Simplificar a gestão de certificados com a tecnologia de automatização do ACME e do KeyTalk

Introdução

A gestão eficaz de certificados digitais é essencial para manter a segurança em servidores Web, dispositivos e sistemas empresariais. Como as organizações dependem cada vez mais de comunicações encriptadas e de uma forte verificação de identidade, a automatização da gestão do ciclo de vida dos certificados torna-se vital.

Nesta publicação, vamos explorar a forma como o ACME e o KeyTalk CKMS funcionam em conjunto, fornecendo uma solução de automatização de certificados completa e preparada para o futuro.

 

Porque é que a gestão automatizada de certificados é crucial com ciclos de vida de certificados mais curtos

Mudanças recentes no sector encurtaram os ciclos de vida dos certificados SSL/TLS de vários anos para 397 dias, com alguns certificados a passarem para períodos de validade ainda mais curtos de 47 dias em 15 de março de 2029.

Embora isto aumente a segurança ao reduzindo a exposição a chaves comprometidastambém cria desafios operacionais-as organizações enfrentam agora renovações mais frequentesAumenta o risco de os certificados expirados causarem interrupções no serviço.

As soluções automatizadas de gestão de certificados, como o protocolo ACME e a solução de agente patenteada nativa da KeyTalk, são essenciais para enfrentar estes desafios. A automatização garante a emissão, renovação e implementação de certificados sem problemas, reduzindo os erros manuais e as despesas operacionais.

Especialmente para as empresas que gerem uma vasta gama de certificados em servidores, dispositivos e correio eletrónico, a automatização é fundamental para manter a segurança e a continuidade do negócio no atual panorama de certificados em rápida evolução.

 

O que é o ACME?

ACME, que significa Ambiente de Gestão Automatizada de Certificadosé um protocolo aberto definido pelo RFC 8555 que simplifica o processo processo de obtenção e renovação de certificados SSL/TLS para servidores Web. Automatiza as principais etapas, como a emissão, renovação e revogação de certificados, coordenando entre clientes e Autoridades de Certificação (CAs).

Centrado principalmente na segurança da Webo protocolo ACME permite aos proprietários de domínios provar o controlo sobre o seu domínio através de desafios simples – como a validação HTTP ou DNS – eliminando os pedidos manuais de certificados.

Clientes ACME
Como o ACME é um protocolo, empresas terceiras criaram software para fornecer a sua funcionalidade de gestão de certificados. Clientes ACME populares, como o Certbot, são amplamente adotados, e muitas CAs públicas suportam o ACME, tornando-o um protocolo de referência para o gerenciamento automatizado de certificados SSL/TLS. O KeyTalk incorporou o suporte do protocolo ACME desde 2023, quando o ACME-server foi introduzido no KeyTalk CKMS.

As principais vantagens do protocolo ACME incluem a automatização que reduz o risco de expiração do certificado, normas de protocolo abertas que promovem uma ampla compatibilidade e uma fácil integração com servidores Web populares, como o Apache e o Nginx. No entanto, o principal objetivo do ACME continua a ser a automatização da gestão de certificados de servidores Web e não fornece as funcionalidades avançadas necessárias para uma gestão aprofundada da identidade empresarial ou de certificados de dispositivos, que são normalmente tratados por soluções de PKI empresariais mais especializadas.

O que é o KeyTalk CKMS

O KeyTalk Certificate & Key Management System (CKMS) representa uma solução abrangente de nível empresarial centrada na gestão de um vasto espetro de certificados e chaves digitais. A solução KeyTalk CKMS baseia-se num modelo cliente/servidor em que o CKMS (servidor) gere os certificados e o Agent (cliente) é instalado nos dispositivos de ponto final.

Este software baseado em agentes automatiza a emissão, implementação, renovação e revogação de certificados X.509 – não só para SSL/TLS, mas também para segurança de correio eletrónico S/MIME, autenticação de dispositivos, acesso VPN e muito mais.

O KeyTalk utiliza vários protocolos para a gestão e implementação de certificados, incluindo a sua própria API REST sobre HTTPS (porta TCP 443, TLS 1.3), ACME (Automatic Certificate Management Environment), SCEP (Simple Certificate Enrollment Protocol), APIs de plataforma nativas e APIs REST personalizadas; também suporta protocolos de autenticação padrão como Kerberos e LDAP para autenticação de utilizadores e pode interagir com autoridades de certificação através de APIs CA para emissão e renovação automatizadas de certificados.

