certEP | certLife | certACME | certPush | certBox | certMode
certEP – Autoenrollment mit einer non-Microsoft CA
Der Secardeo certEP Certificate Enrollment Proxy erlaubt die Zertifikatregistrierung (Certificate Enrollment) mit einer Non-Microsoft CA in einer Windows Domäne. Dies geschieht mit Standard-Protokollen und nativen Tools, ohne dass proprietäre Client Software verteilt werden muss. Damit kann auch eine automatische Zertifikatverteilung (Certificate Autoenrollment) von X.509 Zertifikaten für Computer und Benutzer im Active Directory sowie für Netzwerkgeräte und Mobilgeräte durchgeführt werden. Es können nahezu beliebige CA-Produkte, Open Source CAs oder öffentliche Trustcenter zur Zertifikatverteilung angebunden werden. certEP dient als zuverlässige Basis für eine Managed PKI (MPKI).
Global vertrauenswürdige Zertifikate können von einer anerkannten öffentlichen CA automatisiert entsprechend deren Zertifikatsrichtlinie ausgestellt werden. Hierdurch kann die Sicherheit der PKI und die Nutzung bei der externen Kommunikation deutlich gesteigert werden. Die S/MIME Zertifikate inklusive der privaten PKI Schlüssel können mit Secardeo certPush automatisiert und sicher auf Mobilgeräte verteilt werden. Secardeo certEP unterstützt die manuelle Anforderung sowie die automatische Registrierung von Zertifikaten mit
Open Source PKI Software wie EJBCA, OpenXPKI, DogTag, OpenSSL,
Kommerzielle CA Server wie Nexus, IBM z/OS, Microsoft ADCS, Red Hat,
Cloud CA Services wie AWS ACM-PCA, SwissSign, QuoVadis oder HydrantID .
Zur Unterstützung weiterer CAs fragen Sie bitte bei uns an.
certEP Vorteile
Zertifikatverteilung mit CA Software oder SaaS Ihrer Wahl – unabhängig von der Microsoft CA
Isolierung der CA aus dem Produktions-Netzwerk – Schutz vor fortgeschrittenen Bedrohungen
Unterstützung der Microsoft PKI Protokolle – keine Client-Softwareverteilung erforderlich
Nutzung von AD Gruppenrichtlinien (GPO) – bewährte Konfiguration im Active Directory
Hoher Automatisierungsgrad – Minimierung der PKI Betriebskosten
Nutzung eines etablierten Managed PKI Service – PKI ist innerhalb weniger Stunden einsatzfähig
Unterstützung einer Reihe von Zertifizierungsstellen über anpassbare Schnittstellen – Flexibilität für künftigen Wechsel des Zertifikatsanbieters
Lokale Schlüsselarchivierung mittels KRAs – vollständige Kontrolle und Datenschutz für Ihre Private Keys
Autoenrollment von einer öffentlichen CA – global anerkannte S/MIME Zertifikate für Ihre Anwender
Certificate Enrollment Proxy Eigenschaften
Der certEP vermittelt zwischen den Windows Clients und der externen Zertifizierungsstelle. Der certEP agiert wie eine Windows Enterprise CA gegenüber den Windows Clients. Der Client wird über eine Group Policy automatisch aktiviert und er generiert eine Zertifikatanforderung (Certificate Request) basierend auf einer Zertifikatvorlage (Certificate Template) im Active Directory. Der certEP empfängt solche Zertifikatanforderungen mittels der Windows Protokolle und bearbeitet und transformiert diese, bevor er die Zertifikatanforderungen an die CA übermittelt. Er wirkt damit als PKI Registrierungsstelle oder Auto Enrollment Gateway. Die Zertifikate und Schlüssel werden zuverlässig in einer SQL Datenbank gespeichert.
certEP bietet Ihnen folgende Eigenschaften:
Nahtlose Active Directory Integration
Verwendung von Standard- oder angepassten Zertifikatvorlagen
Nutzung von Gruppenrichtlinien (Group Policies, GPO) für Certificate Autoenrollment
Einsatz von kommerziellem CA Produkt, Open Source CA oder CA SaaS
Anbindung von mehreren CAs mit einer certEP Instanz
Native Unterstützung für Windows 7-10, keine Client-Software erforderlich
manuelles oder automatisiertes Enrollment von User-, Computer- oder Service-Zertifikaten
Registrierung von anerkannten S/MIME Zertifikaten von öffentlichen CAs wie SwissSign oder QuoVadis
Autoenrollment für Netzwerk- und Mobilgeräte via SCEP
Web Enrollment via IIS
HTTP Enrollment für non-domain Clients mittels CEP/CES
Cross-forest Certificate Enrollment
Unterstützt Zertifikate für Windows, iOS, Android, Linux, Web Server, etc.
Ermöglicht die Integration mit allen wichtigen MDM Systemen
Automatische Zertifikaterneuerung (auto-renewal) für Windows Zertifikate
Schlüsselarchivierung lokal oder remote mittels Key Recovery Agents
Optional manuelle Freigabe von Zertifikatanforderungen
Automatische Verteilung von privaten Encryption Keys auf Mobilgeräte mit certPush
Audit und Benachrichtigung von Zertifikatsereignissen
Synchronisation von Revokationsdaten in das AD
Unterstützung von Hardware Security Modules (HSM)
Optionale Auto-Revokation und Auto-Modifikation mit certRevoke
certRevoke – Auto-Revokation
Secardeo certRevoke ist ein Dienst zur automatischen Sperrung von Zertifikaten mit certEP oder einer Windows Enterprise CA.
Digitale Zertifikate können vor Ablauf ihrer Lebensdauer widerrufen werden. Dann wird der enthaltene öffentliche Schlüssel nicht mehr zur Verschlüsselung oder Authentifizierung akzeptiert. Dazu wird das Zertifikat in eine Zertifikatssperrliste gesetzt, die von der CA signiert ist, oder der zurückgegebene Status eines Online-Responders (OCSP) hat den Wert „revoziert“. Häufige Phänomene wie die Fluktuation von Mitarbeitern oder der Austausch von Geräten führen jedoch zu Situationen, in denen noch Hunderte oder Tausende von gültigen Zertifikaten vorhanden sind, aber das enthaltene Subjekt oder Objekt verschwunden ist. Ein anderes typisches Szenario besteht darin, dass sich Attribute eines AD-Objekts ändern. Zum Beispiel der Nachname und die E-Mail-Adresse eines Benutzers nach der Hochzeit oder Netzwerkadressen und Namen von Computern oder Servern.
Sobald ein Active Directory Objekt verändert oder gelöscht wird sendet certRevoke eine Sperranforderung für alle zugehörigen Zertifikate an die CA. Die zu überwachenden Objektattribute und Organizational Units können dazu konfiguriert werden. Hierdurch kann eine automatische Neubeantragung von Zertifikaten ausgelöst werden, beispielsweise im Fall von Namens- oder Adressänderungen. certRevoke unterstützt die automatische Sperrung für mehrere Windows-Zertifizierungsstellen oder certEP-Instanzen.