertifikat von einer Zertifizierungsstelle (CA) benötigen. Nach der Genehmigung stellt die Zertifizierungsstelle das Zertifikat bereit, das den öffentlichen Schlüssel und Identifizierungsinformationen enthält, während der private Schlüssel auf dem System des Antragstellers sicher bleibt. CSRs sind in verschiedenen Phasen des Lebenszyklus der Zertifikatsverwaltung erforderlich: bei der Ausstellung, bei Erneuerungen, die neue Schlüsselpaare beinhalten, oder bei der Umstellung Ihres Unternehmens auf neue kryptografische Standards, um nur einige zu nennen.
Wann müssen Sie also einen CSR erstellen?
In diesem Artikel erfahren Sie, an welchen Stellen im Lebenszyklus der Zertifikatsverwaltung Sie ein Zertifikat benötigen und wie Sie CSRs für die konsistente Durchsetzung von Richtlinien in Ihrem Unternehmen verwenden können.
Wann ist ein CSR zu erstellen?
Es gibt mehrere Phasen im Lebenszyklus der Zertifikatsverwaltung, in denen Sie ein neues oder aktualisiertes Zertifikat beantragen müssen.
Erstausgabe
Sie generieren eine neue CSR, wenn Sie zum ersten Mal ein Zertifikat benötigen, um einen neuen Webserver, ein VPN oder eine interne Anwendung einzurichten. Zum Beispiel, die Anforderung eines TLS von einer öffentlichen CA wie DigiCert oder Let's Encrypt erfordert eine CSR als Eingabe.
Fügen Sie alle neuen CSRs zum PKI-Schlüsselbestand Ihrer Organisation hinzu, damit Sie überwachen können, wann es Zeit für eine Erneuerung ist.
Erneuerungen mit neuem Schlüsselmaterial
Zertifikate, die bald ablaufen, müssen erneuert oder ausgemustert werden, und viele Richtlinien verlangen ein gleichzeitiges Rollover der Schlüssel. Wenn Sie ein neues Schlüsselpaar benötigen, brauchen Sie ein neues Zertifikat. Die Generierung einer neuen CSR bedeutet, dass der neue private Schlüssel eindeutig ist, was eine kryptografische Wiederverwendung verhindert.
Wenn Schlüssel bei einer Datenschutzverletzung preisgegeben wurden, sollten Sie alle betroffenen Zertifikate erneuern, um unbefugten Zugriff zu verhindern. Im Grunde ist es so, als würden Sie Passwörter ändern, um sicherzustellen, dass jemand mit einem veralteten Passwort (oder Schlüssel) nicht auf Ihre Ressourcen zugreifen kann.
Verbesserung der Kryptostärke
Neben der Erneuerung von Zertifikaten können (und sollten) Sie auch die von Ihrer Organisation verwendeten Schutzalgorithmen aktualisieren. Kryptographische Algorithmen entwickeln sich mit der Weiterentwicklung der Entschlüsselungstechnologien weiter, so dass Unternehmen gezwungen sind, ihre Algorithmen zu aktualisieren, da sie sonst bei der Entschlüsselung veralteter Algorithmen Datenverletzungen und andere Sicherheitsvorfälle riskieren.
Der öffentliche Schlüssel ändert sich, wenn Ihr Unternehmen zwischen verschiedenen Algorithmen wechselt, was eine neue CSR erfordert, um ein aktualisiertes Zertifikat zu erhalten. Diese Upgrades werden weiterhin beliebt sein, da schwächere Algorithmen veraltet und daher riskanter sind.
Ein weiterer Grund, warum Unternehmen eine Aktualisierung der Algorithmen in Betracht ziehen müssen, ist Post-Quantum-Kryptographie (PQC), die sich damit befasst, wie sich die Kryptografie weiterentwickeln muss, wenn die Technologie des Quantencomputers ausgereift genug ist. Die meisten Algorithmen würden von Quantencomputern in kürzester Zeit entschlüsselt werden. Das bedeutet, dass Ihr Unternehmen bereits jetzt seine kryptografischen Algorithmen in Vorbereitung auf PQC überprüfen sollte. Beseitigen Sie Zertifikate, die veraltete Algorithmen verwenden, zugunsten von sichereren.
CA- oder Infrastruktur-Migrationen
Wenn eine Organisation ihre PKI-Infrastruktur ändert, einschließlich des Übergangs von einer lokalen Lösung zur Cloud, ändert sich die CA-Hierarchie. Jedes System muss dann erneut eine CSR generieren, um das Vertrauen wiederherzustellen.
