certEP | certLife | certACME | certPush | certBox | certMode
Zertifikatsverwaltung mit certLife
certLife ist ein Windows-Dienst für die Verwaltung des Zertifikatslebenszyklus innerhalb der Secardeo TOPKI-Plattform (Certificate Lifecycle Management). Alle Zertifikate einer PKI werden dabei effizient in einer zentralen SQL Datenbank gespeichert und verwaltet. Das certLife Web-Frontend dient dazu, zentrale Verwaltungsaufgaben durch einen Zertifikats-Manager durchführen zu können. Zudem bietet certLife einen komfortablen Self-Service für Benutzer und Server-Administratoren mittels Web-Browser.
Wie kann man Zertifikate einfach mit einem Browser verwalten?
certLife dient der rollenbasierten zentralen Verwaltung beliebiger Zertifikate für S/MIME, SSL, VPN etc. sowie SSH-Schlüssel in einer Zertifikatsdatenbank. Die Verwaltung der Zertifikate erfolgt bequem und übersichtlich mit einem Webbrowser.

Was sind die Vorteile der Verwaltung von Zertifikaten mit certLife?
Mit certLife können Zertifikate auf Basis von Windows-Zertifikatsvorlagen beantragt, erneuert, verteilt, wiederhergestellt oder widerrufen werden. certLife bietet zudem ein zentrales Autoenrollment als Alternative zum clientbasierten Windows-Zertifikats-Enrollment. Automatisierte Benachrichtigungen, z.B. vor Ablauf eines Zertifikats, sowie Statistiken über die Nutzung der Zertifikate erhöhen die Kontrolle.
certLife bietet direkte Verbindungen zu einer Vielzahl von CAs wie OpenXPKI, Dog-Tag und Managed PKI Services wie Digicert, SwissSign, AWS etc. Darüber hinaus bietet certLife eine komplette Zertifikatsverwaltung für eine Microsoft CA (ADCS).
certLife bietet auch erweiterte Funktionen wie die Verwaltung zusätzlicher Metadaten oder die Integration von Unternehmensanwendungen über die REST API.
Wann brauchen Sie einen Zertifikats-Self-Service?
Secardeo certLife bietet einen Zertifikats-Self-Service für Benutzer und Server-Administratoren. Die Zertifikatsoperationen auf der Web-GUI sind abhängig von der Windows-Authentifizierung (Kerberos) und den Rollen des Benutzers. Ein normaler Benutzer kann z.B. seine Zertifikate beantragen, erneuern, sperren oder wiederherstellen oder die komplette Schlüsselhistorie herunterladen. Er kann auch ein Zertifikat einschließlich des privaten Schlüssels an einen anderen Benutzer delegieren.
Ein Webserver-Administrator kann ein SSL/TLS-Zertifikat anfordern, indem er entweder einen auf seinem Server generierten CSR einfügt oder einfach die gewünschten Attribute mit wenigen Klicks auswählt und eine Schlüsselgenerierung und einen CSR durch certLife erzwingt. Der Administrator kann seine Zertifikate einfach verwalten oder auch an einen anderen Administrator delegieren. Er kann Zertifikate von externen CAs oder sogar private und öffentliche SSH-Schlüssel hochladen. Die gemeinsame Verwaltung von Serverzertifikaten in Gruppen ist ebenfalls möglich.

Unter Verwendung der Standardfunktionen von Windows-Zertifikatsvorlagen kann der Zertifikatsverwalter auch erforderliche Arbeitsschritte wie die Genehmigung von Zertifikatsanträgen definieren. Dies kann dann von einem Benutzer mit der Rolle Genehmigender durchgeführt werden.
Wie kann ein Benutzer auf jedem Computer Zugriff auf alle seine digitalen Zertifikate haben?
Ein Benutzer benötigt sein S/MIME-Zertifikat und seinen privaten Schlüssel auf allen seinen Windows-Arbeitsstationen. Um alte E-Mails zu entschlüsseln, benötigt er außerdem Zugriff auf seine abgelaufenen Zertifikate mit der kompletten Schlüsselhistorie. Mit der zusätzlichen Softwarekomponente certWin Client wird der lokale Windows-Zertifikatspeicher des angemeldeten Benutzers automatisch mit der kompletten Schlüsselhistorie aus dem zentralen TOPKI-Schlüsselarchiv via certLife REST API synchronisiert. Dies geschieht auch bei der Anmeldung an anderen Windows-Systemen, so dass der Benutzer unabhängig vom Arbeitsplatz immer Zugriff auf alle verschlüsselten E-Mails hat und ohne Aufwand neue E-Mails digital signieren und verschlüsseln kann.
Was ist ein Zertifikatslebenszyklus?
Ein digitales Zertifikat wird von einer Zertifizierungsstelle (CA) ausgestellt. Der Lebenszyklus eines digitalen Zertifikats ist in der Regel in drei Phasen unterteilt, von der Erstellung oder Registrierung des Zertifikats über die Verwendung des Zertifikats bis zu seiner Kündigung.
Jede Aufgabe während einer Phase kann je nach Zertifikatstyp, Zertifizierungsrichtlinie und individuellen Anforderungen variieren.

X.509-Zertifikatsregistrierung:
Lokale oder zentrale Erzeugung eines Paares aus öffentlichem und privatem Schlüssel – Einreichung einer Zertifikatsanforderung (CSR) bei der Registrierungsstelle (RA) – optionale Genehmigung der Anforderung durch den Betreiber der RA – Ausstellung des Zertifikats durch die ausstellende CA – verschlüsselte Schlüsselarchivierung – verschlüsselte Schlüsselverteilung – Veröffentlichung des Zertifikats
Verwendung von X.509-Zertifikaten:
Zertifikatsabruf aus dem Verzeichnis zur Verschlüsselung von Daten – Zertifikatskettenvalidierung (CRL oder OCSP) – Verwendung öffentlicher und privater Schlüssel zum Signieren, Verschlüsseln oder Entschlüsseln – Schlüsselwiederherstellung durch autorisierte Entschlüsselung
X.509-Zertifikatssperrung:
Zertifikatswiderruf durch CA – optionale Zertifikatsaussetzung durch CA – Zertifikatsablauf aufgrund des Parameters „nicht nach“ – Zertifikatserneuerung mit bestehendem oder neuem Schlüsselpaar