Ons PKI Management Platform

Worstelt jouw organisatie ook met traditioneel complexe zaken die horen bij PKI Management, zoals Certificate Lifecycle Management (CLM), de distributie van honderden of duizenden certificaten voor S/MIME of device authenticatie, het opsporen van zwervende certificaten, integratie met MDM oplossingen zoals MS Intune, VMware WS1, of MobileIron, PKI compliance eisen op het gebied van gedelegeerde rollen en autorisaties? Dan biedt KeyTalk gemak, overzicht, inzicht en controle!

Ons krachtige Certificate Key Management System (CKMS) maakt implementatie van PKI en distributie en beheer van certificaten eenvoudig, overzichtelijk en foutloos.

Het KeyTalk CKMS vormt het hart van de verschillende oplossingen die wij bieden voor:

1. TLS/SSL Certificate Lifecycle Management (CLM)
2. Veilige email op basis van S/MIME
3. Het beheer en geautomatiseerde distributie van persoonlijke certificaten voor (device) authenticatie.

PKI en Certificate Lifecycle Management (CLM) hebben geen beste reputatie. Implementatie, beheer en distributie van certificaten staat bekend als complex, omslachtig, foutgevoelig (met potentieel grote negatieve impact) en arbeidsintensief. 

Zonde, want dat hoeft helemaal niet. De oplossingen van KeyTalk maken PKI Management bijzonder eenvoudig, efficiënt en nauwkeurig.

Certificate Lifecycle Management

Voor de meeste organisaties is Certificate Lifecycle Management een crime. We komen nog regelmatig op afdelingen waar de looptijd van certificaten wordt bijgehouden in de Outlook agenda of een Excel-bestand. Of erger: Men heeft geen idee hoeveel certificaten zich waar op het netwerk bevinden. Dat is niet alleen omslachtig, maar ook foutgevoelig en riskant.

KeyTalk houdt de lifecycle van je certificaten volledig geautomatiseerd bij. Zo heb je altijd een actueel, gedetailleerd overzicht van alle private en publieke certificaten en gebruikte crypto sleutels.  

Het opsporen van bestaande certificaten en sleutels op het netwerk (certificate discovery) is eenvoudig mogelijk met onze Smart Security Scan. Gevonden certificaten en sleutels worden geïmporteerd in het KeyTalk CKMS en vervolgens beheerd.  

Ondersteuning van PKI Management biedt het KeyTalk CKMS onder meer door:

• Opbouw van een centrale repository van alle interne en externe certificaten en bijbehorende sleutels, eventueel via een certificate discovery proces met onze Smart Security Scan en import van gevonden geldige certificaten in ons CKMS. 
• Geautomatiseerde uitrol en vernieuwing van certificaten (of semi-geautomatiseerd na notificatie en autorisatie) naar servers, netwerk devices en user devices. 
• Uitgebreide rapportages, notificaties en alerts.
• Ondersteuning van PKI compliance door centraal ingerichte workflows, (gedelegeerde) rollen en autorisaties over afdelingen en dochterbedrijven. KeyTalk werkt domein onafhankelijk en is daarom eenvoudig in te richten in grotere organisaties.  
• Integraties met een groeiend aantal Certificate Authorities zoals DigiCert, DigiCert QuoVadis, GlobalSign en Microsoft CA. 
• Geautomatiseerde uitrol en vernieuwing van certificaten (of semi-geautomatiseerd na notificatie en autorisatie) naar servers, netwerk devices en user devices. 
• Ondersteuning van CRL en OCSP.
• Autorisatie op basis van AD en AAD.
• Een groot en groeiend aantal integraties en ondersteunde protocollen. Bijvoorbeeld: MDM oplossingen zoals Intune en MobileIron, load balancers, HSM’s, Citrix, SCEP en ACME.
• Een interne CA voor de uitgifte van private certificaten die ook kortlevend kunnen zijn.

Private CA

Naast publiek vertrouwde SSL-certificaten die worden uitgegeven via een publieke CA, zoals DigiCert, GlobalSign, Sectigo etc, gebruiken veel bedrijven een private CA. Meestal is dit een Microsoft Active Directory Certificate Server.

Het KeyTalk CKMS bevat ook een eigen private CA, die kan worden opgezet en vervolgens gebruikt onder een bestaande Root CA, of een eigen Root CA.

