
Was ist eine PKI-Migration? Ein umfassender Leitfaden zur Modernisierung Ihrer PKI
Definition
Wenn Ihr Unternehmen noch immer auf eine veraltete Public-Key-Infrastruktur (PKI) setzt, sind Sie damit nicht allein. Viele Unternehmen nutzen software (CA) software ursprünglich für eine andere Ära konzipiert wurde. Die PKI-Migration ist der Prozess der Umstellung von dieser veralteten Infrastruktur auf eine moderne PKI-Lösung. Für eine wachsende Zahl von Unternehmen wird dies zunehmend zu einer strategischen Priorität.
Eine PKI-Migration kann viele Formen annehmen. Sie kann den Austausch veralteter software, den Übergang von einer lokalen Infrastruktur zu Cloud- oder Hybrid-Bereitstellungsmodellen oder die Konsolidierung fragmentierter PKI-Umgebungen zu einer einzigen, zentralisierten Plattform umfassen. Es handelt sich dabei jedoch keineswegs um einen einfachen Knopfdruck. Die PKI-Migration ist eine strategische Initiative, die Zertifizierungsstellen, das Zertifikatslebenszyklusmanagement, die Schlüsselverwaltung sowie die damit verbundenen Richtlinien und Prozesse betrifft.
Warum Unternehmen ihre PKI migrieren
Verschiedene Faktoren zwingen Unternehmen dazu, ihre PKI zu überdenken. Das Verständnis dieser Faktoren ist entscheidend, um Argumente für eine Modernisierung zu entwickeln.
Die alte PKI wurde nicht für die moderne Welt entwickelt
Microsoft CA, auch bekannt als Active Directory Certificate Services (ADCS), war für traditionelle IT-Umgebungen die naheliegende Wahl. Doch der Weg in die Cloud und die Einführung von Remote-Arbeit haben Herausforderungen mit sich gebracht, denen herkömmliche PKI-Lösungen einfach nicht gewachsen sind. Diese Umgebungen wurden nicht für das hohe Volumen und die Geschwindigkeit der Zertifikatsausstellung konzipiert, die moderne Unternehmen benötigen. In der Regel fehlt ihnen die Integration in moderne Tools, und aufgrund von Fehlern und Versehen können sie während ihrer langen Lebensdauer jederzeit leicht falsch konfiguriert werden. Bei fast 50 % der Unternehmen treiben cloudbasierte Dienste die Einführung von PKI voran.
Zertifikatswucher und Schatten-PKI
Wenn Unternehmen wachsen, richten verschiedene Teams häufig ihre eigenen Zertifizierungsstellen (CAs) für bestimmte Anwendungsfälle ein, ohne die unternehmensweiten IT-Richtlinien zu berücksichtigen. CAs werden falsch konfiguriert. Zertifikate werden nicht nachverfolgt. Die Folge sind unerwartete Prüfungsfeststellungen, Sicherheitslücken und Ausfälle. Große Unternehmen verwalten letztendlich im Durchschnitt neun verschiedene PKI-Infrastrukturen. Bei einer derart fragmentierten Umgebung wird es äußerst schwierig, die volle Kontrolle zu behalten.
Mangel an PKI-Fachwissen
PKI gehört für die meisten IT- und Sicherheitsteams nicht zu den Kernkompetenzen, ganz zu schweigen von Teams im Allgemeinen. Fachwissen ist schwer zu finden und noch schwerer zu halten. Nur die Hälfte der Unternehmen verfügt über genügend Personal, das sich ausschließlich um ihre PKI kümmert. Für viele Organisationen wird die PKI zu einem „heißen Eisen“, das zwischen den Administratoren hin- und hergereicht wird – ohne klare Zuständigkeit und ohne dedizierte Ressourcen für die Verwaltung über die gesamte Lebensdauer, die mehr als 25 Jahre betragen kann.
Steigende Zertifikatsmengen und kürzere Laufzeiten
Die Anzahl der Zertifikate wächst exponentiell. Immer mehr Teams und Anwendungsfälle (IoT , Microservices, Container, Remote-Mitarbeiter) benötigen Zertifikate. Gleichzeitig werden die Gültigkeitsdauern der Zertifikate immer kürzer, was bedeutet, dass auch die Häufigkeit der Verwaltungsaufgaben zunimmt. Manuelle Prozesse wie Tabellenkalkulationen, Kalendererinnerungen und selbst entwickelte Skripte können da einfach nicht mehr mithalten. Auch Post-its reichen nicht mehr aus.
