certEP

certEP certLife | certACME | certPush | certBox | certMode

certEP – Autoenrollment mit einer non-Microsoft CA

Der Secardeo certEP Certificate Enrollment Proxy erlaubt die Zertifikatregistrierung (Certificate Enrollment) mit einer Non-Microsoft CA in einer Windows Domäne. Dies geschieht mit Standard-Protokollen und nativen Tools, ohne dass proprietäre Client Software verteilt werden muss. Damit kann auch eine automatische Zertifikatverteilung (Certificate Autoenrollment) von X.509 Zertifikaten für Computer und Benutzer im Active Directory sowie für Netzwerkgeräte und Mobilgeräte durchgeführt werden. Es können nahezu beliebige CA-Produkte, Open Source CAs oder öffentliche Trustcenter zur Zertifikatverteilung angebunden werden. certEP dient als zuverlässige Basis für eine Managed PKI (MPKI).

Global vertrauenswürdige Zertifikate können von einer anerkannten öffentlichen CA automatisiert entsprechend deren Zertifikatsrichtlinie ausgestellt werden. Hierdurch kann die Sicherheit der PKI und die Nutzung bei der externen Kommunikation deutlich gesteigert werden. Die S/MIME Zertifikate inklusive der privaten PKI Schlüssel können mit Secardeo certPush automatisiert und sicher auf Mobilgeräte verteilt werden. Secardeo certEP unterstützt die manuelle Anforderung sowie die automatische Registrierung von Zertifikaten mit

  • Open Source PKI Software wie EJBCA, OpenXPKI, DogTag, OpenSSL,
  • Kommerzielle CA Server wie Nexus, IBM z/OS, Microsoft ADCS, Red Hat,
  • Cloud CA Services wie AWS ACM-PCA, SwissSign, QuoVadis oder HydrantID .

Zur Unterstützung weiterer CAs fragen Sie bitte bei uns an.

certEP Vorteile

  • Zertifikatverteilung mit CA Software oder SaaS Ihrer Wahl – unabhängig von der Microsoft CA
  • Isolierung der CA aus dem Produktions-Netzwerk – Schutz vor fortgeschrittenen Bedrohungen
  • Unterstützung der Microsoft PKI Protokolle – keine Client-Softwareverteilung erforderlich
  • Nutzung von AD Gruppenrichtlinien (GPO) – bewährte Konfiguration im Active Directory
  • Hoher Automatisierungsgrad – Minimierung der PKI Betriebskosten
  • Nutzung eines etablierten Managed PKI Service – PKI ist innerhalb weniger Stunden einsatzfähig
  • Unterstützung einer Reihe von Zertifizierungsstellen über anpassbare Schnittstellen – Flexibilität für künftigen Wechsel des Zertifikatsanbieters
  • Lokale Schlüsselarchivierung mittels KRAs – vollständige Kontrolle und Datenschutz für Ihre Private Keys
  • Autoenrollment von einer öffentlichen CA – global anerkannte S/MIME Zertifikate für Ihre Anwender

Certificate Enrollment Proxy Eigenschaften

Der certEP vermittelt zwischen den Windows Clients und der externen Zertifizierungsstelle. Der certEP agiert wie eine Windows Enterprise CA gegenüber den Windows Clients. Der Client wird über eine Group Policy automatisch aktiviert und er generiert eine Zertifikatanforderung (Certificate Request) basierend auf einer Zertifikatvorlage (Certificate Template) im Active Directory. Der certEP empfängt solche Zertifikatanforderungen mittels der Windows Protokolle und bearbeitet und transformiert diese, bevor er die Zertifikatanforderungen an die CA übermittelt. Er wirkt damit als PKI Registrierungsstelle oder Auto Enrollment Gateway. Die Zertifikate und Schlüssel werden zuverlässig in einer SQL Datenbank gespeichert.

certEP bietet Ihnen folgende Eigenschaften:

  • Nahtlose Active Directory Integration
  • Verwendung von Standard- oder angepassten Zertifikatvorlagen
  • Nutzung von Gruppenrichtlinien (Group Policies, GPO) für Certificate Autoenrollment
  • Einsatz von kommerziellem CA Produkt, Open Source CA oder CA SaaS
  • Anbindung von mehreren CAs mit einer certEP Instanz
  • Native Unterstützung für Windows 7-10, keine Client-Software erforderlich
  • manuelles oder automatisiertes Enrollment von User-, Computer- oder Service-Zertifikaten
  • Registrierung von anerkannten S/MIME Zertifikaten von öffentlichen CAs wie SwissSign oder QuoVadis
  • Autoenrollment für Netzwerk- und Mobilgeräte via SCEP
  • Web Enrollment via IIS
  • HTTP Enrollment für non-domain Clients mittels CEP/CES
  • Cross-forest Certificate Enrollment
  • Unterstützt Zertifikate für Windows, iOS, Android, Linux, Web Server, etc.
  • Ermöglicht die Integration mit allen wichtigen MDM Systemen
  • Automatische Zertifikaterneuerung (auto-renewal) für Windows Zertifikate
  • Schlüsselarchivierung lokal oder remote mittels Key Recovery Agents
  • Optional manuelle Freigabe von Zertifikatanforderungen
  • Automatische Verteilung von privaten Encryption Keys auf Mobilgeräte mit certPush
  • Audit und Benachrichtigung von Zertifikatsereignissen
  • Synchronisation von Revokationsdaten in das AD
  • Unterstützung von Hardware Security Modules (HSM)
  • Optionale Auto-Revokation und Auto-Modifikation mit certRevoke

certRevoke – Auto-Revokation

Secardeo certRevoke ist ein Dienst zur automatischen Sperrung von Zertifikaten mit certEP oder einer Windows Enterprise CA.

Digitale Zertifikate können vor Ablauf ihrer Lebensdauer widerrufen werden. Dann wird der enthaltene öffentliche Schlüssel nicht mehr zur Verschlüsselung oder Authentifizierung akzeptiert. Dazu wird das Zertifikat in eine Zertifikatssperrliste gesetzt, die von der CA signiert ist, oder der zurückgegebene Status eines Online-Responders (OCSP) hat den Wert „revoziert“. Häufige Phänomene wie die Fluktuation von Mitarbeitern oder der Austausch von Geräten führen jedoch zu Situationen, in denen noch Hunderte oder Tausende von gültigen Zertifikaten vorhanden sind, aber das enthaltene Subjekt oder Objekt verschwunden ist. Ein anderes typisches Szenario besteht darin, dass sich Attribute eines AD-Objekts ändern. Zum Beispiel der Nachname und die E-Mail-Adresse eines Benutzers nach der Hochzeit oder Netzwerkadressen und Namen von Computern oder Servern.

Sobald ein Active Directory Objekt verändert oder gelöscht wird sendet certRevoke eine Sperranforderung für alle zugehörigen Zertifikate an die CA. Die zu überwachenden Objektattribute und Organizational Units können dazu konfiguriert werden. Hierdurch kann eine automatische Neubeantragung von Zertifikaten ausgelöst werden, beispielsweise im Fall von Namens- oder Adressänderungen. certRevoke unterstützt die automatische Sperrung für mehrere Windows-Zertifizierungsstellen oder certEP-Instanzen.