Vergewissern Sie sich, dass Sie vor einer größeren CA- oder Infrastruktur-Migration alle vorhandenen Zertifikate berücksichtigt haben, und aktualisieren Sie sie so schnell wie möglich (mit einem automatisierten Tool).
Automatisierte DevOps-Umgebungen
Wenn Sie Ihre DevOps-Pipeline automatisieren, benötigen Sie viele kurzlebige temporäre Zertifikate. Kubernetes-Workloads verwenden in der Regel die Protokolle Automated Certificate Management Environment (ACME) oder Enrollment over Secure Transport (EST), um dynamisch CSRs zu erzeugen und kurzlebige Zertifikate anzufordern. Der Prozess erfolgt in Maschinengeschwindigkeit, aber das Prinzip ist dasselbe: Für jedes Zertifikat ist eine CSR erforderlich.
Sorgen Sie für einen reibungslosen Ablauf Ihrer DevOps-Pipelines, indem Sie die CSR-Erstellung neben anderen Prozessen automatisieren.
IoT und Geräteidentität
Internet der DingeIoT)-Geräte erzeugen CSRs lokal während der Herstellung oder Bereitstellung, um ihre Identität zu bestätigen und Zertifikate zu erhalten. So erzeugt beispielsweise ein intelligentes medizinisches Gerät eine CSR, um sein Identitätszertifikat anzufordern, bevor es eine Verbindung zu einem Krankenhausnetzwerk herstellen kann.
Achten Sie darauf, die Algorithmen auf ihre Sicherheit hin zu überprüfen, um sicherzustellen, dass die IoT die Nutzer nicht durch Sicherheitsvorfälle gefährden.
Wie werden CSRs erstellt?
Die Erstellung einer CSR ist entscheidend für den Schutz der Vertrauensbasis für jedes von Ihrem Unternehmen verwendete Zertifikat, insbesondere für Zwecke wie Code-Signierung. Wenn Sie eine CSR erzeugengenerieren, erstellen Sie im Wesentlichen ein neues Schlüsselpaar. Die öffentliche Hälfte des Paares geht in die Anfrage, die private Hälfte bleibt lokal.
Das Verfahren umfasst zwei grundlegende Schritte:
- Einen CSR generieren. CSRs bündeln Details wie den Common Name (CN), Subject Alternative Names (SANs), organisatorische Details und manchmal Erweiterungen wie Schlüsselverwendung oder Signaturalgorithmen. Stellen Sie sicher, dass Ihre CSRs auf die richtigen Algorithmen eingestellt sind und mit den in Ihrem Unternehmen verwendeten Einstellungen übereinstimmen.
- Die CA stellt ein Zertifikat aus. Die Zertifizierungsstelle prüft die Informationen in Ihrer CSR, signiert sie und stellt ein Zertifikat aus, das den öffentlichen Schlüssel an eine Identität bindet.
- Wenn die CSR fehlerhaft ist (falsche SANs, schwache Algorithmen), lehnt die CA sie entweder ab oder stellt ein Zertifikat aus, das die Sicherheits- und Compliance-Anforderungen nicht erfüllt.
Sobald dieser Vorgang abgeschlossen ist, wird Ihr sicheres Zertifikat aktualisiert werden. Stellen Sie sicher, dass die Zertifikate sicher gespeichert sind, und testen Sie, ob sie den Sicherheits- und Compliance-Anforderungen Ihres Unternehmens entsprechen.
Häufige Fallstricke (und Lösungsvorschläge) bei der CSR-Erstellung
Wenn Sie eine CSR erstellen, um Sicherheitsrichtlinien in Ihrem Unternehmen durchzusetzen, geben Sie viele Daten an, die von der Zertifizierungsstelle überprüft werden müssen. Wenn diese Daten fehlen oder falsch sind, kann Ihr Unternehmen möglicherweise wichtige Zertifikate nicht ausstellen oder erneuern, bevor sie ablaufen.