Anzeichen dafür, dass Ihr Unternehmen eine PKI-Migration benötigt
Sie sind sich nicht sicher, ob es Zeit für einen Wechsel ist? Hier sind die häufigsten Anzeichen:
- Zertifikatsausfälle treten immer häufiger auf.
Abgelaufene oder falsch konfigurierte Zertifikate führen zu Dienstunterbrechungen, und Ihr Team verbringt mehr Zeit damit, Probleme zu beheben, als sie zu verhindern. - Neue Anwendungsfälle erfordern Umgehungslösungen.
Die Unterstützung von Cloud-Workloads, IoT und DevOps-Pipelines oder die Bereitstellung einer sicheren Infrastruktur für Remote-Mitarbeiter bedeutet, dass separate Tools hinzugefügt oder maßgeschneiderte Integrationen entwickelt werden müssen, da Ihre aktuelle PKI diese Anforderungen nicht nativ bewältigen kann. - Mehrere Teams betreiben ihre eigenen Zertifizierungsstellen.
Es gibt keinen zentralen Überblick darüber, wer welche Zertifikate ausgestellt hat, wo sich die Zertifikate befinden oder wann sie ablaufen. - Bei Compliance-Prüfungen kommen Überraschungen ans Licht.
Die Prüfer stoßen auf Zertifikate und Zertifizierungsstellen, von deren Existenz Ihr Team nichts wusste. - Die Cloud-Migration wird durch Abhängigkeiten von der lokalen PKI behindert.
Ihr Umstieg auf die Cloud wird verlangsamt, da Ihre PKI eng mit der lokalen Active Directory-Infrastruktur verknüpft ist. - Die Wartungskosten steigen, ohne dass dadurch ein Mehrwert entsteht.
Sie geben mehr Geld für veraltete hardware, software und -Personal aus, erhalten dafür aber dieselben (oder sogar weniger) Funktionen.
Wenn zwei oder mehr dieser Punkte auf Sie zutreffen, lohnt es sich, einen Migrationsplan zu prüfen.
Wichtige Überlegungen vor der Migration Ihrer PKI
Bevor man mit einer Migration beginnt, lohnt es sich, verschiedene strategische und technische Faktoren zu berücksichtigen.
Anwendungsfälle und Anforderungen:Ermitteln Sie zunächst die Zertifikatstypen, Vorlagen, Protokolle (SCEP, ACME, EST, CMP) und Automatisierungsfunktionen, die Ihr Unternehmen benötigt. Berücksichtigen Sie dabei die aktuellen Anforderungen in den Bereichen IT, DevOps, IoT und Fertigung, planen Sie aber auch für zukünftige Entwicklungen.
Skalierbarkeit und Verfügbarkeit:Bewerten Sie die erwarteten Service Level Agreements hinsichtlich Betriebszeit und Verfügbarkeit. Hohe Verfügbarkeit, Datensicherung und Notfallwiederherstellung sowie die Fähigkeit, Umgebungen mit Tausenden oder sogar Millionen von Zertifikaten zu verwalten, sind allesamt entscheidende Faktoren, insbesondere wenn Sie neue Anwendungsfälle erschließen.
Sicherheits-, Compliance- und Zuverlässigkeitsstufen:Eine PKI umfasst mehr als nur software Zertifikate. Sie müssen auch die Sicherheitsmaßnahmen und Richtlinien rund um Ihre PKI-Infrastruktur berücksichtigen, darunter die HSM-Integration, den Schutz der Stammschlüssel und die Einhaltung von Branchenstandards. Bestimmte Vorschriften oder interne Sicherheitsrichtlinien können spezifische Parameter für Ihre Bereitstellung vorschreiben.
Fachwissen und Personalausstattung:Prüfen Sie, ob Ihr Team über das erforderliche Fachwissen und die nötigen Kapazitäten verfügt, um eine neue PKI über deren gesamte Lebensdauer hinweg zu verwalten. Ist dies nicht der Fall, ist möglicherweise ein gehosteter oder verwalteter PKI-Dienst die bessere Wahl. Allein diese Entscheidung kann den Betriebsaufwand und das Risiko erheblich reduzieren.
