Bienvenido de nuevo a la segunda parte de una serie de blogs sobre cómo migrar de su solución PKI heredada a la plataforma Keyfactor Command . En la primera parte, revisamos el primer paso para realizar el cambio a una nueva solución PKI: importar las claves y los certificados mediante operaciones de secuencias de comandos masivas optimizadas. Ahora que ya ha importado sus certificados a la base de datos, tendrá que configurar su infraestructura para redirigir las operaciones del ciclo de vida de los certificados mediante Keyfactor.
No hay espacio suficiente en un blog para cubrir todas las preguntas que puedan surgir por el camino, pero voy a proporcionar una comprensión básica de lo que se necesita para ponerse en marcha.
Sincroniza con tu Microsoft CA
Empecemos por cómo redirigir su Microsoft CA interno a su nueva base de datos Keyfactor . Hay dos escenarios posibles:
- Keyfactor Command se aloja y ejecuta en su entorno para automatizar el ciclo de vida de claves y certificados
- Ha decidido implantar una solución PKI alojada en la nubeKeyfactor
Cubriremos ambos escenarios.
Si Keyfactor Command está alojada en su entorno, y la CA interna se encuentra en el mismo bosque, entonces es bastante sencillo. Keyfactor puede programar trabajos de sincronización para inventariar automáticamente la CA, así como futuras inscripciones de certificados.
Si Keyfactor Command está alojado en nuestro entorno en la nube, sólo hay un paso adicional. Tendrás que desplegar un orquestador en el dominio que aloja tu CA interna para inventariar los certificados y sincronizarlos con nuestro entorno alojado en la nube. Por supuesto, el equipo de Keyfactor estará a su disposición para ayudarle en todo momento.
Descubrir claves y certificados desconocidos
A continuación, tendrá que tener en cuenta todos los certificados que se utilizan en su empresa. ¿Tiene equipos de aplicaciones que realizan pruebas con certificados autofirmados y comodín? ¿Qué vulnerabilidades han quedado expuestas en los servidores web y de aplicaciones? Demasiadas veces se descuidan estas responsabilidades, lo que tiene consecuencias más graves a largo plazo. Para ayudar a frenar este problema por adelantado, primero tenemos que descubrir estas vulnerabilidades e introducir estos certificados en su base de datos.
Todo comienza con la implantación de Keyfactor SSL /TLS Discovery Tool. Nuestro enfoque flexible basado o no en agentes le permite explorar amplios rangos de puertos y redes para encontrar e inventariar todos los certificados y su información relevante. Esto le permite crear lo que llamamos "colecciones de certificados", en las que puede agrupar certificados para aplicar políticas, informar sobre su estado, configurar alertas y notificaciones para anticiparse a las renovaciones o incluso automatizar el proceso de renovación con flujos de trabajo predefinidos.
Hay que tener en cuenta algunos aspectos importantes a la hora de planificar un descubrimiento oportuno en SSL/TLS :
- Volumen: cuanto mayores sean los rangos de red y puertos que desee cubrir, más tardará el proceso. Para mejorar el rendimiento y lograr un tiempo de descubrimiento más rápido, puede simplemente desplegar más agentes u orquestadores para optimizar el proceso.
- Ubicación - Si la geografía física entra en juego, a veces puede retrasar la respuesta de un endpoint al agente de descubrimiento. Si el tiempo de espera del agente es demasiado bajo, no todos los puntos finales tendrán tiempo suficiente para responder con su certificado.
- Endpoints nulos - Si programa los tiempos del agente demasiado altos, entonces cualquier endpoint sin certificado ocupará el tiempo completo antes de pasar al siguiente puerto. Usted querrá definir los trabajos más magros para asegurar un escaneo eficiente.
- Scripts API - Para lograr definiciones de trabajo ajustadas, se pueden utilizar rangos de red altamente personalizados. Las definiciones de red programáticas ahorrarán mucho tiempo a la hora de implementar un trabajo de escaneado. Keyfactor proporciona secuencias de comandos de ejemplo para simplificar este proceso.
Sincronización con sus CA públicas
Por último, querrá inventariar los certificados de sus CA públicas, como DigiCert, Sectigo, Entrust y otras. Keyfactor ofrece varias puertas de enlace de CA que se integran directamente con cualquiera de sus CA públicas. A diferencia de otros proveedores, aquí no hay middleware implicado. Keyfactor ofrece un inventario completo de certificados y orquesta todo el ciclo de vida del certificado, desde la emisión hasta la renovación y revocación. De nuevo, el proceso dependerá de si su instancia de Keyfactor Command está alojada en su red o con Keyfactor cloud-hosted PKI as-a-Service.
- Si Keyfactor Command está alojado en su entorno, comenzará instalando una pasarela y proporcionando credenciales de administrador para que la plataforma Keyfactor se comunique directamente con la CA pública. Esto permite inventariar los certificados y realizar nuevas inscripciones a través del portal Keyfactor .
- Si Keyfactor Command está alojado en nuestro entorno en la nube, este paso es aún más sencillo. Keyfactor pondrá en marcha el servidor, instalará la pasarela y configurará los parámetros adecuados de Active Directory (AD). Todo lo que necesitamos son las credenciales y un certificado para permitir que la plataforma Keyfactor se autentique en la CA.
Una vez que haya llegado hasta aquí, es hora de celebrar su victoria. Ya ha inventariado con éxito toda su PKI e integrado su infraestructura con la plataforma Keyfactor Command .
Sustituir o coexistir
Por último, querrá inventariar los certificados de sus CA públicas, como DigiCert, Sectigo, Entrust y otras. Keyfactor ofrece varias puertas de enlace de CA que se integran directamente con cualquiera de sus CA públicas. A diferencia de otros proveedores, aquí no hay middleware implicado. Keyfactor ofrece un inventario completo de certificados y orquesta todo el ciclo de vida del certificado, desde la emisión hasta la renovación y revocación. De nuevo, el proceso dependerá de si su instancia de Keyfactor Command está alojada en su red o con Keyfactor cloud-hosted PKI as-a-Service.
- Si Keyfactor Command está alojado en su entorno, comenzará instalando una pasarela y proporcionando credenciales de administrador para que la plataforma Keyfactor se comunique directamente con la CA pública. Esto permite inventariar los certificados y realizar nuevas inscripciones a través del portal Keyfactor .
- Si Keyfactor Command está alojado en nuestro entorno en la nube, este paso es aún más sencillo. Keyfactor pondrá en marcha el servidor, instalará la pasarela y configurará los parámetros adecuados de Active Directory (AD). Todo lo que necesitamos son las credenciales y un certificado para permitir que la plataforma Keyfactor se autentique en la CA.
Una vez que haya llegado hasta aquí, es hora de celebrar su victoria. Ya ha inventariado con éxito toda su PKI e integrado su infraestructura con la plataforma Keyfactor Command .
Despliegue rápido, sustitución fácil
Implemente Keyfactor Command de forma rápida y eficaz. Incluso puede instalar nuestra solución con la que ya tiene instalada, para asegurarse de que nunca se verá expuesto a una interrupción relacionada con un certificado, ni siquiera durante un minuto, y luego desinstalarlas cuando le convenga.
Migración gradual
Keyfactor coexiste con otras soluciones, ampliando su visibilidad al detectar lo que otros pasan por alto. Su solución heredada puede seguir gestionando certificados, mientras que Keyfactor ofrece la ventaja de un diseño flexible y modular para cubrir las lagunas y detener las interrupciones antes de que se produzcan.