Ao contrário da abordagem de validação de domínio nativo da ACME, o KeyTalk integra-se perfeitamente com sistemas de gestão de identidade e acesso empresariais, como Entra ID, Active Diretory, LDAP e RADIUS. Isto permite métodos de autenticação sofisticados, incluindo módulos de segurança suportados por hardware, como TPMs e HSMs. Também suporta a implantação automatizada de certificados e chaves para vários pontos de extremidade no Windows, macOS, Linux e dispositivos móveis, simplificando a integração e a conformidade de dispositivos seguros.

A solução KeyTalk é adequada para organizações que necessitam de uma automatização abrangente da Public Key Infrastructure (PKI) para além dos servidores web – especialmente para casos de utilização que envolvam segurança de e-mail, gestão de endpoints e relatórios extensivos. Como produto comercial, inclui frequentemente serviços de suporte dedicados e opções de implementação flexíveis, incluindo dispositivos na nuvem e no local.

 

Gráfico de comparação: Clientes ACME vs clientes KeyTalk

Para dar uma visão clara da comparação entre os clientes ACME e o KeyTalk Agent, vamos investigar várias caraterísticas e descobrir como cumprem esse aspeto.

Ao centrarmo-nos em cada caraterística, queremos determinar o que separa os clientes ACME do KeyTalk. Tem em atenção que alguns clientes ACME oferecem e suportam mais serviços do que outros, dependendo da implementação pelo seu criador.

A lista abaixo menciona as caraterísticas mais comuns dos clientes ACME encontrados. Segue-se um resumo das suas principais caraterísticas e capacidades:

 

Caraterística/Aspeto ACME (Ambiente de Gestão Automatizada de Certificados) KeyTalk (CKMS e Agente Empresarial)
Função principal Automatiza o gerenciamento do ciclo de vida dos certificados SSL/TLS (emissão, renovação, revogação) entre clientes e Autoridades de Certificação (CAs). Automatiza o gerenciamento, a implantação e a renovação de certificados X.509 e pares de chaves para usuários, dispositivos e servidores, com foco em certificados SSL/TLS privados/públicos, S/MIME e 802.1X.
Protocolo/Padrão Protocolo aberto (RFC 8555), amplamente adotado por CAs e fornecedores de PKI. Solução proprietária baseada em agentes que se integra com protocolos PKI padrão e suporta ACME para certificados de servidor.
Tipos de certificados suportados Suporta principalmente certificados SSL/TLS validados por domínio (DV) para servidores Web. Pode ser um pouco alargado a outros tipos. Certificados X.509 para SSL/TLS, S/MIME (e-mail), autenticação de dispositivos, VPN/WiFi (802.1X) e muito mais.
Âmbito da automatização Automatização completa da emissão, renovação e revogação de certificados; elimina a criação e validação manual de CSRs. Automação completa para emissão, renovação, implantação e configuração de certificados em terminais; suporta implantação silenciosa/automatizada via Política de Grupo.
Integração e compatibilidade O protocolo ACME funciona com a maioria dos servidores Web (Apache, Nginx, IIS através de clientes compatíveis). Integração através de vários clientes ACME (Certbot, Posh-ACME, etc.). Agentes para Windows, macOS, Linux e dispositivos móveis. Integra-se amplamente com sistemas empresariais, incluindo Active Diretory, LDAP, Azure AD, RADIUS, MySQL, MDM (Intune, Workspace ONE), HSMs. Consegue obter e implementar certificados/chaves em vários pontos de extremidade.
Métodos de autenticação Técnicas de validação de domínio (HTTP, DNS, desafios TLS-ALPN). Aproveita o IAM existente (Entra ID, Active Diretory, LDAP, RADIUS, MySQL) para autenticação de usuário/dispositivo; suporta autenticação baseada em hardware (TPM, HSM).
Gestão de chaves Tipicamente, as chaves privadas são geradas e armazenadas no cliente/servidor; os clientes ACME não vão buscar chaves existentes. Os agentes KeyTalk podem obter, implementar e gerir certificados e chaves privadas; suporta descoberta de chaves e scraping para necessidades empresariais.
S/MIME e segurança de e-mail Não é suportado nativamente; o protocolo ACME está centrado em certificados SSL/TLS. Também pode suportar certificados OV e EV, mas requer etapas de verificação adicionais e mecanismos de suporte além do fluxo de trabalho ACME padrão. Forte suporte para emissão de certificados S/MIME, implementação e configuração automatizada para Outlook e correio eletrónico seguro.
Opções de implementação Clientes open-source; funciona na infraestrutura do utilizador; suportado por muitas CAs. Dispositivo virtual (no local ou na nuvem), ou como um serviço gerido alojado; agentes KeyTalk implementados em pontos finais.
Personalização e extensibilidade Protocolo aberto, extensível através de plugins de cliente e suporte CA. Oferece opções avançadas de personalização através de APIs e conectores personalizados, facilitando a integração profunda com sistemas empresariais e de IAM existentes.
Relatórios e monitorização Normalmente, oferece funcionalidades básicas de registo, cuja profundidade depende da implementação. Inclui dashboards, relatórios, integração syslog/SIEM, backups automatizados (encriptados) e capacidades de identificação de dispositivos.
Casos de utilização Mais adequado para automatizar a gestão de certificados SSL/TLS em servidores Web e aplicações relacionadas. Suporta casos de utilização empresarial abrangentes, incluindo automatização de PKI, correio eletrónico seguro através de S/MIME, autenticação de dispositivos para acesso à rede (VPN/WiFi) e conformidade regulamentar através de relatórios e monitorização integrados.
Neutralidade do fornecedor Sim; suportado pela maioria das Autoridades de Certificação e fornecedores de PKI. Sim; suporta várias CAs (públicas e privadas), neutras em relação ao fornecedor.
Licenciamento / Custo Normalmente, clientes gratuitos/open-source; a CA pode cobrar pelos certificados. Solução comercial; requer licenciamento para CKMS/agentes e emissão de certificados S/MIME; disponível através de parceiros autorizados.
Apoio Suporte fornecido pela comunidade ou pela CA Suporte multilíngue a fornecedores/parceiros 24 horas por dia, 7 dias por semana.