PKI-Migrationspfade: Auswahl des richtigen Bereitstellungsmodells
Eine der wichtigsten Entscheidungen bei jeder PKI-Migration ist die Frage, wo und wie die Bereitstellung erfolgen soll. Das richtige Modell hängt von den Ressourcen Ihres Unternehmens, den gesetzlichen Anforderungen und den technischen Erfordernissen ab.
PKI as a Service (PKIaaS):Eine vollständig verwaltete PKI mit einer offline betriebenen, luftisolierten Stammzertifizierungsstelle (Root CA). Der Anbieter übernimmt den gesamten PKI-Betrieb, einschließlich einer Überwachung rund um die Uhr und einer durch eine Service-Level-Vereinbarung (SLA) garantierten Verfügbarkeit. Dieses Modell eignet sich ideal für Unternehmen, die den PKI-Betrieb vollständig an einen vertrauenswürdigen Partner auslagern möchten.
SaaS-PKI:Eine schlüsselfertige SaaS-PKI, die vom Anbieter in Cloud-Umgebungen wie AWS und Azure bereitgestellt und verwaltet wird. Ideal für Teams, die eine cloudnative PKI ohne den Aufwand für die Verwaltung der Infrastruktur nutzen möchten, dabei aber dennoch einen gewissen Zugriff auf die Konfiguration behalten wollen.
Cloud-PKI (selbstverwaltet):Eine PKI, die in Ihrer eigenen Cloud-Umgebung (AWS oder Azure) bereitgestellt wird. Dieses Modell bietet Ihnen die Skalierbarkeit der Cloud bei voller Kontrolle über die Konfiguration und eignet sich daher besonders für Unternehmen mit kompetenten internen Teams.
On-Premises-PKI (software appliance):PKI, die als virtuelle appliance einem privaten Rechenzentrum oder als schlüsselfertigeappliance integriertem HSM bereitgestellt wird. Ideal für Unternehmen mit strengen regulatorischen Anforderungen oder verfügbaren On-Premises-Ressourcen, die ihre PKI hinter ihrer eigenen Firewall betreiben müssen.
Hybride PKI:Betrieb einer modernen PKI-Lösung parallel zu bestehenden Microsoft CA anderen Altsystemen, wobei Anwendungsfälle im Laufe der Zeit mit minimalen Unterbrechungen migriert werden. Mit diesem Ansatz können Sie sowohl moderne als auch ältere Anwendungsfälle gleichzeitig unterstützen, was oft der praktischste Weg in die Zukunft ist.
INTERAKTIVE DEMO „
“ Entdecken und erfassen Sie die Kryptografie – überall dort, wo sie zum Einsatz kommt.

Migration von Microsoft CA ADCS): Was Sie wissen müssen
Für viele Unternehmen lautet die dringlichste Frage im Zusammenhang mit der Migration: „Wie gehen wir mit Microsoft CA um?“ Die Antwort lautet: Sie müssen sich nicht zwischen einer vollständigen Ablösung und dem Weiterbetrieb des alten ADCS entscheiden. Ein schrittweiser Ansatz ist sowohl möglich als auch sinnvoll.
Moderne PKI-Lösungen können parallel zu Microsoft CA betrieben werden, sodass Sie weiterhin Microsoft-eigene Tools wie die automatische Registrierung, Intune und Azure Key Vault nutzen können, während neue Anwendungsfälle auf die moderne Plattform umgeleitet werden. Dies ist insbesondere für Unternehmen relevant, die von Active Directory auf Azure Active Directory umsteigen, da MDM-Lösungen wie Intune in diesem Fall Zertifikate aus einer modernen PKI (wie z. B. EJBCA) statt aus einem lokalen ADCS bereitstellen können.
Der Schlüssel liegt in einer schrittweisen Migration. Migrieren Sie die Anwendungsfälle nacheinander, überprüfen Sie jeden Übergang und reduzieren Sie Ihre Abhängigkeit von der alten Infrastruktur in einem Tempo, das das Risiko minimiert. Sie müssen nicht alles gleich am ersten Tag migrieren.
