Eine Public Key Infrastructure (PKI) stellt die grundlegenden Mechanismen bereit, die den Einsatz kryptografiebasierter Instrumente in großen Organisationen ermöglichen. In einer Microsoft-Umgebung ist der Aufbau einer Windows-PKI mit einer vollautomatisierten Zertifikatsverwaltung möglich. Das Ausstellen von Zertifikaten wird im Rahmen einer Certification Authority (CA) zum Beispiel beim Benutzerlogin angestoßen. Die Zertifikate können automatisch in das Active Directory (AD) publiziert werden, über Zertifikatsvorlagen können Schlüsselverwendungen und andere Erweiterungen definiert werden. Die Funktionen sind auf die Ausstellung durch eine interne Microsoft CA begrenzt.
Grenzen einer reinen Windows-PKI
Die Anwendungsgebiete der damit bereits gestellten Dienste sind daher naturgemäß auf den rein internen Bereich begrenzt (etwa WIFI-Verschlüsselung, VPN-Dienste, …). Der Einsatz vertrauenswürdiger Signaturen für E-Mails und Dokumente ist, wie auch die Verschlüsselung, in vielen Branchen bereits de-facto-Standard, in zahlreichen Fällen sogar gesetzlich vorgegeben. Die Nutzung der Dienste nach außen stößt hier insofern an ihre Grenzen, als Teilnehmer außerhalb der Windows-PKI dem Ausstellerzertifikat nicht automatisch vertrauen. Verschlüsselung ist so nicht ohne weiteres möglich, Empfänger signierter Nachrichten erhalten Fehlermeldungen.
Windows-PKI mit öffentlicher Zertifizierungsstelle
In Summe entsteht unnötiger Supportaufwand, der leicht vermeidbar wäre. Sobald der Austausch signierter oder verschlüsselter Informationen mit externen Partnern stattfinden soll, werden Zertifikate von einer öffentlich vertrauten CA – wie GLOBALTRUST – benötigt. Deren Stammzertifikat ist beim Empfänger in dessen Anwendung bereits vorinstalliert. Grundlage dafür sind besondere Audit- und Zulassungsverfahren, denen sich öffentliche CAs mit enormem Ressourcen- und Zeitaufwand unterziehen.
Grenzen einer öffentlichen Zertifizierungsstelle in der Windows-PKI
Zertifikate von öffentlichen CAs anzufordern erfordert aber auch Zertifikatsverwaltung und damit einen nicht zu unterschätzenden organisatorischen Aufwand – personell wie auch finanziell. Fehler bei der Verwaltung von Schlüsseln und Zertifikaten können massive Risiken darstellen und gravierende Schäden anrichten. Ein abgelaufenes Zertifikat könnte beispielsweise die Bankautomaten einer ganzen Bankenkette lahmlegen. Beantragen, installieren, austauschen, widerrufen: Was bei der Verwendung im zweistelligen Bereich keine Herausforderung darstellt, wird bei tausenden Mitarbeitern und Geräten schnell zur Überforderung und resultiert in abgelaufenen Zertifikaten, falsch hinterlegten Schlüsseln oder noch gültigen Zertifikaten von längst ausgeschiedenen Mitarbeitern. Am Markt kursierende Monitoring-Tools sind dieser Aufgabe in der Regel nur unzureichend gewachsen.
Vollautomatische Zertifikatsverwaltung: Windows-PKI mit einer non Microsoft-CA
Genau hier setzt das Produkt von Secardeo und GLOBALTRUST an. Die Lösung richtet sich an mittlere und große Organisationen. Inhaber eines GLOBALTRUST COMPANY Zertifikats lassen sich mithilfe des Secardeo certEP über eine Schnittstelle an unsere Zertifikatsausstellung anbinden. Der certEP übernimmt vollautomatisch die Zertifikatsverwaltung während des gesamten Lebenszyklus. Die privaten Schlüssel werden beim Nutzer erzeugt und nie an GLOBALTRUST offengelegt. Der certEP stellt lediglich eine Zertifikatsanforderung. So beantragt er Zertifikate für Personen, Dienste und Geräte, befördert Schlüsselmaterial zum Ziel und sorgt für eine rechtzeitige Erneuerung. Alle Funktion einer reinen Windows-PKI sind uneingeschränkt verfügbar (Zertifikatsvorlagen, Enrollment Agents, Rollentrennung, Key Recovery, …)
Eigenschaften der Zertifikate
Die Zertifikate sind als S/MIME-Zertifikate anzusehen. Sie können für E-Mail-Signatur, Verschlüsselung, Client-Authentifizierung, VPN, Verschlüsselung und digitale Signatur von Dateisystemen und Dokumenten verwendet werden.
Die Zertifikate sind unter den Voraussetzungen der eIDAS-VO geeignet, fortgeschrittene Signaturen zu produzieren.
Die Lösung ist als technisch ausgereift zu bezeichnen. Sie ermöglicht eine nahtlose Nutzung aller PKI-relevanten Sicherheitsmechanismen, kombiniert mit dem Vertrauensstatus einer öffentlichen CA. Im Vergleich zum Aufbau einer eigenen Lösung stellt das Produkt eine bewährte, hochsichere und kostengünstige Alternative dar.
Jetzt kostenloses Beratungsgespräch vereinbaren oder gleich Angebot anfordern – mit eIDAS-Bestpreisgarantie!
Das könnte Sie noch interessieren….
Fake-President-Fraud: Was tun gegen das Phänomen „Chefbetrug“?
Hoffentlich kennen Sie diese Begriffe nur aus der Theorie: Fake-President-Fraud, CEO-Fraud, „Präsidenten-Betrug“ ausgeführt in Form von „Business E-Mail Compromise“ (BEC). Sie alle beschreiben einen Klassiker der Internetkriminalität, der weltweit Schäden in Milliardenhöhe verursacht: erschlichene Transaktionen....
GLOBALTRUST holt mit Secardeo namhaften Experten für Windows-PKI ins Boot
Der österreichische Vertrauensdiensteanbieter GLOBALTRUST ist soeben eine Partnerschaft mit dem Windows-PKI Experten Secardeo eingegangen. Die Kooperation zielt darauf ab, die Verwaltung großer Mengen von öffentlich vertrauten Zertifikaten vollautomatisiert zu ermöglichen. GLOBALTRUST ist ein weltweit anerkannter...
Ab sofort: Mit GLOBALTRUST vollautomatisches Verschlüsseln und Signieren auch im Secure E-Mail Gateway von SEPPmail
Das mehrfach ausgezeichnete Secure E-Mail-Gateway von SEPPmail verfügt ab sofort über eine Schnittstelle zu GLOBALTRUST. Nutzern der beliebten Schweizer Lösung für E-Mail-Security bietet sich dadurch erstmals die Möglichkeit, Ihre Verschlüsselungs- und Signaturzertifikate von einem eIDAS-qualifizierten...
