Les organisations possèdent des milliers, voire des dizaines de milliers de certificats. Si vous gérez des certificats dans votre entreprise, ce n'est pas une surprise. Il est très complexe et difficile d'assurer le suivi de ces certificats, et encore plus de contrôler la manière dont ils sont émis ou utilisés.
Toutefois, ce ne sont probablement pas les certificats qui apparaissent sur votre feuille de calcul qui posent problème. Il est plus probable que le certificat à l'origine de la prochaine panne soit celui que vous ne connaissez pas.
[Regarder "Comment prendre le contrôle de votre inventaire de certificats SSL/TLS "]]
Vous ne savez pas nécessairement où se trouvent tous les certificats dans votre environnement, car des personnes de votre organisation peuvent demander des certificats sans que vous le sachiez. Bien que les organisations donnent leur meilleure estimation du nombre de certificats dont elles disposent, la plupart d'entre elles admettent qu'elles n'en connaissent pas le nombre exact.
Cependant, sans visibilité, il y a peu de chances d'éviter la prochaine panne causée par un certificat expiré.
Découverte et gestion des certificats
De nombreux facteurs d'évaluation doivent être pris en compte avant de déployer des certificats dans votre réseau. De nombreuses solutions existantes sur le marché ne parviennent tout simplement pas à gérer efficacement le grand nombre de certificats présents dans les organisations aujourd'hui.
Lorsque nous décomposons les principales étapes d'une solution, la découverte est la première, suivie de la surveillance et de l'automatisation, puis de la manière d'intégrer le déploiement de certificats avec différents ensembles d'outils et d'applications.
Découverte du certificat
Une recherche efficace de certificats peut essentiellement être divisée en trois capacités différentes :
- Intégration directe de l'AC
- SSL/TLS Découverte
- Magasins de certificats
Intégration directe de l'AC
La première méthode de découverte des certificats consiste à intégrer non seulement vos autorités de certification sur site, mais aussi des autorités de certification tierces. Cela vous permettra de rassembler tout votre inventaire en un seul endroit, dès la source.
La synchronisation directe avec les autorités de certification permet de demander de nouveaux certificats, de les révoquer, de les renouveler et de les renouveler avant leur expiration.
SSL/TLS Découverte
L'intégration directe à vos autorités de certification est un bon début, mais elle ne vous permettra pas de savoir où se trouvent ces certificats sur votre réseau. De plus, les développeurs et les administrateurs vont souvent demander des certificats à des autorités de certification que vous ne gérez peut-être pas.
SSL/TLS Les fonctions de découverte vous permettent de faire correspondre les certificats à la topographie de votre réseau et de programmer des analyses pour inventorier les certificats et s'assurer qu'ils se trouvent toujours aux points d'extrémité où vous les attendez.
La performance est le problème numéro un que nous rencontrons avec SSL / TLS discovery. Non seulement le volume et la vitesse de déploiement des certificats ont augmenté, mais les sources d'émission de ces certificats se sont également multipliées.
Le fait de savoir où se trouve chaque certificat vous permet de les remplacer rapidement et facilement en masse en réponse à des changements cryptographiques ou à une compromission de l'autorité de certification, afin d'améliorer la crypto-agilité. À partir de là, vous pouvez commencer à faire des choses telles que le suivi et le reporting de ces certificats, la mise en place de notifications d'expiration et l'automatisation du déploiement. Tout dépend de l'obtention d'un inventaire précis et à jour.
Magasins de certificats
Enfin, certains certificats ne sont même pas nécessairement exposés à un port sur le réseau. Ils résident dans des magasins de certificats et de clés, tels que les Java KeyStores (JKS), les dispositifs F5, les serveurs IIS ou les services en nuage tels que Azure Key Vault et AWS Certificate Manager.
Keyfactor Les orchestrateurs et les agents permettent de découvrir ces certificats afin de les gérer. Cela permettra d'identifier les certificats indésirables qui pourraient apparaître de manière inattendue et provoquer une panne. Les outils doivent pouvoir effectuer cette découverte à l'aide d'agents ou de méthodes sans agent.
Prenez le contrôle de tous vos certificats
Prêt à prendre le contrôle de tous vos certificats ?
Participez à la discussion et regardez une démonstration des trois façons simples dont Keyfactor vous donne une visibilité complète de tous les certificats dans votre inventaire, indépendamment de l'endroit où ils ont été émis ou de l'endroit où ils se trouvent.