Die Rolle der Automatisierung des Zertifikatslebenszyklus bei der PKI-Migration
Die Ausstellung von Zertifikaten durch eine moderne Zertifizierungsstelle ist nur die halbe Miete. Diese Zertifikate müssen über ihren gesamten Lebenszyklus hinweg erfasst, nachverfolgt, erneuert und widerrufen werden. Hier kommt das Zertifikatslebenszyklusmanagement (CLM) ins Spiel.
Viele Teams verlassen sich bei der Verwaltung von Zertifikaten nach wie vor auf Tabellenkalkulationen, Kalendererinnerungen und selbst entwickelte Skripte. Angesichts kürzerer Lebenszyklen und wachsender Mengen führen diese manuellen Ansätze zu Lücken, die Ausfälle und Sicherheitsrisiken zur Folge haben. CLM automatisiertes CLM diese Risiken, indem es einen Überblick über alle Zertifizierungsstellen in Ihrer Umgebung bietet – unabhängig davon, ob es sich um öffentliche, private oder cloudbasierte Zertifizierungsstellen handelt.
Durch die Kombination von PKI mit der Automatisierung des Zertifikatslebenszyklus entsteht eine einzige Plattform, die sowohl die Ausstellung als auch die Verwaltung abdeckt. Dies ermöglicht zudem Flexibilität bei den Zertifizierungsstellen (CA): die Möglichkeit, CA-Anbieter hinzuzufügen, zu wechseln oder zusammenzufassen, wenn sich Ihre Anforderungen ändern und kryptografische Standards weiterentwickeln. Der Überblick über Ihre gesamte Zertifikatslandschaft ist entscheidend, um Ausfälle zu verhindern und die kryptografische Flexibilität langfristig aufrechtzuerhalten.
Wie Keyfactor helfen Keyfactor
Die Plattform Keyfactorunterstützt die PKI-Migration und -Modernisierung über das gesamte Spektrum an Bereitstellungsmodellen und Anwendungsfällen hinweg.
- EJBCA ist eine flexible, skalierbare PKI-Plattform, die als SaaS, in Ihrer eigenen Cloud-Umgebung, alsappliance oder alsappliance bereitgestellt werden kann. Sie unterstützt jeden Anwendungsfall dank integrierter Protokollunterstützung für SCEP, ACME, EST, CMP und einer robusten REST-API.
- Keyfactor Command bietet ein Zertifikatslebenszyklusmanagement mit Erkennung, Transparenz, Automatisierung und Berichterstellung für alle Zertifizierungsstellen in Ihrer Umgebung.
- PKI as a Service ist ein vollständig verwaltetes Angebot, bei dem Keyfactor alle PKI-Abläufe Keyfactor , einschließlich der Offline-Verwaltung der Stammzertifizierungsstelle, der Überwachung rund um die Uhr und einer durch eine Service-Level-Vereinbarung (SLA) garantierten Verfügbarkeit.
Keyfactor mehr als 20 Jahre Erfahrung in den Bereichen PKI-Entwicklung, -Architektur und -Design. Eine „Total Economic Impact“-Studie von Forrester ergab eine Senkung der PKI-Infrastrukturkosten um 95 % für Keyfactor . Keyfactor zudem von ABI Research zur Nummer 1 im Bereich Enterprise-PKI gekürt und erfüllt die Anforderungen der Normen ISO 27001, ISO 9001, Common Criteria sowie SOC 2 Typ II.
Zusammenfassung
Die PKI-Migration ist der Prozess der Umstellung von einer veralteten PKI-Infrastruktur auf eine moderne Lösung, die den Anforderungen der heutigen Zeit gerecht wird. Die Gründe dafür liegen auf der Hand: Die veraltete PKI wurde nicht für die Cloud, IoT oder DevOps konzipiert; die Zertifikatsflut führt zu blinden Flecken; Fachwissen ist knapp; und die manuelle Verwaltung kann mit den wachsenden Volumina und den kürzeren Lebensdauern nicht Schritt halten.
Die gute Nachricht ist, dass Unternehmen nicht alles auf einmal migrieren müssen. Eine Reihe von Bereitstellungsmodellen (von vollständig verwalteten PKIaaS-Lösungen bis hin zu selbstverwalteten Cloud- und lokalen Bereitstellungen) sowie die Möglichkeit, moderne PKI-Lösungen parallel zu älteren Microsoft CA zu betreiben Microsoft CA eine schrittweise Migration praktikabel. Die Kombination moderner PKI-Lösungen mit der Automatisierung des Zertifikatslebenszyklus stellt sicher, dass Zertifikate nicht nur ausgestellt, sondern auch automatisch verwaltet, erneuert und widerrufen werden, wodurch das Ausfallrisiko verringert und die Krypto-Agilität gewahrt wird.
