Zertifikatverwaltung ist der Prozess, über den Unternehmen den Lebenszyklus aller Zertifikate überwachen und verwalten, die im Netzwerk bereitgestellt sind.
Digitale Zertifikate bzw. „X.509-Zertifikate“ enthalten sämtliche Informationen, die zur Authentifizierung der Identität von Personen, Websites, Unternehmen usw. erforderlich sind. Digitale Zertifikate nutzen ein eindeutiges Paar aus privatem und öffentlichem Schlüssel, über das Informationen verifiziert werden, während sie das Netzwerk durchlaufen. Diese Zertifikate spielen eine entscheidende Rolle bei der Identifikation und Überprüfung der digitalen Kommunikation und der kommunizierenden Elemente.
Zwar mag die digitale Zertifizierung komplex erscheinen, doch in Wahrheit ist die Bereitstellung eines digitalen Zertifikats ein sehr simpler Prozess.
- Das Zertifikat wird von einer Zertifizierungsstelle (Certification Authority, CA) gekauft, die eine digitale Signatur bereitstellt.
- Das Zertifikat wird auf einem Endpunkt installiert, etwa einem Gerät, einem Server oder einer Website.
- Das Zertifikat funktioniert so lange, bis es abläuft.
- Entweder entzieht der Administrator das Zertifikat und kauft ein neues, oder er lässt es verlängern.
Zertifikate besitzen einen genau definierten Lebenszyklus: Sie werden ausgestellt, genutzt und laufen irgendwann ab oder werden deaktiviert. Insgesamt besteht der Lebenszyklus aus acht Schritten, die sich alle auf wichtige Prozesse im Zertifikatverwaltungssystem beziehen. Zwar müssen einige dieser Schritte in der Mitte des Zyklus nicht in der hier dargestellten Reihenfolge auftreten, doch jedes Zertifikat muss im Laufe seines Lebenszyklus sämtliche Schritte durchlaufen.
Wenn ein neues Zertifikat benötigt wird, müssen zunächst Verschlüsselungssammlungen konfiguriert werden, und ein privater Schlüssel muss erstellt werden. Dieser Prozess wird als Zertifikatsignaturanforderung (Certificate Signing Request, CSR) bezeichnet. Die CSR wird gesendet, empfangen und überprüft, und die Zertifizierungsstelle stellt ein neues Zertifikat aus.
Nachdem ein Zertifikat erworben wurde, wird es auf Endpunkten installiert, etwa auf Servern, in Anwendungen und auf Geräten. Es werden Zertifikatketten eingerichtet, und Stamm- und Zwischenzertifikate müssen korrekt konfiguriert werden, um Verwechslungen bei möglichen Zertifikaterneuerungen zu vermeiden.
Während der Erkennung wird das gesamte Netzwerk gescannt, um herauszufinden, wo sich die einzelnen Zertifikate befinden und ob sie korrekt bereitgestellt wurden. Ein Erkennungsscan schützt das System vor nicht behobenen, potenziell ausnutzbaren Schwachstellen, indem unbekannte Zertifikate im System identifiziert werden.
Erneuerung und Entzug von Zertifikaten werden vereinfacht, da sie in einem zentralen Bestand verwaltet werden. Auch die Verwaltung nach Teamstruktur wird erleichtert, da Zertifikate basierend darauf verwaltet werden können, wer sie verwendet.
Reporting und Monitoring sind aus zwei Gründen wichtig: Erstens erhalten Administratoren durch Berichte Informationen über Zertifikate und deren Status sowie schnelle Antworten auf wichtige Fragen, darunter: Welche Zertifikate müssen erneuert werden? Wie viele wurden bereits ausgestellt? Welche müssen ersetzt werden? Zweitens stellen Berichte und Überwachung sicher, dass es im System keine toten Winkel gibt. So können Administratoren ablaufende Zertifikate antizipieren und beheben, um Ausfälle proaktiv zu verhindern.
Die Lebensdauer von Zertifikaten ist begrenzt, und sie müssen regelmäßig von einer Zertifizierungsstelle erneuert werden, um gültig zu bleiben. Mithilfe von Zertifikatverwaltungstools, die Zertifikate automatisch zur Erneuerung an Zertifizierungsstellen senden, lässt sich dieser Prozess automatisieren.
Zertifikate müssen aus verschiedenen Gründen entzogen werden. Zum Beispiel kann eine Hash-Funktion veraltet sein, oder der Administrator will einen anderen Zertifikattyp implementieren. Ein entzogenes Zertifikat ist ungültig. Das ist wichtig, damit es nicht von böswilligen Dritten verwendet werden kann.
Die Public Key Infrastructure (PKI) ist eine der wichtigsten Methoden, um die Zertifikatverwaltung zu verstehen. Sie umfasst Rollen, Richtlinien, Mitarbeiter, Hardware, Software und Firmwaresysteme, die für sichere Verbindungen in privaten und öffentlichen Netzwerken erforderlich sind.
Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die beliebtesten PKI‑Typen. Sie nutzen ein hybrides Kryptosystem, das beide Arten von Verschlüsselungen verwendet: Ein Serverzertifikat nutzt ein asymmetrisches Paar aus privatem und öffentlichem Schlüssel, und der Sitzungsschlüssel, den der Server erstellt, ist symmetrisch.
Die Zertifizierungsstelle (CA) ist eine Drittpartei, die Endbenutzerschlüssel und -zertifikate bereitstellt. Sie verwaltet den Lebenszyklus, einschließlich Ausstellung, Ablauf, Entzug und Aktualisierung.
Stamm-CAs stellen die höchste Ebene der CA‑Hierarchie dar und bleiben zwecks Sicherheit stets offline. Damit ein Endpunktzertifikat als vertrauenswürdig gilt, muss die Stamm-CA in den Endpunkt, z. B. das Betriebssystem, die Plattform oder den Browser, eingebettet sein.
Der wichtigste Zweck einer untergeordneten Zertifizierungsstelle (CA) besteht darin, die Arten der angeforderten Zertifikate zu autorisieren und zu definieren. Diese CAs befinden sich zwischen Stamm-CA und Endpunktzertifikaten.
Diese Zertifikate werden auf Computern, Geräten, Servern oder Verschlüsselungshardware installiert.
Client-Anwendungen sind Endbenutzersoftware, die Zertifikate für elektronische Geschäfte anfordern und verwenden. Eine verwaltete PKI erfordert außerdem Services, die mit anderen Komponenten zusammenarbeiten, die Services für E‑Commerce-Anwendungen bereitstellen. Zu diesen Services gehören das Mitbringen des eigenen Geräts (Bring Your Own Device, BYOD), Code Signing, Zugriffsverwaltung, S/MIME-E‑Mail-Server, rechtsverbindliche elektronische Signaturen und automatische Registrierung.
Hiermit erhalten Unternehmen eine skalierbare Methode, um Zertifikate, Zertifikatentzugslisten und übergreifende Zertifikate zu speichern und an PKI und Endbenutzer zu verteilen. Diese Komponenten müssen aufgrund ihrer zentralen Position in der PKI äußerst reaktionsfähig sein.
Unternehmensprozesse erfordern heutzutage digitale Systeme, um zu funktionieren, vor allem da immer mehr Geräte miteinander vernetzt werden. Und jedes vernetzte System erfordert ein Zertifikat, damit es sicher funktioniert. Administratoren müssen gewährleisten können, dass keine unerwünschten Zertifikate im System vorhanden sind – mit manuellen Prozessen ist das oft nicht zu erreichen. Es gibt jedoch spezielle Verwaltungssysteme, die Unternehmen bei der Nachverfolgung von Zertifikaten unterstützen können. Sie melden, wenn Zertifikate abgelaufen sind oder kurz vor dem Ablauf stehen, sie identifizieren unbekannte Zertifikate, und sie fördern eine bessere und sicherere Kommunikation in den Unternehmensnetzwerken.
Einige der verheerendsten Sicherheitsverletzungen in der Geschichte waren entweder das Ergebnis abgelaufener Zertifikate, oder sie wurden durch abgelaufene Zertifikate noch verschlimmert. So blieb beispielsweise ein Verstoß gegen die Kreditauskunftei Equifax im Jahr 2017 fast drei Monate lang unentdeckt, weil ein abgelaufenes Zertifikat die ordnungsgemäße Überprüfung des Netzwerkverkehrs verhinderte. Dadurch wurden die persönlichen Daten von 147 Millionen Menschen offengelegt. Und Equifax ist nicht der einzige Fall: LinkedIn, Microsoft, Ericsson und kürzlich auch Google Voice haben es allesamt versäumt, ihre Zertifikate zu aktualisieren, und haben dafür erheblich gelitten.
Abgelaufene Zertifikate können zu ungeplanten Systemausfällen führen oder Lücken in Ihrer digitalen Sicherheit verursachen, über die Angreifer in Ihr Netzwerk eindringen können. Unternehmen, die ihre Zertifikate nicht im Griff haben, riskieren Serviceunterbrechungen, Rufschädigung, die Offenlegung vertraulicher Unternehmens- und Kundendaten sowie hohe Geldbußen und andere Strafen.
Es ist absolut wichtig, Zertifikate zu erneuern, bevor sie ablaufen. Da sich jedoch potenziell Tausende von Zertifikaten im Einsatz befinden, müssen Unternehmen Zertifikate bei mehreren Zertifizierungsstellen aktualisieren und erneuern und dabei die vorab geplanten Wartungsfenster einhalten, damit bei wichtigen Services keine Unterbrechungen auftreten – eine nahezu unmögliche Aufgabe. Und vielleicht noch problematischer ist die Tatsache, dass den Zertifikaten selbst wichtiger Kontext fehlt, mit dem Unternehmen kritische Zertifikate priorisieren, Serviceverantwortliche identifizieren oder feststellen können, welche Zertifikate erneuert werden müssen.
Um die rechtzeitige Erneuerung von Zertifikaten zu gewährleisten, brauchen Unternehmen einen zentralen und benutzerfreundlichen Zertifikatbestand. Mit ServiceNow erhalten sie genau das: Sie können vordefinierte ServiceNow-Konfigurationen und Transparenzmechanismen nutzen, um Zertifikate zu identifizieren und stets den Überblick über sämtliche Zertifikate im Unternehmen zu behalten.
Und Unternehmen können den Erneuerungsprozess weiter optimieren, indem sie fortschrittliche Automatisierung in Form von optimierten Workflows integrieren. So lassen sich Genehmigungen automatisch einholen, Aufgaben abzeichnen und abgelaufene Zertifikate effektiv bearbeiten. Das ServiceNow-Dashboard für Zertifikatverwaltung bietet auf einen Blick eine umfangreiche Zusammenfassung der gesamten Zertifikatlandschaft im Unternehmen.
Mit ServiceNow widmen Sie wichtigen Zertifikaten die nötige Aufmerksamkeit und minimieren das Risiko, dass durch abgelaufene Zertifikate Rufschädigungen oder Strafen entstehen.
Erkennen Sie Probleme, bevor sie entstehen, mit ServiceNow.