Certificaatbeheer, of Certificate Management, is het proces waarmee een organisatie de levenscyclus van alle certificaten in een netwerk controleert en beheert.
Digitale certificaten, ook wel X.509-certificaten genoemd, bevatten alle informatie die nodig is om de identiteit van personen, websites, organisaties en meer te verifiëren. Digitale certificaten maken gebruik van een uniek persoonlijk/openbaar sleutelpaar dat informatie verifieert terwijl deze binnen een netwerk wordt verplaatst en die essentieel zijn voor het identificeren en valideren van digitale communicatie en communicators.
Hoewel digitale certificering misschien wat ingewikkeld lijkt, is het gebruik van een digitaal certificaat in feite een heel eenvoudig proces.
- Het certificaat wordt aangeschaft bij de certificeringsinstance (CA), die een digitale handtekening verstrekt.
- Het certificaat wordt op het eindpunt geïnstalleerd, bijvoorbeeld op een apparaat, server of website.
- Het certificaat blijft daarna actief totdat het verloopt.
- De beheerder neemt het certificaat in en koopt een nieuw certificaat, of laat het certificaat verlengen.
Certificaten hebben een goed gedefinieerde levenscyclus: Ze worden uitgegeven, gebruikt en buiten gebruik gesteld. Ze hebben dus een specifieke 'levenscyclus'. Deze levenscyclus bestaat uit acht stappen, die allemaal betrekking hebben op essentiële processen met een certificaatbeheersysteem. Hoewel sommige van deze stappen die midden in de cyclus plaatsvinden, in een andere volgorde kunnen voorkomen dan hier wordt weergegeven, moet elk certificaat elk van deze stappen doorlopen gedurende de levensduur ervan.
Wanneer er een nieuw certificaat nodig is, moeten eerst coderingssuites worden geconfigureerd en moet er een persoonlijke sleutel worden gemaakt, in een proces dat de certificaatondertekeningsaanvraag (certificate signing request, CSR) wordt genoemd. De CSR wordt verzonden, ontvangen en geverifieerd en de certificeringsinstance zal vervolgens een nieuw certificaat uitgeven.
Zodra een certificaat is verkregen, wordt het geïnstalleerd op endpoints, zoals servers, toepassingen en apparaten. Certificaatketens worden ingesteld, en basiscertificaten en tussenliggende certificaten moeten correct worden geconfigureerd om verwarring tijdens mogelijke verlengingen te voorkomen.
Tijdens de detectiestap wordt het hele netwerk gescand om te bepalen waar elk certificaat zich bevindt en of het correct is geïmplementeerd. Een detectiescan helpt het systeem te beschermen tegen onopgelost, mogelijk misbruik van beveiligingslekken door vast te stellen of er ook onbekende certificaten aanwezig zijn.
Het verlengen en intrekken van certificaten is eenvoudiger wanneer ze in een centrale inventaris worden ingedeeld. Het is ook eenvoudiger wanneer certificaten worden beheerd op basis van de teamstructuur, afhankelijk van wie ze gebruikt.
Rapportage en controle zijn om twee redenen belangrijk: Ten eerste krijgen beheerders via rapportage informatie over certificaten en hun status, maar kunnen ze ook snel antwoord geven op belangrijke vragen. Welke certificaten moeten bijvoorbeeld worden verlengd? Hoeveel zijn er uitgegeven? Welke moeten worden vervangen? Ten tweede zorgt het ervoor dat het systeem geen dode hoeken heeft. Zo kunnen beheerders anticiperen op het verlopen van certificaten en deze herstellen, zodat uitval in het proces proactief wordt voorkomen.
Certificaten hebben een beperkte levensduur en moeten worden verlengd door een CA om geldig te blijven. Het proces kan worden geautomatiseerd door programma's voor certificaatbeheer, die automatisch certificaten naar CA's verzenden voor verlenging.
Er kunnen redenen zijn waarom een certificaat moet worden ingetrokken. Dergelijke redenen zijn: Een hash-functie is minder relevant geworden of een beheerder wil een ander type certificaat. Een ingetrokken certificaat wordt ongeldig, wat belangrijk is om te waarborgen dat een oud certificaat niet wordt gebruikt door kwaadwillende derden.
De Public Key Infrastructure (PKI) is een van de belangrijkste manieren om certificaatbeheer te begrijpen. PKI omvat de rollen, beleidsregels, mensen, hardware, software en firmwaresystemen die nodig zijn voor beveiligde verbindingen tussen particuliere en openbare netwerken.
Secure Sockets Layer (SSL) en Transport Layer Security (TLS) zijn de meest voorkomende typen van PKI. Beide maken gebruik van een hybride cryptosysteem dat ook beide soorten codering gebruikt. Het certificaat van een server heeft een asymmetrisch persoonlijk en openbaar paar. De sessiesleutel die de server maakt, is symmetrisch.
De certificeringsinstance is een derde partij die eindgebruikerssleutels en -certificaten levert. Ze beheren de levenscyclus, waaronder het genereren, verlopen, intrekken en bijwerken van de certificaten.