 

 

Comparação pormenorizada caraterística a caraterística

Para cada funcionalidade, vamos aprofundar a forma como o ACME de código aberto ou de terceiros se compara ao KeyTalk CKMS e vice-versa. Ao aprofundar e compreender cada uma das funcionalidades mencionadas, permite-te compreender melhor e perceber as vantagens de ambos os mundos combinados no conjunto de funcionalidades do KeyTalk CKMS.

Função principal

Clientes ACME: O protocolo Automated Certificate Management Environment foi concebido para automatizar o ciclo de vida dos certificados SSL/TLS, principalmente para servidores Web. A sua principal função é simplificar a emissão, renovação e revogação de certificados, facilitando a comunicação entre os clientes e as Autoridades de Certificação (AC). Este enfoque ajuda a evitar intervenções manuais e reduz os riscos de segurança dos certificados expirados. São desenvolvidos clientes ACME de terceiros, como o Certbot, para fornecer a funcionalidade do protocolo ACME.

KeyTalk: O KeyTalk CKMS oferece uma plataforma de gestão de certificados mais alargada direcionado para as empresas. Automatiza não só SSL/TLS, mas também vários outros tipos de certificados, incluindo X.509 para autenticação de dispositivos e S/MIME para segurança de correio eletrónico. O KeyTalk gere o todo o ciclo de vida do certificado e pares de chaves em dispositivos, utilizadores e servidores, com uma forte ênfase na integração de PKI empresarial.

Protocolo / Norma suportada

Clientes ACME: Baseado num protocolo aberto normalizado no RFC 8555, o protocolo ACME goza de uma adoção generalizada entre as CAs públicas e suporta a interoperabilidade entre vários produtos PKI. Esta abertura torna-o acessível e flexível para diversos ambientes centrados na segurança do servidor Web.

KeyTalk: O KeyTalk CKMS suporta, para além do seu próprio servidor ACME, uma solução de automatização proprietária que se integra com protocolos PKI standard e suporta ACME especificamente para gestão de certificados de servidor. Foi criado para funcionar sem problemas em configurações PKI empresariais, incluindo protocolos legados e personalizados, conforme exigido por ambientes complexos.

Tipos de certificados suportados

Clientes ACME: Concentra-se exclusivamente em certificados SSL/TLS utilizados para proteger sites e aplicações Web, facilitando a comunicação encriptada entre servidores e clientes.

Clientes nativos KeyTalk: Suporta uma vasta gama de tipos de certificados, incluindo SSL/TLS para servidores, certificados S/MIME para correio eletrónico seguro, certificados de autenticação de dispositivos para acesso VPN ou WiFi (802.1X), entre outros. Esta versatilidade suporta estratégias de segurança empresarial multifacetadas.