Keyfactor Sicherheitsteams Transparenz
und Kontrolle über die Identitäten
sowie die Kryptografie, die jede digitale Interaktion
absichern, damit Ihr Unternehmen
reibungslos weiterlaufen kann – ohne Unterbrechungen.
Haben Sie Fragen zur PKI-Migration? Wir haben die Antworten.
Die PKI-Migration ist der Prozess der Umstellung von einer veralteten Public-Key-Infrastruktur auf eine moderne PKI-Lösung. Dazu gehören in der Regel der Austausch veralteter software, die Umstellung auf Cloud- oder Hybrid-Bereitstellungsmodelle sowie die Konsolidierung fragmentierter Zertifikatsumgebungen auf einer zentralen Plattform.
Erwägen Sie eine Migration, wenn Ihre veraltete PKI neue Anwendungsfälle wie Cloud-Workloads, IoT oder DevOps nicht mehr unterstützen kann. Weitere Anzeichen sind häufige Zertifikatsausfälle, steigende Wartungskosten sowie Feststellungen bei Compliance-Prüfungen im Zusammenhang mit nicht nachverfolgten Zertifikaten oder nicht genehmigten Zertifizierungsstellen.
Ja. Moderne PKI-Lösungen können parallel zu Microsoft CA betrieben werden, sodass Sie Anwendungsfälle schrittweise migrieren können. Während der Umstellung können Sie weiterhin Microsoft-eigene Tools wie „Auto-Enrollment“ und „Intune“ nutzen und gleichzeitig neue Anwendungsfälle auf die moderne Plattform umleiten.
PKI as a Service (PKIaaS) ist ein vollständig verwaltetes Angebot, bei dem der Anbieter den gesamten PKI-Betrieb übernimmt, einschließlich der Verwaltung und Überwachung der Stammzertifizierungsstelle. SaaS-PKI ist eine schlüsselfertige Cloud-Bereitstellung, die vom Anbieter verwaltet wird, jedoch in der Regel mehr Konfigurationszugriff bietet. Bei beiden Lösungen entfällt die Notwendigkeit, die PKI-Infrastruktur intern zu warten.
Bei der Migration der PKI in die Cloud wird Ihre Zertifizierungsstellen-Infrastruktur von lokalen Servern auf eine cloudbasierte oder als SaaS bereitgestellte Plattform verlagert. Unternehmen können die PKI je nach ihren Anforderungen an Kontrolle und Compliance in ihrer eigenen Cloud-Umgebung (selbstverwaltet) bereitstellen oder eine vom Anbieter gehostete Lösung nutzen.
Die Automatisierung des Zertifikatslebenszyklus wird im Rahmen jeder PKI-Migration dringend empfohlen. Die Ausstellung von Zertifikaten durch eine moderne Zertifizierungsstelle ist nur ein Teil des Ganzen. Sie benötigen außerdem automatisierte Erfassung, Nachverfolgung, Erneuerung und Sperrung, um Ausfälle zu vermeiden und den Überblick über Ihre gesamte Zertifikatslandschaft zu behalten.
Das richtige Modell hängt von den Ressourcen Ihres Unternehmens, den gesetzlichen Anforderungen und den technischen Bedürfnissen ab. Die Optionen reichen von einer vollständig verwalteten PKI-as-a-Service-Lösung (ideal für Teams ohne internes Fachwissen) bis hin zu selbstverwalteten Cloud- oder On-Premises-Bereitstellungen (ideal für Unternehmen mit strengen Compliance-Anforderungen).
Die Zeitpläne variieren je nach Komplexität Ihrer bestehenden Umgebung und dem Umfang der Migration. Ein schrittweiser Ansatz, bei dem die alte und die moderne PKI parallel betrieben werden, ermöglicht es Unternehmen, die Migration in ihrem eigenen Tempo durchzuführen und dabei Risiken und Betriebsunterbrechungen zu minimieren.