Dit is het hoogste niveau van de CA-hiërarchie. Basis-CA's worden veilig offline gehouden. Een eindentiteitscertificering kan alleen worden vertrouwd als de basiscertificeringsinstance is ingesloten in het besturingssysteem, het systeem, de browser of het eindpunt dat het certificaat valideert.
Het primaire doel van een onderliggende CA is het autoriseren en definiëren van de aangevraagde certificaattypen. De CA's bevinden zich tussen de basiscertificering en de certificering van de eindentiteit.
Dit zijn certificaten die zijn geïnstalleerd op computers, apparaten, servers en cryptografische hardware.
Clienttoepassing verwijst naar de software van de eindgebruiker die certificaten aanvraagt en gebruikt voor elektronische zaken. Een beheerde PKI heeft ook services nodig die werken met andere componenten, die services bieden die toepassingen van elektronische handel mogelijk maken. Dergelijke services omvatten het meenemen van uw eigen apparaat, codeondertekening, toegangsbeheer, S/MIME-e-mailservers, juridisch bindende elektronische handtekeningen en geautomatiseerde registratie.
Dit biedt een schaalbaar mechanisme voor het opslaan en distribueren van certificaten, intrekkingslijsten voor certificaten en kruiscertificaten naar PKI-eindgebruikers. Deze componenten moeten responsief zijn vanwege hun centrale positie in de PKI.
De bedrijfsprocessen moeten gebruikmaken van digitale systemen om te kunnen werken, met name omdat meer en meer apparaten worden verbonden. Elk verbonden systeem heeft een certificaat nodig om de beveiliging te kunnen gebruiken. Beheerders moeten ervoor kunnen zorgen dat er geen ongewenste certificaten zijn en dat het handmatig verwerken van processen vaak niet mogelijk is. Gespecialiseerde beheersystemen helpen bij het bijhouden van certificaten, het melden wanneer certificaten (bijna) zijn verlopen, het identificeren van onbekende certificaten en het bevorderen van betere en veiligere communicatie in de netwerken van een organisatie.
Bovendien waren enkele van de meest schadelijke beveiligingsschendingen in de geschiedenis het gevolg van verlopen certificaten of werden ze nog verder verergerd door verlopen certificaten. In 2017 bleek een schending bij kredietregistratie-agentschap Equifax bijna drie maanden onopgemerkt, omdat een verlopen certificaat een goede inspectie van het netwerkverkeer belemmerde. Dit heeft de persoonlijke gegevens van 147 miljoen mensen in gevaar gebracht. En Equifax is niet de enige; LinkedIn, Microsoft, Ericsson en, recent nog, Google Voice zijn allemaal getroffen omdat certificaten niet werden bijgewerkt.
Verlopen certificaten kunnen leiden tot ongeplande systeemuitval of tot gaten in uw digitale beveiliging waardoor bedreigingen toegang kunnen krijgen tot uw netwerk. Dit kan gemakkelijk leiden tot verstoorde service, reputatieschade, blootstelling aan gevoelige organisatorische en klantgegevens en hoge boetes en straffen voor bedrijven die hun certificaten laten verlopen.
Verlengen van certificaten voordat deze verlopen is absoluut noodzakelijk. Maar nu er mogelijk duizenden certificaten in het spel zijn, worden bedrijven geconfronteerd met de bijna onoverkomelijke taak om certificaten te upgraden en te verlengen met meerdere CA's, maar moeten ze zich houden aan vooraf geplande onderhoudsperioden om onderbreking van essentiële services te voorkomen. Misschien is het nog problematischer dat de certificaten zelf geen essentiële context hebben om organisaties te helpen bij het prioriteren van kritieke certificaten, het identificeren van service-eigenaren of zelfs het bepalen welke certificaten moeten worden verlengd.
Om ervoor te zorgen dat het certificaat op tijd wordt verlengd, hebben organisaties één centrale, gebruiksvriendelijke inventaris van certificaten nodig. ServiceNow maakt dit mogelijk; door gebruik te maken van bestaande ServiceNow-configuratie- en zichtbaarheidsmechanismen om certificaten te identificeren, kunnen bedrijven een duidelijk overzicht van al hun certificaten bijhouden, met weinig inspanning van hun kant.
Vervolgens kunnen organisaties het verlengingsproces optimaliseren door geavanceerde automatisering te integreren in workflows die zijn geoptimaliseerd voor formulieren, automatisch goedkeuring aanvragen, ondertekeningstaken uitvoeren en verlopen certificaten effectief aanpakken. Het ServiceNow Certificate Management-dashboard biedt bovendien een volledig overzicht van het volledige certificaatbeeld.
Met ServiceNow kunt u uw essentiële certificaten de aandacht geven die ze verdienen en het gevaar, reputatieschade en boetes die gepaard gaan met het laten verlopen van deze certificaten vermijden.
Met ServiceNow kunt u problemen voorzien voordat ze zich voordoen.