Âmbito da automatização

Clientes ACME: Oferece automação total das etapas do ciclo de vida dos certificados principais – emissão, renovação e revogação – especificamente para certificados SSL/TLS, sem a necessidade de criação ou validação manual da solicitação de assinatura de certificado (CSR).

Clientes nativos KeyTalk: Estende a automação além da simples emissão e renovação para incluir a implantação e configuração de certificados em vários dispositivos de ponto de extremidade. Suporta mecanismos de implementação silenciosos, como a Política de Grupo, e integra-se com soluções empresariais de IAM e MDM para conseguir uma gestão automatizada generalizada.

Integração e compatibilidade

Clientes ACME: Integra-se com os servidores Web mais utilizados, como Apache, Nginx e IIS, através de clientes ACME compatíveis, como Certbot e Posh-ACME.

Fala com o KeyTalk: Fornece agentes dedicados para Windows e Linux. Integra-se amplamente com sistemas empresariais, incluindo Active Diretory, LDAP, Azure AD, RADIUS, bases de dados MySQL, plataformas de Gestão de Dispositivos Móveis, como Intune e Workspace ONE, e Módulos de Segurança de Hardware (HSMs).

Métodos de autenticação

Clientes ACME: Utiliza técnicas de validação de domínio – principalmente desafios HTTP, DNS e TLS-ALPN – que verificam o controlo sobre um domínio antes da emissão de certificados. Alguns agentes ACME suportam TPMs para autenticação.

Fala com o KeyTalk: Vai além da validação de domínio, integrando-se aos sistemas de gerenciamento de acesso e identidade (IAM) corporativos existentes, como Entra ID, Active Diretory, LDAP e RADIUS para autenticação de usuários e dispositivos. Além disso, suporta a autenticação apoiada por hardware utilizando TPMs e HSMs, melhorando a segurança. Assim, adiciona esta funcionalidade à sua própria implementação ACME.

Gestão de chaves

Clientes ACME: Normalmente, gera chaves privadas localmente em clientes ou servidores durante a emissão de certificados e não recupera ou gere chaves privadas centralmente.

Fala com o KeyTalk: Fornece capacidades abrangentes de gestão de chaves, incluindo a obtenção, implementação e gestão de certificados e respectivas chaves privadas. Apresenta descoberta e raspagem de chaves para se alinhar com as políticas de segurança empresarial e os requisitos de conformidade.

S/MIME e segurança de e-mail

Clientes ACME: Não suporta nativamente S/MIME ou certificados de segurança de e-mail, concentra-se exclusivamente em SSL/TLS.

Fala com o KeyTalk: Inclui suporte robusto para emissão e implementação de certificados S/MIME. Automatiza a configuração de clientes de correio eletrónico seguros, como o Microsoft Outlook, melhorando a segurança do correio eletrónico empresarial com o mínimo de intervenção do utilizador.

Opções de implementação

Clientes ACME: Funciona principalmente através de clientes de código aberto implementados na infraestrutura do utilizador, com o apoio de várias CAs em todo o mundo.

Fala com o KeyTalk: Oferece implantação flexível como um dispositivo virtual no local ou na nuvem, ou como um serviço gerenciado hospedado. Os agentes são implementados diretamente nos terminais para permitir a gestão automatizada do ciclo de vida dos certificados.

Personalização e extensibilidade

Clientes ACME: Sendo um protocolo aberto, é extensível através de vários plugins de cliente e suportado por muitas CAs, permitindo que as organizações adaptem as implementações conforme necessário.

Fala com o KeyTalk: Fornece opções de personalização avançadas através de APIs e conectores personalizados, facilitando a integração profunda com sistemas empresariais e de IAM existentes. O seu design modular suporta a adaptação de funcionalidades para satisfazer os requisitos organizacionais.

Relatórios e monitorização

Clientes ACME: Normalmente, oferece recursos básicos de registro, cuja profundidade depende da implementação do cliente ou da infraestrutura da CA.

KeyTalk: Inclui painéis de controlo abrangentes, relatórios detalhados, integração syslog/SIEM, cópias de segurança encriptadas automatizadas e capacidades de identificação de dispositivos concebidas para monitorização e conformidade empresarial.

Casos de utilização

Clientes ACME: Mais adequado para automatizar o gerenciamento de certificados SSL/TLS em servidores da Web e aplicativos relacionados, ajudando a reduzir a sobrecarga manual e a mitigar os riscos de expiração de certificados.

