L'une des questions les plus fréquentes que nous entendons à l'adresse Keyfactor est la suivante : "Comment puis-je faciliter le processus de renouvellement des certificats pour les propriétaires de certificats ?" Même si la gestion des certificats software est en place, les propriétaires de certificats doivent toujours surveiller leur paysage de près pour éviter les expirations de certificats. Lorsque le moment est venu d'obtenir un nouveau certificat, ils doivent encore créer une demande de signature de certificat (CSR), obtenir une clé publique et importer manuellement ce certificat dans leur application. Ce n'est pas vraiment convivial.
En réalité, la plupart des organisations utilisent encore aujourd'hui des feuilles de calcul et des scripts personnalisés pour assurer le suivi des certificats et avertir les équipes respectives de leur prochaine expiration. Mais lorsque le moment est venu de renouveler les certificats, les alertes et les notifications par courrier électronique n'ont qu'une portée limitée. Les alertes peuvent être manquées ou oubliées, et même si des mesures sont prises, le fardeau des étapes traditionnellement lentes et manuelles pour demander et renouveler les certificats signifie que beaucoup passent à travers les mailles du filet, provoquant une panne généralisée du réseau ou de l'application. L'automatisation est l'antidote qui permet de s'assurer que chaque certificat reste à jour.
Le plus grand défi du renouvellement des certificats est l'infrastructure du réseau telle que les serveurs d'application, les serveurs web, les équilibreurs de charge et les pare-feux. Il s'agit notamment des serveurs web IIS, des dispositifs F5, de Netscaler et des magasins de clés Java. Les certificats répartis sur ces dispositifs de réseau doivent être renouvelés régulièrement et faire l'objet d'une surveillance continue afin de détecter tout changement.
L'inscription automatique de l'Active Directory (AD) n'est que partiellement utile pour les serveurs IIS, mais elle ne lie pas automatiquement le certificat à l'application. Pour compliquer les choses, les processus changent avec le temps. La longueur des clés et les algorithmes de signature évoluent (par exemple, la migration de SHA-1 à SHA-2), les modèles de certificats changent et les entreprises peuvent changer d'autorité de certification publique (AC).
Les propriétaires de certificats n'ont souvent pas le temps de s'occuper de ces changements qui rendent l'obtention d'un nouveau certificat encore plus complexe. Pire encore, s'ils ont des milliers de serveurs à gérer, les projets seront mis en attente pour éviter une panne liée au certificat. Pourquoi ? Parce qu'ils savent que si un seul certificat passe entre les mailles du filet, les conséquences sont souvent graves: des heures d'indisponibilité, une perte de revenus, voire une atteinte à la réputation.
Comment automatiser la gestion du cycle de vie des certificats numériques avec Keyfactor
Imaginez que ce processus pénible puisse être automatisé de bout en bout. Si la liaison des certificats aux applications se faisait automatiquement. Si vous pouviez remplacer chaque certificat sur chaque serveur web en quelques minutes. Si vous n'aviez pas besoin de faire circuler des fichiers PFX sensibles, en exposant vos clés privées à des risques. Avec les bons outils et la bonne technologie, tout cela est possible.
Keyfactor permet aux propriétaires de certificats d'éliminer la frustration et l'inquiétude liées au renouvellement des certificats. Il vous permet non seulement de renouveler les certificats avec les mêmes informations que le certificat précédent, mais aussi de lier automatiquement ce certificat à l'interface nécessaire.
Keyfactor Command fournit des outils d'automatisation avec ou sans agent :
- L'orchestrateur d'automatisation Windows Keyfactor est installé sur un serveur Windows et gère à distance les magasins de certificats de tous vos serveurs IIS, dispositifs F5 et Netscaler, dispositifs compatibles FTP et ressources Amazon Web Services (AWS), sans qu'il soit nécessaire de déployer l'orchestrateur sur chaque dispositif. Cela vous permet de découvrir tous les certificats dans le magasin de certificats configuré et de les importer dans une plateforme unique pour les gérer de manière centralisée. Ces certificats importés peuvent désormais être surveillés en permanence, audités et, surtout, renouvelés et remplacés automatiquement, ce qui vous permet d'anticiper les expirations tout en éliminant les efforts manuels.
- L'agent d'automatisation Java Keyfactor , quant à lui, est un agent Linux léger et personnalisable qui fournit un accès programmatique aux serveurs Linux afin de découvrir et de gérer les magasins de clés Java ou les répertoires PEM. Dans ce cas, l'agent doit être déployé sur chaque serveur Linux géré. Cependant, il est livré avec un script intégré qui vous permet de construire un paquet RPM qui peut facilement être déployé sur tous vos serveurs Linux.
Comment fonctionne l'automatisation des certificats électroniques ?
Des périodes de renouvellement personnalisées sont définies avant l'expiration d'un certificat. Lorsque cette alerte personnalisée se déclenche, elle envoie automatiquement une notification et utilise les informations précédentes du certificat qui expire pour demander un nouveau certificat et le déployer dans l'application sans qu'un seul clic ne soit nécessaire.
Pour les serveurs IIS, Windows Automation Orchestrator liera le nouveau certificat au port 443. Pour les dispositifs F5, l'Orchestrator liera le certificat numérique à tout profil client ou SSL configuré pour le certificat précédent, sans modifier le profil ou le nom du certificat. Il en va de même pour NetScaler, AWS, Java Keystores et les répertoires PEM.
Besoin de modifier les informations du certificat ? Les Orchestres d'automatisation et les Agents peuvent facilement déployer un nouveau certificat avec des informations mises à jour automatiquement vers le(s) magasin(s) de certificats de votre choix. Besoin d'un déploiement à partir d'un nouveau modèle ? Générez un nouveau certificat à partir de n'importe quel modèle dont vous avez besoin et de n'importe quelle autorité de certification, comme Digicert, Sectigo, Entrust et d'autres, ce qui favorise la crypto-agilité.
L'automatisation ne se limite pas non plus à votre site interne PKI . Lorsqu'ils sont associés à Keyfactor CA Gateways pour intégrer directement vos autorités de certification publiques, les orchestrateurs et agents d'automatisation peuvent complètement automatiser l'émission, le renouvellement et la révocation de tous les certificats émis publiquement et internes.
Notre couche API ouverte, connue sous le nom de framework AnyAgent, est flexible et extensible à pratiquement n'importe quel appareil ou application. Cela signifie que nous pouvons nous connecter à une variété d'appareils hébergés dans le nuage ou dans l'entreprise en quelques heures ou quelques jours, avec seulement quelques lignes de code, ce qui est relativement facile par rapport à la concurrence.
Passer de l'ad hoc à l'automatisation
Le renouvellement des certificats est pénible. La dispersion de la propriété des certificats entre les ITOps, NetOps, DevOps et d'autres équipes au sein de l'organisation rend incroyablement difficile le fait de garder les propriétaires de certificats en avance sur les expirations et alignés sur les politiques de sécurité. Ces défis sont aggravés par un nombre croissant d'appareils connectés et des cycles de vie des certificats plus courts. Les certificats peuvent facilement être manqués ou oubliés et les fichiers PFX peuvent être égarés ou copiés et stockés de manière non sécurisée.
En investissant dans l'automatisation, les équipes informatiques et de sécurité évitent non seulement les interruptions perturbatrices du réseau et des applications, mais elles économisent également beaucoup de temps et de frustration pour les propriétaires de certificats qui étaient auparavant accablés par les processus manuels de demande et de renouvellement des certificats.
Apprenez-en plus sur Keyfactor Automation Orchestrators and Agents à travers des cas d'utilisation réels d'autres leaders PKI . Consultez notre livre blanc, PKI Automation for the Future, pour découvrir comment l'automatisation permet de tenir les promesses de PKI et les objectifs de votre stratégie informatique :
