certEP

certBox | certEP | certMode

certEP – Autoenrollment mit einer non-Microsoft CA

Der Secardeo certEP Certificate Enrollment Proxy erlaubt die Zertifikatregistrierung (Certificate Enrollment) mit einer Non-Microsoft CA in einer Windows Domäne. Damit kann auch eine automatische Zertifikatverteilung (Certificate Autoenrollment) von X.509 Zertifikaten für Computer und Benutzer im Active Directory sowie für Netzwerkgeräte und Mobilgeräte durchgeführt werden. Es können nahezu beliebige CA-Produkte, Open Source CAs oder öffentliche Trustcenter zur Zertifikatverteilung angebunden werden. certEP dient als zuverlässige Basis für eine Managed PKI (MPKI).

Global vertrauenswürdige Zertifikate können von einer anerkannten öffentlichen CA automatisiert entsprechend deren Zertifikatsrichtlinie ausgestellt werden. Hierdurch kann die Sicherheit der PKI und die Nutzung bei der externen Kommunikation deutlich gesteigert werden. Die S/MIME Zertifikate inklusive der private PKI Schlüssel können mit Secardeo certMode und certPush automatisiert und sicher auf Mobilgeräte verteilt werden. Secardeo certEP unterstützt die manuelle Anforderung sowie die automatische Registrierung von Zertifikaten mit

  • Open Source PKI Software wie EJBCA, OpenXPKI, DogTag, OpenSSL,
  • Kommerzielle CA Server wie Nexus, IBM z/OS, Microsoft ADCS, Red Hat,
  • Cloud CA Services wie SwissSign, QuoVadis, D-Trust, HydrantID oder INSTA.

Zur Unterstützung weiterer CAs fragen Sie bitte bei uns an.

certEP Vorteile

  • Zertifikatverteilung mit CA Software oder SaaS Ihrer Wahl – Unabhängig von der Microsoft CA
  • Isolierung der CA aus dem Produktions-Netzwerk – Schutz vor fortgeschrittenen Bedrohungen
  • Unterstützung der Microsoft PKI Protokolle – keine Client-Softwareverteilung erforderlich
  • Nutzung von AD Gruppenrichtliniens (GPO) – bewährte Konfiguration im Active Directory
  • Hoher Automatisierungsgrad – Minimierung der PKI Betriebskosten
  • Nutzung eines etablierten Managed PKI Service – PKI ist innerhalb weniger Stunden einsatzfähig
  • Unterstützung einer Reihe von Zertifizierungsstellen über anpassbare Schnittstellen – Flexibilität für künftigen Wechsel des Zertifikatsanbieters
  • Lokale Schlüsselarchivierung mittels KRAs – Vollständige Kontrolle und Datenschutz für Ihre Private Keys
  • Autoenrollment von einer öffentlichen CA – global anerkannt S/MIME Zertifikate für Ihre Anwender

Certificate Enrollment Proxy Eigenschaften

Der certEP vermittelt zwischen den Windows Clients und der externen Zertifizierungsstelle. Der certEP agiert wie eine Windows Enterprise CA gegenüber den Windows Clients. Der Client wird über eine Group Policy automatisch aktiviert und er generiert eine Zertifikatanforderung (Certificate Request) basierend auf einer Zertifikatvorlage (Certificate Template) im Active Directory. Der certEP empfängt solche Zertifikatanforderungen mittels der Windows Protokolle und bearbeitet und transformiert diese, bevor er die Zertifikatanforderungen an die CA übermittelt. Er wirkt damit als PKI Registrierungsstelle oder Auto Enrollment Gateway.

Das bietet Ihnen folgende Eigenschaften:

  • Nahtlose Active Directory Integration
  • Verwendung von Standard- oder angepassten Zertifikatvorlagen
  • Nutzung von Gruppenrichtlinien (Group Policies, GPO) für Certificate Autoenrollment
  • Einsatz von kommerziellem CA Produkt, Open Source CA oder CA SaaS
  • Native Unterstützung für Windows 7-10, keine Client-Software erforderlich
  • manuelles oder automatisiertes Enrollment von User-, Computer- oder Service-Zertifikaten
  • Registrierung von anerkannten S/MIME Zertifikaten von öffentlichen CAs wie SwissSign oder QuoVadis
  • Autoenrollment für Netzwerk- und Mobilgeräte via SCEP
  • Web Enrollment via IIS
  • optionale Zertifikatverwaltung mit certEP Web GUI (Certificate Lifcycle Management)
  • Unterstützt Windows Zertifikate, iOS Zertifikate und Android Zertifikate
  • Ermöglicht die Integration mit allen wichtigen MDM Systemen
  • Automatische Zertifikaterneuerung (auto-renewal) für Windows Zertifikate
  • Schlüsselarchivierung lokal oder remote mittels Key Recovery Agents
  • Optional manuelle Freigabe von Zertifikatanforderungen
  • Automatische Verteilung von privaten Encryption Keys auf Mobilgeräte mit certMode/certPush
  • Audit und Benachrichtigung von Zertifikatsereignissen
  • Synchronisation von Revokationsdaten in das AD
  • Optionale Auto-Revokation und Auto-Modifikation mit certRevoke

certPush – Schlüssel rekonstruieren und verteilen

certPush ist eine Erweiterung für certEP oder eine Windows Enterprise CA. Mit certPush können X.509 Benutzer-Zertifikate und private Schlüssel einfach und sicher auf alle Geräte eines Benutzers in einem geschützten PFX (.P12) Container verteilt werden. Die Zertifikatverteilung kann automatisiert mittels sicherer E-Mail, z.B. für nicht-verwaltete Geräte, oder über ein MDM System für verwaltete Geräte erfolgen.

Die Benutzer- oder S/MIME-Zertifikate können dabei von einer internen Windows CA oder einer, über certEP angebundenen, öffentlichen CA wie SwissSign oder QuoVadis stammen. Ein Benutzer kann dann beispielsweise seine E-Mails auf seinem Smartphone ver- und entschlüsseln. certPush unterstützt die Rekonstruktion einzelner privater Schlüssel sowie die Massenrekonstruktion für viele Benutzer. Mit certPush kann man entweder nur das aktuelle Zertifikat samt privatem Schlüssel oder die gesamte Schlüsselhistorie rekonstruieren. certPush ermöglicht die automatische Verteilung von Benutzerschlüsseln auf alle Mobilgeräte im Unternehmen unter iOS, Android oder Windows Phone.

Zur automatischen Zertifikatverteilung für MDM-verwaltete iOS Geräte mit hoher Sicherheit und Ende-zu-Ende verschlüsselten Key Containern, kann der Secardeo certMode MDM Proxy verwendet werden. certPush dient hierfür als sicherer Key Recovery Service.

certRevoke – Auto-Revokation

Secardeo certRevoke ist ein Dienst zur automatischen Sperrung von Zertifikaten mit certEP oder einer Windows Enterprise CA. Sobald ein Active Directory Objekt verändert oder gelöscht wird sendet certRevoke eine Sperranforderung für alle zugehörigen Zertifikate an die CA. Die zu überwachenden Objektattribute und Organizational Units können dazu konfiguriert werden. Hierdurch kann eine automatische Neubeantragung von Zertifikaten ausgelöst werden, beispielsweise im Fall von Namens- oder Adressänderungen.