Una de las preguntas más frecuentes que recibimos en Keyfactor es: «¿cómo puedo facilitar el proceso de renovación de certificados a los propietarios de certificados?» Incluso con un Software de gestión de certificados implementado, los propietarios de certificados aún necesitan supervisar de cerca su entorno para evitar caducidades de certificados. Cuando llega el momento de un nuevo certificado, todavía necesitan crear una solicitud de firma de certificado (CSR), obtener una clave pública e importar manualmente ese certificado en su aplicación. No es precisamente fácil de usar.
En realidad, la mayoría de las organizaciones actuales todavía utilizan algún tipo de hojas de cálculo y scripts personalizados para rastrear certificados y notificar a los equipos respectivos sobre las próximas caducidades. Pero cuando llega el momento de la renovación de certificados, las alertas y notificaciones por correo electrónico tienen un alcance limitado. Las alertas pueden pasarse por alto u olvidarse, e incluso si se toman medidas, la carga de los pasos tradicionalmente lentos y manuales para solicitar y renovar certificados significa que muchos se quedan en el tintero, causando una interrupción generalizada de la red o la aplicación. La automatización es el antídoto para garantizar que cada certificado se mantenga actualizado.
El mayor desafío con la renovación de certificados es la infraestructura de red, como servidores de aplicaciones, servidores web, balanceadores de carga y firewalls. Estos incluyen servidores web IIS, dispositivos F5, Netscaler y Java Keystores. Los certificados distribuidos en estos dispositivos de red deben renovarse regularmente y monitorearse continuamente para detectar cualquier cambio.
La inscripción automática de Active Directory (AD) solo ayuda parcialmente con los servidores IIS, pero no vincula automáticamente el certificado a la aplicación. Para complicar las cosas, los procesos cambian con el tiempo. Las longitudes de clave y los algoritmos de firma evolucionan (es decir, la migración de SHA-1 a SHA-2), las plantillas de certificados cambian y las empresas pueden cambiar su autoridad de certificación (CA) pública.
Los propietarios de certificados simplemente no suelen tener tiempo para abordar estos cambios que hacen que la capacidad de obtener un nuevo certificado sea aún más compleja. Peor aún, si tienen miles de servidores que gestionar, los proyectos se suspenderán para evitar una interrupción relacionada con los certificados. ¿Por qué? Porque saben que si incluso un solo certificado pasa desapercibido, las consecuencias suelen ser graves – horas de inactividad, pérdida de ingresos e incluso daño a la reputación.
Cómo automatizar la gestión del ciclo de vida de los certificados digitales con Keyfactor
Imagine si este tedioso proceso pudiera automatizarse de principio a fin. Si la vinculación de certificados a las aplicaciones ocurriera automáticamente. Si pudiera reemplazar cada certificado en cada servidor web en cuestión de minutos. Si no necesitara pasar archivos PFX sensibles, dejando sus claves privadas expuestas a riesgos. Con las herramientas y la tecnología adecuadas, todo esto es posible.
La automatización de Keyfactor permite a los propietarios de certificados eliminar la frustración y la preocupación de la renovación de certificados. No solo le permitirá renovar certificados con la misma información que el certificado anterior, sino que también vinculará automáticamente ese certificado a la interfaz necesaria.
Keyfactor Command ofrece herramientas de automatización basadas en agentes o sin agentes:
- El orquestador de automatización de Keyfactor para Windows reside en un servidor Windows y gestiona de forma remota los almacenes de certificados en todos sus servidores IIS, dispositivos F5 y Netscaler, dispositivos con capacidad FTP y recursos de Amazon Web Services (AWS), sin necesidad de implementar el orquestador en cada dispositivo. Esto le permite descubrir todos los certificados en el almacén de certificados configurado e importarlos a una única plataforma para su gestión centralizada. Ahora, esos certificados importados pueden ser monitoreados, auditados y, lo que es más importante, renovados y reemplazados automáticamente, ayudándole a anticiparse a las caducidades y eliminando los esfuerzos manuales.
- El agente de automatización de Keyfactor para Java, por otro lado, es un agente Linux ligero y personalizable que proporciona acceso programático a los servidores Linux para descubrir y gestionar Java Keystores o directorios PEM. En este caso, el agente debe implementarse en cada servidor Linux gestionado. Sin embargo, incluye un script incorporado que le permite construir un paquete RPM que puede implementarse fácilmente en todos sus servidores Linux.
¿Cómo funciona la automatización de certificados digitales?
Se definen períodos de renovación personalizados antes de que un certificado caduque. Una vez que se activa esa alerta personalizada, enviará automáticamente una notificación y utilizará la información anterior del certificado que caduca para solicitar un nuevo certificado e implementarlo en la aplicación sin necesidad de un solo clic.
Para los servidores IIS, el orquestador de automatización de Windows vinculará el nuevo certificado al puerto 443. Para los dispositivos F5, el orquestador vinculará el certificado digital a cualquier perfil de cliente o SSL que se haya configurado para el certificado anterior, sin cambiar el nombre del perfil o del certificado. Lo mismo ocurre con NetScaler, AWS, Java Keystores y los directorios PEM.
¿Necesita cambiar la información del certificado? Los orquestadores y agentes de automatización pueden implementar fácilmente un nuevo certificado con información actualizada de forma automática en el(los) almacén(es) de certificados de su elección. ¿Necesita implementar desde una nueva plantilla? Genere un nuevo certificado desde cualquier plantilla que necesite y desde cualquier CA, como Digicert, Sectigo, Entrust y otras, lo que contribuye a impulsar la criptoagilidad.
La automatización tampoco se limita a su PKI interna. Cuando se combina con Keyfactor CA Gateways para integrarse directamente con sus CA públicas, los orquestadores y agentes de automatización pueden automatizar completamente la emisión, renovación y revocación de todos los certificados emitidos públicamente e internos.
Nuestra capa de API abierta, conocida como el framework AnyAgent, es flexible y extensible a prácticamente cualquier dispositivo o aplicación. Esto significa que podemos conectarnos a una variedad de dispositivos alojados en la nube o en la empresa en cuestión de horas o días, y con solo unas pocas líneas de código, con una facilidad relativa en comparación con la competencia.
La transición de la gestión ad hoc a la automatización
La renovación de certificados es un proceso arduo. La propiedad dispersa de los certificados entre los equipos de ITOps, NetOps, DevOps y otros departamentos de la organización dificulta enormemente que los responsables de los certificados se anticipen a las caducidades y se ajusten a las políticas de seguridad. Estos desafíos se agravan aún más por el creciente número de dispositivos conectados y los ciclos de vida más cortos de los certificados. Los certificados pueden pasarse por alto u olvidarse fácilmente, y los archivos PFX pueden extraviarse, copiarse o almacenarse de forma insegura.
Al invertir en automatización, los equipos de TI y seguridad no solo evitan interrupciones disruptivas en la red y las aplicaciones, sino que también ahorran una cantidad considerable de tiempo y frustración a los responsables de los certificados, que antes estaban sobrecargados con procesos manuales para solicitar y renovar certificados.
Obtenga más información sobre los orquestadores y agentes de automatización de Keyfactor a través de casos de uso reales de otros líderes en PKI. Consulte nuestro informe técnico, «Automatización de PKI para el futuro», para descubrir cómo la automatización ayuda a cumplir las promesas de la PKI y los objetivos de su estrategia de TI:
