Bienvenue dans la deuxième partie d'une série de blogs sur la migration de votre ancienne solution PKI vers la plateforme Keyfactor Command . Dans la première partie, nous avons passé en revue la première étape du passage à une nouvelle solution PKI - l'importation de vos clés et de vos certificats à l'aide d'opérations de script en bloc rationalisées. Maintenant que vous avez importé vos certificats dans la base de données, vous devez configurer votre infrastructure pour réacheminer les opérations du cycle de vie des certificats à l'aide de Keyfactor.
Il n'y a tout simplement pas assez de place dans un blog pour répondre à toutes les questions qui peuvent se poser en cours de route, mais je vais vous donner une idée de base de ce qu'il faut faire pour démarrer.
Synchronisation avec votre Microsoft CA
Commençons par la manière de réacheminer votre site interne Microsoft CA vers votre nouvelle base de données Keyfactor . Deux scénarios sont possibles :
- Keyfactor Command est hébergé et exécuté dans votre environnement pour automatiser le cycle de vie des clés et des certificats.
- Vous avez décidé d'implémenter une solutionKeyfactor hébergée dans le Cloud PKI
Nous couvrirons ces deux scénarios.
Si Keyfactor Command est hébergé dans votre environnement et que l'autorité de certification interne se trouve dans la même forêt, c'est très simple. Keyfactor peut programmer des tâches de synchronisation pour inventorier automatiquement l'autorité de certification, ainsi que les futures inscriptions de certificats.
Si Keyfactor Command est hébergé dans notre environnement en nuage, il n'y a qu'une étape supplémentaire. Vous devrez déployer un orchestrateur dans le domaine hébergeant votre AC interne pour inventorier les certificats et les synchroniser avec notre environnement hébergé dans le nuage. Bien entendu, l'équipe de Keyfactor sera à votre disposition pour vous aider à chaque étape.
Découvrir des clés et des certificats inconnus
Ensuite, vous devrez tenir compte de tous les certificats qui existent dans la nature au sein de votre entreprise. Vos équipes chargées des applications testent-elles des certificats auto-signés et des certificats de type "wildcard" ? Quelles vulnérabilités ont été laissées exposées sur les serveurs web et les serveurs d'application ? Bien trop souvent, ces responsabilités sont négligées, ce qui entraîne des conséquences plus graves au bout du compte. Pour limiter ce problème dès le départ, nous devons d'abord découvrir ces vulnérabilités et intégrer ces certificats dans votre base de données.
Cela commence par le déploiement de l'outil de découverte Keyfactor SSL /TLS . Notre approche flexible, avec ou sans agent, vous permet de scanner de larges plages de ports et de réseaux pour trouver et inventorier tous les certificats et leurs informations pertinentes. Cela vous permet de créer ce que nous appelons des "collections de certificats", où vous pouvez regrouper des certificats pour appliquer des politiques, établir des rapports sur leur état, configurer des alertes et des notifications pour anticiper les renouvellements, ou même automatiser le processus de renouvellement grâce à des flux de travail prédéfinis.
Il y a quelques points importants à prendre en compte lors de la planification d'une découverte SSL/TLS en temps voulu :
- Volume - plus le réseau et les plages de ports que vous cherchez à couvrir sont importants, plus le processus sera long. Pour améliorer les performances et accélérer le temps de découverte, vous pouvez simplement déployer davantage d'agents ou d'orchestrateurs afin d'optimiser le processus.
- Emplacement - Si la géographie physique entre en jeu, elle peut parfois retarder la réponse d'un terminal à l'agent de découverte. Si le délai d'attente de l'agent est trop court, tous les points d'extrémité n'auront pas le temps de répondre avec leur certificat.
- Points d'extrémité nuls - Si vous planifiez des délais trop longs pour les agents, les points d'extrémité sans certificat prendront tout le temps nécessaire avant de passer au port suivant. Vous devez définir les tâches les plus légères pour garantir une analyse efficace.
- Scripts API - Pour obtenir des définitions de tâches allégées, il est possible d'utiliser des gammes de réseaux hautement personnalisées. Les définitions de réseau programmatiques permettent de gagner un temps considérable lors de la mise en œuvre d'une tâche d'analyse. Keyfactor fournit des exemples de scripts pour simplifier ce processus.
Synchronisation avec vos autorités de certification publiques
Enfin, vous voudrez inventorier les certificats de vos autorités de certification publiques, notamment DigiCert, Sectigo, Entrust et autres. Keyfactor propose plusieurs passerelles CA qui s'intègrent directement à n'importe laquelle de vos autorités de certification publiques. Contrairement à d'autres fournisseurs, il n'y a pas d'intergiciel impliqué ici. Keyfactor offre un inventaire complet des certificats et orchestre l'ensemble du cycle de vie des certificats - de l'émission au renouvellement et à la révocation. Le processus dépendra à nouveau du fait que votre instance de Keyfactor Command est hébergée dans votre réseau ou avec Keyfactor PKI as-a-Service hébergée dans le nuage.
- Si Keyfactor Command est hébergé dans votre environnement, vous commencerez par installer une passerelle et fournir des identifiants d'administration pour que la plateforme Keyfactor communique directement avec l'autorité de certification publique. Cela permet d'inventorier les certificats et d'effectuer de nouvelles inscriptions via le portail Keyfactor .
- Si Keyfactor Command est hébergé dans notre environnement en nuage, cette étape est encore plus facile. Keyfactor mettra en place le serveur, installera la passerelle et configurera les paramètres Active Directory (AD) appropriés. Il ne nous manque plus que les informations d'identification et un certificat pour permettre à la plateforme Keyfactor de s'authentifier auprès de l'autorité de certification.
Une fois que vous avez atteint ce stade, il est temps de célébrer votre victoire. Vous avez maintenant inventorié avec succès l'ensemble de votre site PKI et intégré votre infrastructure à la plateforme Keyfactor Command .
Remplacer ou coexister
Enfin, vous voudrez inventorier les certificats de vos autorités de certification publiques, notamment DigiCert, Sectigo, Entrust et autres. Keyfactor propose plusieurs passerelles CA qui s'intègrent directement à n'importe laquelle de vos autorités de certification publiques. Contrairement à d'autres fournisseurs, il n'y a pas d'intergiciel impliqué ici. Keyfactor offre un inventaire complet des certificats et orchestre l'ensemble du cycle de vie des certificats - de l'émission au renouvellement et à la révocation. Le processus dépendra à nouveau du fait que votre instance de Keyfactor Command est hébergée dans votre réseau ou avec Keyfactor PKI as-a-Service hébergée dans le nuage.
- Si Keyfactor Command est hébergé dans votre environnement, vous commencerez par installer une passerelle et fournir des identifiants d'administration pour que la plateforme Keyfactor communique directement avec l'autorité de certification publique. Cela permet d'inventorier les certificats et d'effectuer de nouvelles inscriptions via le portail Keyfactor .
- Si Keyfactor Command est hébergé dans notre environnement en nuage, cette étape est encore plus facile. Keyfactor mettra en place le serveur, installera la passerelle et configurera les paramètres Active Directory (AD) appropriés. Il ne nous manque plus que les informations d'identification et un certificat pour permettre à la plateforme Keyfactor de s'authentifier auprès de l'autorité de certification.
Une fois que vous avez atteint ce stade, il est temps de célébrer votre victoire. Vous avez maintenant inventorié avec succès l'ensemble de votre site PKI et intégré votre infrastructure à la plateforme Keyfactor Command .
Déploiement rapide, remplacement facile
Déployez Keyfactor Command rapidement et efficacement. Vous pouvez même installer notre solution avec votre solution existante toujours en place - pour vous assurer que vous n'êtes jamais exposé à une panne liée au certificat, même pour une minute - puis les désinstaller à votre convenance.
Migration progressive
Keyfactor coexiste avec d'autres solutions - élargissant votre visibilité en attrapant ce que d'autres ne voient pas. Votre ancienne solution peut continuer à gérer les certificats, tandis que Keyfactor offre l'avantage d'une conception flexible et modulaire pour combler les lacunes et arrêter les pannes avant qu'elles ne se produisent.