Om een bestaande Root CA te gebruiken kan het bestaande Root CA certificaat met private sleutel, worden geüpload, waarna de KeyTalk CKMS onder deze Root de eigen Intermediate CA’s zal genereren op basis van de via de wizard opgegeven details.

Ook kan een Root CA met private key worden gekoppeld aan de KeyTalk CKMS private CA, via een ondersteunde HSM.

Het KeyTalk CKMS private CA is ook te gebruiken zonder eigen Root CA. Dan zal de private CA een eigen Root CA genereren op basis van de via de wizard opgegeven details.

In de meest eenvoudige configuratie, vergt het optuigen van een eigen KeyTalk private CA niet meer dan een paar minuten, waarna er al eigen interne certificaten kunnen worden uitgegeven.

Autorisatie op basis van AD en AAD

Moderne authenticatie via Microsoft Active Directory (AD) of Microsoft Azure AD (AAD) biedt verschillende kenmerken en voordelen in combinatie met het KeyTalk CKMS:

Kenmerken:

• Multi-factor authenticatie: biedt extra beveiliging door het gebruik van meer dan één vorm van authenticatie, zoals een wachtwoord en een SMS-code.
• Role-based access control (RBAC): hiermee kan de toegang tot bronnen en services op basis van de rol van de gebruiker worden beperkt. In het geval van KeyTalk admin toegang kunnen mutatie en kijk rechten worden toegewezen middels Security Groups. In geval van uitgifte van certificaten of gebruik van/toegang tot certificaten kunnen Security Groups gebruikt worden om deze rechten toe te wijzen.

Voordelen:

• Beveiliging: moderne authenticatie via AD biedt een sterke beveiliging, met ondersteuning voor multi-factor authenticatie en integratie met andere Microsoft-beveiligingsoplossingen.
• Beheer: het beheer van gebruikers, apparaten en toegangsrechten kan worden geautomatiseerd en gestroomlijnd, waardoor de werklast van IT-beheerders wordt verminderd.
• KeyTalk CKMS zal gebruikerscertificaten kunnen uitgeven met kenmerken van (Azure) AD account attributen, zoals E-mailadres, Volledige Naam, Afdeling, Locatie/standplaats. Doordat KeyTalk met AD/AAD verbonden is, kunnen uitgegeven authenticatie certificaten worden opgeslagen in het AD/AAD (AltSecurityIdentifier) waardoor Microsoft systemen/software de certificaten kunnen gebruiken voor SSO. Ook kunnen uitgegeven S/MIME certificaten worden weggeschreven naar AAD/AD waardoor middels een standaard synchronisatie met de (Azure) Global Address List (GAL) de uitgegeven certificaten eenvoudig opzoekbaar zijn via de Outlook email client. Middels de AAD connectie kan het KeyTalk CKMS controleren of een client device recht heeft op een Intune SCEP certificaat (bijv voor 802.1x).

On Premises, in de cloud of ‘as a Service’

Het KeyTalk CKMS is ontworpen als een Virtual Machine (VM). Dit betekent dat het onderliggende OS (Ubuntu), de KeyTalk CKMS applicatie (in C++) en de geïntegreerde database (MySQL RDBMS) één geheel vormen en als image direct te laden zijn op VMware of HyperV gebaseerde hypervisors. Hierdoor is het gebruik eenvoudig is te realiseren vanuit:

• Een eigen IT-infrastructuur;
• (Private) Cloud omgevingen als AWS, Azure en Google Cloud;
• Als volledige PKI as-a-Service, waarbij de beschikbaarheid en het beheer van het KeyTalk CKMS volledig door specialisten van KeyTalk wordt gefaciliteerd.

Er is enorm veel dat we je over het KeyTalk KPI platform kunnen vertellen. Van technische details tot use cases en alles daar tussenin. Zoveel, dat het misschien prettiger is om rechtstreeks je vragen te beantwoorden.

Neem gerust contact op: onze PKI Experts denken met je mee, kunnen ingaan op specifieke use-cases en verzorgen graag een demo of Proof of Concept.

Bekijk de KeyTalk toepassingen:

• TLS/SSL Certificate Lifecycle Management (CLM)
• Veilige E-mail Dienst op basis van S/MIME
• Beheer en geautomatiseerde distributie van persoonlijke certificaten voor device authenticatie