KeyTalk: Suporta casos de utilização empresarial abrangentes, incluindo automatização de PKI, correio eletrónico seguro através de S/MIME, autenticação de dispositivos para acesso à rede (VPN/Wifi) e conformidade regulamentar através de relatórios e monitorização integrados.

Neutralidade do fornecedor

Clientes ACME: Não depende do fornecedor, é amplamente suportado pela maioria das Autoridades de Certificação e fornecedores de PKI.

KeyTalk: Além disso, é neutro em termos de fornecedor, compatível com várias CAs públicas e privadas, incluindo um servidor ACME integrado, suportando implementações empresariais flexíveis.

Licenciamento / Custo

Clientes ACME: Frequentemente acedidos através de clientes gratuitos e de código aberto; os custos dos certificados são definidos pelas AC participantes.

Agente KeyTalk: Um produto comercial que requer licenciamento para CKMS, agentes e emissão de certificados S/MIME. Disponível através de parceiros autorizados.

Support

Clientes ACME: O suporte é orientado pela comunidade ou fornecido por CAs individuais, que podem variar em capacidade de resposta e profundidade. A ACME geralmente conta com a comunidade ou com os canais de suporte fornecidos pelas ACs, que podem ser suficientes para muitas necessidades focadas na Web, mas podem não ter capacidade de resposta de nível empresarial.

Fala com o KeyTalk: Oferece suporte profissional de fornecedores e parceiros multilíngues, 24 horas por dia, 7 dias por semana, adaptado a ambientes empresariais complexos que exigem assistência consistente e de alto nível. Inclui suporte ACME completo para dispositivos terminais.

 

Conclusão

A gestão eficaz de certificados digitais é vital para manter a segurança e a fiabilidade da sua infraestrutura de TI. O suporte ACME completo no KeyTalk CKMS combina duas abordagens diferentes à automatização do ciclo de vida dos certificados – uma simplificada e centrada na Web, a outra abrangente e orientada para a empresa.

Ao compreenderem as suas funcionalidades, integrações e casos de utilização, as organizações podem beneficiar da melhor solução de ambos os mundos ao escolherem o KeyTalk CKMS.

 

Queres saber mais sobre como o KeyTalk pode ajudar a tua organização? Contacta-nos e teremos todo o gosto em discutir os desafios que enfrentas e as possíveis soluções que temos para oferecer.

A equipa do KeyTalk

 

 

Perguntas frequentes (FAQs)

Q1: A ACME pode gerir outros certificados para além de SSL/TLS?
Não, o ACME suporta principalmente certificados SSL/TLS para servidores Web e não lida nativamente com outros tipos, como S/MIME ou certificados de dispositivo.

Q2: O KeyTalk suporta a implementação na nuvem e no local?
Sim, o KeyTalk CKMS pode ser implementado como uma aplicação virtual no local ou na nuvem e está disponível como um serviço gerido alojado.

P3: A utilização dos clientes ACME é gratuita?
A maioria dos clientes ACME, como o Certbot, são de código aberto e gratuitos. No entanto, a obtenção de certificados de CAs pode incorrer em taxas, dependendo do fornecedor.

Q4: Como é que o KeyTalk se integra nos sistemas de identidade empresarial?
O KeyTalk integra-se com Entra ID, Active Diretory, LDAP, RADIUS e outras plataformas IAM para autenticar utilizadores e dispositivos durante a emissão e implementação de certificados.

Q5: Qual é a melhor solução para a segurança do correio eletrónico?
O KeyTalk Agent oferece um forte suporte para emissão e implementação de certificados S/MIME, tornando-o a escolha preferível para configurações de e-mail seguras.

Q6: Que riscos estão associados à gestão manual de certificados no ambiente atual?
A gestão manual de certificados aumenta as hipóteses de erro humano, como renovações falhadas ou implementações incorrectas, o que pode levar a certificados expirados, tempo de inatividade do serviço e vulnerabilidades de segurança. As soluções automatizadas ajudam a mitigar estes riscos, assegurando renovações atempadas e configurações consistentes.

Q7: É possível integrar o KeyTalk na infraestrutura de segurança empresarial existente?
Sim, o KeyTalk foi concebido para se integrar perfeitamente com sistemas de gestão de identidade e acesso empresariais, como Entra ID, Active Diretory, LDAP e RADIUS, bem como plataformas de gestão de dispositivos móveis e módulos de segurança de hardware, suportando um ecossistema de segurança coeso.