Hier sind einige häufige CSR-Fallen und Lösungsvorschläge.
| Fallstrick | Lösung |
| Fehlende oder falsche Subject Alternative Names (SANs). Moderne Browser und Clients verlassen sich auf SANs anstelle von CNs, so dass CSRs ohne sie zu Ausfällen führen können. | Automatisieren Sie die CSR-Erstellung mit einer Zertifikatsverwaltungsplattform, um Tippfehler zu vermeiden, korrekte SANs zu gewährleisten und einheitliche Vorlagen durchzusetzen. |
| Verteilte und nicht standardisierte PKI. Einige Tools verwenden bei der Generierung von CSRs standardmäßig veraltete Algorithmen, so dass die daraus resultierenden Zertifikate die Compliance-Audits nicht bestehen. Innerhalb der Organisation können verschiedene Teams CSRs mit inkonsistenten Namenskonventionen oder Feldstrukturen erzeugen. | Standardisierung von CSR-Vorlagen damit jedes Team Anträge mit denselben genehmigten Algorithmen, Organisationsinformationen, Namenskonventionen usw. erstellen kann. Dies trägt dazu bei, die Prüfungen zu beschleunigen und die Kosten zu senken. |
| Unsichere Schlüsselspeicherung. Wenn private Schlüssel auf einem gemeinsam genutzten Build-Server generiert oder zwischen Rechnern kopiert werden, können Unbefugte darauf zugreifen und die Sicherheit der Daten Ihres Unternehmens gefährden. | Sichere Schlüssel in dem System, in dem sie erstellt wurden, und verwenden hardware (HSMs), Schlüsseltresore oder sichere Enklaven, um sie unter Verschluss zu halten. Auch die CSRs sollten sicher aufbewahrt und nach Möglichkeit verschlüsselt werden. |
| Manuelle CSR-Erstellung. Ohne Automatisierung werden Erneuerungs-CSRs oft zu spät generiert, was zu einem Gedränge bei der Ausstellung und Bereitstellung neuer Zertifikate führt, bevor die alten ablaufen. Die Nachfrage nach Zertifikaten ist hoch und steigt aufgrund des Nutzer- und Gerätewachstums. | Verfolgen Sie jedes Zertifikat in Ihrem Unternehmen, einschließlich des Ablaufdatums, mithilfe automatisierter Zertifikatsverwaltungsplattformen. Wir empfehlen auch die Verwendung von APIs wie ACME oder EST, um CSRs bei Bedarf automatisch in großem Umfang zu generieren, z. B. in DevOps- oder IT-Umgebungen. |
Wie die CSR-Generierung in ein ausgereiftes Zertifikatsmanagement passt
Der Lebenszyklus der Zertifikatsverwaltung ist umfangreich, integriert und in modernen Umgebungen miteinander verwoben und für einen reibungslosen Betrieb unerlässlich. Jedes einzelne Zertifikat muss angefordert, ausgestellt, nachverfolgt, bereitgestellt, vor Ablauf erneuert und schließlich stillgelegt werden. Und die meisten Unternehmen haben mit Zehntausenden, wenn nicht gar Millionen von Zertifikaten zu tun. Falsch verwaltete Zertifikate werden zu Quellen von Sicherheitsverletzungen und Ausfällen, die Unternehmen Tausende kosten.
Die Erstellung von CSRs ist ein wichtiger Schritt, um sicherzustellen, dass Ihre Zertifikate gültig, aktuell und sicher sind. Erkennungs- und Inventarisierungsprozesse tragen dazu bei, dass jedes Zertifikat erfasst wird, aber CSRs sind der Ursprung neuer Zertifikate. Tools für die Zertifikatsverwaltung sollten die CSR-Generierung so weit wie möglich automatisieren.
Ausgereifte, automatisierte Workflows erstrecken sich von der CSR-Erstellung über den gesamten Lebenszyklus von Zertifikaten: Ausstellung, Bereitstellung, Erneuerung und Widerruf. Der einfachste Ort für die Durchsetzung der Zertifikats-Governance-Richtlinien Ihres Unternehmens, von der Schlüsselgröße bis zur Wahl des Algorithmus, ist vor das Zertifikat ausgestellt wird. Durch die Generierung einer CSR mit den richtigen Einstellungen und Informationen wird sichergestellt, dass die daraus resultierenden Zertifikate Sicherheitsaudits bestehen können.
Behandeln Sie die CSR-Generierung als einen automatisierten, richtliniengesteuerten Prozess. Keyfactor Command kann Ihnen dabei helfen, jedes Zertifikat zu erkennen, die Erneuerung zu automatisieren und kostspielige Ausfälle zu vermeiden - und das alles über eine einzige, skalierbare Plattform. Vereinfachen Sie Ihren PKI-Betrieb und geben Sie Ihrem Team die Zeit zurück, sich auf das Wesentliche zu konzentrieren.
