Private PKI Certificate Issuance

Met KeyTalk is het gebruik van prijzige publieke certificaten voor interne doeleinden verleden tijd. Ook de beperkte functionaliteit van bijvoorbeeld Microsoft CS en andere private CA’s kun je gedag zeggen.

Met KeyTalks interne CA genereer je gratis (!) private certificaten voor intern gebruik. Denk bijvoorbeeld aan S/MIME of VPN-authenticatie voor gebruikers en SSL/TLS authenticatie certificaten voor servers en netwerkapparatuur. Ook als dat om honderdduizenden certificaten per jaar gaat. Daarmee realiseer je een flinke kostenbesparing ten opzichte van dure publieke certificaten.

Private Certificate Issuance in de praktijk

KeyTalk’s private Certificate Authority (CA) kan certificaten uitgeven aan élk end-point dat contact kan leggen met de KeyTalk server. Dit is dus, in tegenstelling tot bijvoorbeeld Microsoft’s Certificate Server, niet gebonden aan het network domain.

De private CA kan certificaten uitgegeven voor mensen , PC’s en laptops, servers, netwerkapparatuur en IoT devices. Je bent dus niet beperkt tot één certificate template: je kunt er desnoods duizenden aanmaken, elk voor hun eigen doel.

Uitgifte van certificaten kan (semi)handmatig verlopen via een (delegated) admin of Mobile Device Management (MDM), of via onze KeyTalk clients. Indien gewenst worden certificaat uitgifte protocollen zoals ACME, SCEP, CMPv2 ondersteund.

Het KeyTalk CKMS zal standaard zelf de Certificate Signing Request (CSR) aanmaken en zorgen voor voldoende sleutelentropie. Als een (delegated) admin dit wenst kunnen CSR’s ook end-point side of offline gegenereerd en (semi)automatisch worden geïmporteerd. De CSR wordt gesigneerd door de KeyTalk Private CA, wat resulteert in een PEM, P12, DER of P7B dat bruikbaar is op het end-point.

Ook met de KeyTalk Private CA zorgen de KeyTalk Clients dat certificaten volledig geautomatiseerd worden aangevraagd, geïnstalleerd en geactiveerd, zonder downtime van het end-point. Uiteraard binnen de beperkingen van het OS en de bovenliggende doelapplicatie.

KeyTalks Private CA kan zowel klassieke langlevende certificaten als kortlevende (tijdelijke) certificaten uitgeven. De minimale geldigheid is 1 seconde, de maximale geldigheid is enkele jaren tot het maximum van de geldigheid van de Signing CA.

Technische details

Om private (self-signed) certificaten uit te geven, heb je een voor de organisatie unieke CA nodig. De KeyTalk private CA kent een hiërarchie die onder een bestaande root of een eigen root kan worden gegenereerd. Daarbij bieden we:

De end-point certificaten worden uitgegeven onder de Signing CA, waarbij de admin meerdere certificate templates (services) kan aanmaken met verschillende configuraties voor Key Usage (KU), Extended Key Usage (EKU), Object Identifiers (OIDs), standaard subject, CRL/CDP/OCSP/IAI, standaard levensduur, etc.

De certificaten en bijbehorende private keys van de Root/Primary/Signing/Communication CA kunnen uiteraard worden gegenereerd op een lokale of cloud HSM, op één slot/partitie of verdeeld over meerdere slots/partities.

Wanneer er vanuit compliance geen noodzaak is voor een HSM, of wanneer het budget een HSM niet toelaat, kan de KeyTalk private CA de private sleutels ook lokaal opslaan. Dat is een voordelig en volledig functioneel alternatief.

De standaard instellingen van KeyTalks certificate templates kunnen worden overschreven door unieke data, gekoppeld aan de Registration Authority (RA). Vaak is dat bijvoorbeeld de KeyTalk interne database, de LDAP, de Active Directory, een MySQL Db. Door certificate attribute mapping kun je eenvoudig unieke data behorend bij specifieke end-points in het uitgegeven certificaat krijgen. Zo zal vaak de Subject Alternative Name (SAN) gevoerd worden vanuit de RA, maar ook de KU, EKU, CN en nog veel meer.

Meer weten?

Wil je een demo, Proof of Concept of direct technisch de diepte in met een van onze PKI experts? Neem gerust contact op, we denken graag met je mee!