Private PKI Zertifikatausstellung

Private PKI Zertifikatausstellung

Verwenden Sie teure öffentliche Zertifikate für interne Zwecke? Dann ist mit KeyTalks interne CA eine erhebliche Kosteneinsparung möglich.

Mit KeyTalk gehört der Gebrauch von teuren öffentlichen Zertifikaten für interne Zwecke der Vergangenheit an. Sie können sich auch von der eingeschränkten Funktionalität von beispielsweise Microsoft CS und anderen privaten CA’s verabschieden.

Mit der internen CA von KeyTalk können Sie kostenlos (!) private Zertifikate für den internen Gebrauch erzeugen. Denk zum Beispiel an S/MIME oder VPN-authenticatie für Benutzer und SSL/TLS Authentifizierungszertifikate für Server und Netzwerkgeräte. Auch wenn es sich um Hundertausende Zertifikate pro Jahr handelt. Damit realisieren Sie eine erhebliche Kostenersparnis gegenüber von teuren öffentlichen Zertifikaten.

Private Zertifikatsausstellung in der Praxis

Die private Certificate Authority (CA) von KeyTalk kann Zertifikate an jeden Endpunkt ausstellen, der Kontakt mit dem KeyTalk Server aufnehmen kann. Dies ist also anders als zum Beispiel Microsoft’s Certificate Server, nicht an die Netzwerkdomäne gebunden.

Die private CA kann Zertifikate für Menschen, PC’s und Laptops, Server, Netzwerkgeräte und IoT- Geräte ausgeben. Sie sind also nicht auf eine Zertifikatsvorlage beschränkt: Sie können bei Bedarf Tausende erstellen, jede für ihren eigenen Zweck.

Die Ausstellung von Zertifikaten kann (halb)manuell über einen (delegierten) Admin oder Mobile Device Management (MDM), oder über unsere KeyTalk Clients ausgestellt werden. Falls gewünscht werden Zertifikatsausstellungsprotokolle wie ACME, SCEP, CMPv2 unterstützt.

Das KeyTalk CKMS soll standardmäßig die Certificate Signing Request (CSR) selbst erstellen und für eine ausreichende Schlüsselentropie sorgen. Wenn ein (delegierter) Admin dies wünscht, können CSR’s auch Endpunkte oder offline generiert und (halb) automatisch impotiert werden. Die CSR wird von der KeyTalk Private CA unterzeichnet, was zu einem PEM, P12, DER oder P7B führt, die am Endpunkt verwendet werden kann.

Auch bei der KeyTalk Private CA sorgen die KeyTalk Clients dafür, dass Zertifikate vollautomatisch angefordert, installiert und aktiviert werden, ohne Ausfallzeiten am Endpunkt. Natürlich innerhalb der Grenzen des Betriebssystems und der oben genannten Zielanwendung.

KeyTalks Private CA kann sowohl klassische langlebige Zertifikate als auch kurzlebige (temporäre) Zertifikate ausstellen. Die minimale Gültigkeit beträgt 1 Sekunde, die maximale Gültigkeit beträgt einige Jahre bis zur maximalen Gültigkeit der Signing CA.

Technische Details

Um private (selbstsignierte) Zertifikate auszustellen, benötigen Sie eine für die Organisation einzigartige CA. Die KeyTalk private CA verfügt über eine Hierarchie, die unter einer vorhandenen oder einer eigenen Wurzel generiert werden kann. Darüber hinaus bieten wir:

Die Endpunkt Zertifikate werden unter der Signing CA ausgegeben, wobei der Administrator mehrere Zertifikatsvorlagen (Dienste) mit unterschiedlichen Konfigurationen für die Schlüsselverwendung (KU), die erweiterte Schlüsselverwendung (EKU), die Objektkennungen (OIDs), den Standard-Betreff, die CRL/CDP/OCSP/IAI, die Standard-Lebensdauer usw. erstellen kann.

Die Zertifikate und die zugehörigen privaten Schlüssel der Root/Primary/Signing/Communication CA können natürlich auf einem lokalen oder Cloud HSM, auf einem Slot/einer Partition oder über mehrere Slots/ Partitionen verteilt werden.

Wenn für die Konformität kein HSM erfordertlich ist, oder das Budget keinen HSM zulässt, kann die KeyTalk private VA die privaten Schlüssel auch lokal speichern. Dies ist eine kostengünstige und voll funktionsfähige Alternative.

Die Standardeinstellungen von KeyTalks Zertifikatsvorlagen können durch einzigartige Daten überschrieben werden, die mit der Registrierungsstelle (RA) verknüpft sind. Oft ist dies beispielsweise die KeyTalk interne Datenbank, das LDAP, das Active Directory, eine MySQL Db. Durch die Zuordnung von Zertifikatsattributen können Sie auf einfache Weise eindeutige Daten abrufen, die zu bestimmten Endpunkten im ausgestellten Zertifikat gehören. Häufig wird der Subject Alternative Name (SAN) von der RA, aber auch von KU, EKU, CN und vielen anderen durchgeführt.

Weitere Informationen?

Möchten Sie eine Demo, Proof of Concept oder eine direkte technische Vertiefung mit einem unserer PKI-Experten? Nimm Kontakt mit uns auf, wir denken gerne mit dir mit!