Una de las preguntas más habituales que escuchamos en Keyfactor es: "¿cómo puedo facilitar el proceso de renovación de certificados a los propietarios de certificados?". Incluso con la gestión de certificados software en funcionamiento, los propietarios de certificados siguen teniendo que supervisar de cerca su entorno para evitar que los certificados caduquen. Cuando llega el momento de renovar el certificado, tienen que crear una solicitud de firma de certificado (CSR), obtener una clave pública e importar manualmente el certificado a su aplicación. No es precisamente fácil de usar.
En realidad, la mayoría de las organizaciones de hoy en día siguen utilizando algún tipo de hojas de cálculo y scripts personalizados para realizar un seguimiento de los certificados y notificar a los equipos respectivos los próximos vencimientos. Pero cuando llega el momento de renovar los certificados, las alertas y notificaciones por correo electrónico sólo llegan hasta cierto punto. Las alertas pueden pasarse por alto u olvidarse, e incluso si se toman medidas, la carga de los pasos tradicionalmente lentos y manuales para solicitar y renovar certificados significa que muchos se escapan por las grietas, causando una interrupción generalizada de la red o de la aplicación. La automatización es el antídoto para garantizar que todos los certificados estén actualizados.
El mayor reto que plantea la renovación de certificados es la infraestructura de red, como servidores de aplicaciones, servidores web, equilibradores de carga y cortafuegos. Entre ellos se incluyen los servidores web IIS, los dispositivos F5, Netscaler y los almacenes de claves Java. Los certificados repartidos por estos dispositivos de red deben renovarse con regularidad y supervisarse continuamente para detectar cualquier cambio.
La inscripción automática en Active Directory (AD) sólo ayuda parcialmente con los servidores IIS, pero no vincula automáticamente el certificado a la aplicación. Para complicar aún más las cosas, los procesos cambian con el tiempo. Las longitudes de las claves y los algoritmos de firma evolucionan (por ejemplo, migración de SHA-1 a SHA-2), las plantillas de certificados cambian y las empresas pueden cambiar su autoridad pública de certificación (CA).
Los propietarios de certificados simplemente no suelen tener tiempo para abordar estos cambios que hacen aún más compleja la obtención de un nuevo certificado. Peor aún, si tienen miles de servidores que gestionar, los proyectos quedarán en suspenso para evitar una interrupción relacionada con los certificados. ¿Por qué? Porque saben que si se les escapa un solo certificado, las consecuencias suelen ser graves: horas de inactividad, pérdida de ingresos e incluso daños a la reputación.
Cómo automatizar la gestión del ciclo de vida de los certificados digitales con Keyfactor
Imagine que este doloroso proceso pudiera automatizarse de principio a fin. Si la vinculación de los certificados a las aplicaciones fuera automática. Si pudiera sustituir todos los certificados de todos los servidores web en cuestión de minutos. Si no tuviera que pasar archivos PFX sensibles de un lado a otro, dejando sus claves privadas expuestas a riesgos. Con las herramientas y la tecnología adecuadas, todo esto es posible.
Keyfactor permite a los propietarios de certificados eliminar la frustración y la preocupación que supone la renovación de certificados. No solo le permitirá renovar certificados con la misma información que el certificado anterior, sino que también vinculará automáticamente ese certificado a la interfaz necesaria.
Keyfactor Command ofrece herramientas de automatización basadas o no en agentes:
- Keyfactor Windows Automation Orchestrator vive en un servidor Windows y gestiona de forma remota almacenes de certificados en todos sus servidores IIS, dispositivos F5 y Netscaler, dispositivos con capacidad FTP y recursos de Amazon Web Services (AWS), sin necesidad de implementar el orquestador en cada dispositivo. Esto permite descubrir todos los certificados del almacén de certificados configurado e importarlos a una única plataforma para gestionarlos de forma centralizada. Ahora esos certificados importados se pueden supervisar, auditar y, lo que es más importante, renovar y sustituir automáticamente, lo que le ayuda a adelantarse a los vencimientos al tiempo que elimina los esfuerzos manuales.
- El Keyfactor Java Automation Agent, por otro lado, es un agente Linux ligero y personalizable que proporciona acceso programático a servidores Linux para descubrir y gestionar almacenes de claves Java o directorios PEM. En este caso, el agente debe desplegarse en cada servidor Linux gestionado. Sin embargo, viene con un script incorporado que le permite construir un paquete RPM que puede ser fácilmente desplegado en todos sus servidores Linux.
¿Cómo funciona la automatización de certificados digitales?
Los periodos de renovación personalizados se definen antes de que caduque un certificado. Una vez que se active esa alerta personalizada, se enviará automáticamente una notificación y se utilizará la información previa del certificado que caduca para solicitar un nuevo certificado y desplegarlo en la aplicación sin necesidad de hacer un solo clic.
Para servidores IIS, Windows Automation Orchestrator vinculará el nuevo certificado al puerto 443. Para dispositivos F5, el Orquestador vinculará el certificado digital a cualquier perfil de cliente o SSL que estuviera configurado para el certificado anterior, sin cambiar el perfil o el nombre del certificado. Lo mismo ocurre con NetScaler, AWS, Java Keystores y directorios PEM.
¿Necesita cambiar la información del certificado? Los Automation Orchestrators y Agents pueden desplegar fácilmente un nuevo certificado con información actualizada de forma automática en los almacenes de certificados de su elección. ¿Necesita desplegar desde una nueva plantilla? Genere un nuevo certificado a partir de cualquier plantilla que necesite y de cualquier CA, como Digicert, Sectigo, Entrust y otras, lo que ayuda a impulsar la criptoagilidad.
La automatización tampoco se limita a su PKI interna. Cuando se combinan con Keyfactor CA Gateways para integrarse directamente con sus CA públicas, los Automation Orchestrators y Agents pueden automatizar completamente la emisión, renovación y revocación de todos los certificados públicos e internos.
Nuestra capa de API abierta, conocida como marco AnyAgent, es flexible y extensible a prácticamente cualquier dispositivo o aplicación. Esto significa que podemos conectarnos a una gran variedad de dispositivos alojados en la nube o en empresas en cuestión de horas o días, y con solo unas pocas líneas de código, con relativa facilidad en comparación con la competencia.
Pasar de lo ad hoc a la automatización
La renovación de certificados es dolorosa. La dispersión de la propiedad de los certificados entre ITOps, NetOps, DevOps y otros equipos de la organización hace que sea increíblemente difícil mantener a los propietarios de los certificados por delante de los vencimientos y alineados con las políticas de seguridad. Estos retos se ven agravados por el creciente número de dispositivos conectados y los ciclos de vida más cortos de los certificados. Los certificados pueden perderse u olvidarse fácilmente y los archivos PFX pueden extraviarse o copiarse y almacenarse de forma insegura.
Al invertir en automatización, los equipos de TI y seguridad no sólo evitan interrupciones perjudiciales en la red y las aplicaciones, sino que también ahorran mucho tiempo y frustración a los propietarios de certificados, que antes tenían que lidiar con procesos manuales para solicitar y renovar certificados.
Obtenga más información sobre Keyfactor Automation Orchestrators and Agents a través de casos de uso reales de otros líderes de PKI. Consulte nuestro libro blanco Automatización de PKI para el futuro para saber cómo la automatización ayuda a cumplir las promesas de PKI y los objetivos de su estrategia de TI:
