Alles, was Sie über PKI-as-a-Service (PKIaaS) wissen müssen

PKI-as-a-Service umfasst die Bereitstellung und Verwaltung einer Organisation Public-Key-Infrastruktur (PKI) auf einer Cloud-basierten Plattform. Dieser Service deckt den gesamten PKI-Lebenszyklus ab, von der Einrichtung einer Zertifizierungsstelle (CA) zum Ausstellen, Verwalten und Widerrufen von Endteilnehmerzertifikaten für Benutzergeräte oder -domänen.

Funktionen wie höhere Flexibilität, automatisierte Verfahren und geringerer Aufwand machen es Ihrem Unternehmen leicht, eine starke Authentifizierung einzurichten, Datenverschlüsselung, und Integritätskontrolle über alle digitalen Vermögenswerte hinweg und zur Sicherung sensibler Daten.

Lassen Sie uns die Bedeutung von PKI-as-a-Service verstehen, indem wir ein Szenario betrachten, in dem Ihre Organisation, ob klein oder groß, mit sensiblen Daten umgeht, wie PII (Persönliche identifizierbare Informationen, Persönliche Gesundheitsinformationen), PCI (Persönliche Karteninformationen). Um sicherzustellen, dass die Daten geschützt sind, muss die Organisation Folgendes sicherstellen:

1. Die Daten bleiben während der Übertragung im gesamten Netzwerk der Organisation unverändert und stellen eine sichere Verbindung zum Schutz der Identität des Benutzers her.
2. Ein Online-Webserver-Zertifikat (z. B. SSL / TLS Ein Zertifikat ist erforderlich, da die Organisation aus Sicherheitsgründen Geräte, Benutzer und interne Ressourcen authentifizieren muss, auf die innerhalb dieser Anwendung zugegriffen wird.
3. Gültige und sichere Serverzertifikate sind eine wichtige Compliance-Kontrolle zur Erfüllung gesetzlicher Anforderungen (z. B. NIST, FIPS) sowie PCI-DSS. (Weitere Informationen zur Bedeutung digitaler Zertifikate finden Sie hier Blog)
4. Die manuelle Verwaltung zahlreicher digitaler Zertifikate ist zeitaufwändig und fehleranfällig, was zur Notwendigkeit automatischer Prozesse für die Ausstellung, Erneuerung und Sperrung von Zertifikaten führt.

PKI-as-a-Service reduziert nicht nur die Kosten und Fehler, sondern bewältigt alle oben genannten Herausforderungen durch die Automatisierung des Zertifikatslebenszyklusprozesses von der Ausstellung bis zur Registrierung eines Zertifikats. Bevor wir uns weiter mit PKI-as-a-Service befassen, Lassen Sie uns das Konzept von PKI verstehen und wie es mit PKI-as-a-Service zusammenhängt.

Public-Key-Infrastruktur (PKI)

PKI stellt das digitale Zertifikat (z. B. SSL/TLS) aus, um die Datenkommunikation mit asymmetrischer Verschlüsselung zu authentifizieren, d. h. durch die Generierung X.509-Zertifikate mithilfe öffentlicher und privater Verschlüsselungsschlüssel. Diese Verschlüsselungsschlüssel ermöglichen eine Ende-zu-Ende-Verschlüsselung.

Die verschiedenen Komponenten der PKI sind:

1. Öffentliche und private Schlüssel

   Wie bereits erwähnt, werden öffentliche und private Schlüssel für die asymmetrische Verschlüsselung verwendet. Wenn ein Client vertrauliche Informationen erhalten muss, gibt er seinen öffentlichen Schlüssel an den Absender weiter, um die Daten zu verschlüsseln. Dieser Prozess stellt sicher, dass nur der vorgesehene Empfänger die Informationen mit seinem entsprechenden privaten Schlüssel entschlüsseln und darauf zugreifen kann.

2. Digitale Zertifikate

   Der private Schlüssel signiert die digitale ZertifikateDiese Zertifikate dienen nicht nur als Identität der Organisation, sondern bestätigen sie auch als rechtmäßigen Besitzer des zugehörigen öffentlichen Schlüssels.

3. Zertifizierungsstelle

   Die Zertifizierungsstelle signiert das digitale Zertifikat mit ihrem privaten Schlüssel und stellt es aus. Dies sind die Vertrauenszentren. Es gibt zwei Arten von CAs: die Stammzertifizierungsstelle und die ausstellende Zertifizierungsstelle.

   1. Stammzertifizierungsstelle
      • Die Zertifizierungsstelle der obersten Ebene legt die Grundlage für das Vertrauen in die PKI-Hierarchie.
      • Stellt Zertifikate für Zwischenzertifizierungsstellen aus und signiert sie.
      • Wird normalerweise in einer hochsicheren Offline-Umgebung verwaltet, um unbefugten Zugriff zu verhindern und langfristiges Vertrauen zu gewährleisten.
   2. Ausstellende Zertifizierungsstelle
      • Verarbeitet und signiert End-Entity-Zertifikatsanforderungen (z. B. SSL/TLS) vom MS CA-Proxy oder anderen Quellen.
      • Verwaltet den Lebenszyklus von Zertifikaten – stellt Zertifikate nach Bedarf für verschiedene Anwendungen aus, erneuert und widerruft sie.
      • Arbeitet online und ist für die täglichen Zertifikatsverwaltungsaktivitäten verantwortlich, um die fortlaufende Gültigkeit und Sicherheit der ausgestellten Zertifikate sicherzustellen.
4. Registrierungsstelle

   Die Registrierungsstelle fungiert als Brücke zwischen Benutzern und der Zertifizierungsstelle (CA). Sie überprüft zunächst die Identität der Antragsteller digitaler Zertifikate und leitet die validierten Anträge dann zur Ausstellung an die CA weiter.

Wählen Sie, was für Sie richtig ist – PKI oder PKIaaS?

Die oben genannten Komponenten werden zum Aufbau einer PKI verwendet, was für von PKI-as-a-Service ausgestellte Zertifikate ebenso wichtig ist wie für On-Prem-PKI.

Was also macht PKIaaS vorteilhafter als herkömmliche PKI-Lösungen?

Faktor	PKI-as-a-Service	Traditionelle PKI
Einsatz	Die Einrichtung erfolgt schnell und unkompliziert, wobei aus Sicht Ihres Unternehmens nur eine minimale Infrastruktur durch den Dienstanbieter erforderlich ist.	Die Bereitstellung erfordert viel Zeit, Fachwissen und Ressourcen und umfasst die Konfiguration von Hardware, Software und Netzwerk.
Verwaltung	Reduziert den Betriebsaufwand, da die Ausstellung, Erneuerung und Sperrung digitaler Zertifikate vom Dienstanbieter übernommen wird.	Der Betrieb wird intern verwaltet und erfordert dediziertes Personal für die laufenden Aufgaben und die Wartung digitaler Zertifikate.
Skalierbarkeit	Durch die Nutzung der Cloud-Infrastruktur passt sich der Dienst automatisch an Ihre Zertifikatsanforderungen an, wenn Ihr Unternehmen wächst oder schwankt.	Für die Skalierung sind zusätzliche Hardware, Softwarelizenzen und Konfigurationsänderungen erforderlich, was zeitaufwändig sein kann.
Kosten	Durch den Wegfall der Kosten für Hardwarekäufe, Softwareinstallationen und laufende Wartung werden die Betriebskosten erheblich gesenkt. (Encryption Consulting bietet ein Abonnementmodell an, wodurch die Vorabkosten minimiert werden.)	Herkömmliche PKI erfordert hohe Investitionen und Ressourcen für den Kauf von Hardware, die Installation von Software und laufende Verwaltungskosten.

PKI-as-a-Service ist die bevorzugte Wahl für Organisationen, die Wert auf Benutzerfreundlichkeit, Kosteneinsparungen und schnellere Bereitstellung legen.

Workflow von PKI-as-a-Service

Ausgehend vom Prozess der Initiierung der Zertifikatsignierungsanforderung Von der zentralen Koordination bis hin zur Ausstellung des digitalen Zertifikats interagieren eine Reihe von PKIaaS-Komponenten in den unten genannten Schritten:

1. Zertifikatsantragsteller starten

   Jede Organisation (Client) könnte digitale Zertifikate (z. B. SSL/TLS) unter Verwendung von Protokollen wie ACME, SCEP oder IntuneDer Prozess beginnt mit dem Senden der Zertifikatsanforderung an das Certificate Enrollment Gateway (CEG). Das CEG stellt mithilfe seines Client-Zertifikats eine sichere Verbindung mit dem Serverzertifikat des Certificate Authority Gateway (CAGW) her.

2. Bearbeitung der Anfrage

   Das auf einem Containersystem gehostete Certificate Authority Gateway (CAGW) empfängt Zertifikatsanforderungen und leitet sie wiederum über einen sicheren Zwischen- oder Proxyserver an eine oder mehrere geeignete verwaltete Zertifizierungsstellen weiter. Dadurch wird sichergestellt, dass alle Zertifikate gespeichert und verwaltet werden.

3. Verbindung zur ausstellenden CA

   Der Zwischen- oder Proxyserver fungiert als Brücke zwischen dem Certificate Authority Gateway (CAGW) und der designierten ausstellenden Zertifizierungsstelle innerhalb der PKI-Umgebung. Die Verbindung wird über Client- und Serverzertifikate (gehostet auf der Online-ausstellenden Zertifizierungsstelle) gesichert.

4. Zertifikatsausstellung

   Die ausstellende Zertifizierungsstelle stellt das End-Entity-Zertifikat gemäß der empfangenen Zertifikatsanforderung aus. Active Directory-Zertifikatdienst (ADCS).

5. Lieferung des Zertifikats

   Nach der Ausstellung des Zertifikats wird es über den MS CA Proxy an CAGW zurückgesendet. Anschließend sendet CAGW das nun signierte Zertifikat an CEG, das es an den angeforderten Client zurücksendet.

Auf diese Weise verarbeiten Server- und Client-Zertifikat jeden Schritt zwischen der Anforderungsinitiierung und der Übermittlung Ihrer Zertifikate an die End-to-End- PKI-Dienst (Public Key Infrastructure).

Funktionen von PKI-as-a-Service

PKI als Service (PKIaaS) bietet umfassende Funktionen zur Verwaltung digitaler Zertifikate und öffentlich-privater Schlüsselpaare und erhöht so die Sicherheit im gesamten Unternehmen. Die wichtigsten Funktionen von PKIaaS sind:

1. PKI-Infrastrukturmanagement
   • Vereinfachte und zentralisierte Konfigurationen der verwalteten PKI ermöglichen die einfache Bereitstellung von Zertifizierungsstellen (CAs), die an die Anforderungen der Organisation angepasst sind (z. B. optionale Trennung der Stamm-CAs).
   • Bewertet den gesamten Lebenszyklus von Root- und Issuing-CAs und stellt sicher, dass die Best Practices der Branche eingehalten werden (z. B. die Verwendung FIPS 140-2 HSM der Stufe 3 zur Sicherung der privaten Schlüssel von Zertifizierungsstellen (CAs) mit hoher Verfügbarkeit).
2. Sicherheit der Zertifizierungsstelle
   • Stellt sicher, dass Root-CA-Schlüssel (öffentlich-privates Schlüsselpaar) sicher und transparent für die Benutzer erstellt werden.
   • Automatisiert die Ausstellung und Erneuerung von Zertifikaten durch die Implementierung von Protokollen zur automatischen Registrierung, wie z. B. SCEP (Simple Certificate Enrollment Protocol), EST (Enrollment over Secure Transport) und ACME (Automatische Zertifikatsverwaltungsumgebung) und REST-APIs.
3. Richtlinien- und Compliance-Management
   • Definieren und Implementieren von Zertifikatsrichtlinien und -praktiken, wie z. B. Zertifikatsprofilen, Gültigkeitszeiträumen und Einschränkungen bei der Schlüsselverwendung, angepasst an die Sicherheitsanforderungen Ihres Unternehmens.
   • Sicherstellung der Einhaltung der regulatorischen Best Practices der Branche (z. B. NIST, FIPS, GDPS).
4. Integration und Automatisierung
   • Nutzen Sie RESTful-APIs, um PKI-Dienste mit anderen Anwendungen und Systemen in Ihrem Unternehmen zu integrieren und so die Zertifikatsverwaltung und -bereitstellung zu erleichtern.
   • Skripte und Tools zur Automatisierung der Zertifikatsausstellung und -verwaltung.

Anwendungsfälle

1. Unterstützte Protokolle

   Um den Prozess der Registrierung von Benutzern und Geräten für digitale Zertifikate zu automatisieren und gleichzeitig sicherzustellen, dass alle Sicherheitskontrollen in Ihrem Unternehmen ordnungsgemäß angewendet werden, sehen wir uns die unterstützten Protokolle an, die eine Automatisierung des Prozesses der Zertifikatregistrierung und -ausstellung gewährleisten:

   1. Automatisierte Zertifikatverwaltungsumgebung (ACME)
      • Dieses Protokoll automatisiert die Kommunikation zwischen Zertifizierungsstellen (CAs) und Clients, die die Ausstellung von Serverzertifikaten für eine Domäne anfordern.
      • Das Protokoll validiert den Domänenbesitz für die Zertifikatsanforderungen. Es umfasst typischerweise Herausforderungen wie HTTP-01 (Platzieren einer Datei auf dem Webserver) oder DNS-01 (Erstellen eines DNS-Eintrags), um die Domänenkontrolle nachzuweisen.
      • ACME-Clients und -Server kommunizieren über HTTPS, wodurch sichergestellt wird, dass der Zertifikatsverwaltungsprozess sicher und vor Manipulationen geschützt ist.
      • Durch die einfache Integration mit CA-Systemen wird die Verwaltung von SSL/TLS-Zertifikaten vereinfacht.
   2. Einfaches Zertifikatsregistrierungsprotokoll (SCEP)
      • SCEP automatisiert den Registrierungsprozess für digitale Zertifikate, reduziert den manuellen Aufwand und vereinfacht den Zertifikatsverwaltungsprozess für Geräte wie Router, Switches usw.
      • Das Protokoll implementiert sichere Methoden für Zertifikatsanforderungen und -ausstellungen, wie beispielsweise die Verwendung von PKCS#10 (Public-Key-Kryptografiestandards) für Zertifikatsanforderungen.
      • SCEP bietet Authentifizierungstools zur Gewährleistung gültiger Zertifikatsanforderungen. Es überprüft die Identität des anfordernden Geräts oder Benutzers, bevor ein Zertifikat ausgestellt wird.
      • SCEP ist für die effiziente Handhabung groß angelegter Bereitstellungen konzipiert und eignet sich daher für Umgebungen mit zahlreichen Geräten, die Zertifikate benötigen.
      • SCEP ist ein PKI-Kommunikationsprotokoll, das es Administratoren ermöglicht, automatisch und sicher Zertifikate für mobile Geräte auszustellen, die das Protokoll implementieren.
   3. WSTEP
      • Ein Windows-Registrierungsclient kann über den Certificate Enrollment Policy Web Service eine Verbindung zu einem Domänencontroller herstellen und Zertifikate von mehreren Zertifizierungsstellen (CAs) anfordern.
      • Digitale WSTEP-Zertifikate ermöglichen nur autorisierten Geräten den Zugriff auf bestimmte Dienste oder Netzwerkressourcen und verbessern so die allgemeine Sicherheit.
      • Sichere Kanäle und Verschlüsselung schützen vertrauliche Informationen, die während Zertifikatsregistrierung
2. Microsoft Intune Integration
   • Certificate Enrollment Gateway kann SCEP-Anfragen mit einer CSR (Certificate Signing Request) von Windows-Clients empfangen und die CSR zur Validierung an Intune senden. So steuern Sie den Benutzerzugriff auf Unternehmensressourcen und optimieren die App- und Geräteverwaltung auf Hunderten von Mobilgeräten, Desktops und virtuellen Endpunkten.
   • Verwalten Sie kryptografische Richtlinien/Algorithmen effektiv, um Vorschriften und Compliance einzuhalten.
   • Schnellere Ungültigkeitserklärung von Zertifikaten durch automatischen Widerruf in Intune, was zu einem besseren Notfallwiederherstellungsplan führt.
3. Endpunktauthentifizierung (UEM/MDM)
   • Stellen Sie sicher, dass die Zertifikate mit starken Sicherheitseinstellungen ausgestellt werden, sodass Sie die Verwendung und Gültigkeit der Zertifikate im Auge behalten können.
   • Das Protokoll bietet eine Benutzernamen- und Kennwortauthentifizierung.
   • Clients wie die Mobile Device Management (MDM)-Software müssen sich mit gültigen Anmelde- und Kennwortanmeldeinformationen beim Certificate Enrollment Gateway authentifizieren.
   • Diese Einstellung enthält untergeordnete Einstellungen zum Definieren von Benutzernamen- und Kennwortanmeldeinformationen, die Clients zur Authentifizierung beim Certificate Enrollment Gateway für das MDM-Protokoll verwenden.
   • Für das MDM-Protokoll muss der Benutzer mindestens einen Benutzernamen und ein Kennwort definieren.
   • Da nur autorisiertes Personal die Verwaltung vertraulicher Zertifikatsfunktionen zulassen sollte, sind eine granulare Zugriffskontrolle und rollenbasierte Berechtigungen wichtige Compliance-Kriterien (NIST, FIPS 140-2).
   • Eine granulare Zugriffskontrolle und rollenbasierte Berechtigungen sind für die Verwaltung sensibler Zertifikatsfunktionen unter Einhaltung der NIST- und FIPS-Konformität von entscheidender Bedeutung.
   • Nach der Bewertung der Integritätsprüfungen und Sicherheitspatch-Levels können Zertifikate ausgestellt werden.
4. S / MIME
   • Ende-zu-Ende-Verschlüsselung von E-Mail-Nachrichten.
   • Trennung der Signatur- und Verschlüsselungsfunktionalität, S/MIME-Zertifikate ermöglichen die gleichzeitige Nichtabstreitbarkeit beider Funktionen.
   • Schlüsselverlaufsverwaltung und automatische Sicherung sorgen für eine unterbrechungsfreie Speicherung kryptografischer Schlüssel.
   • Funktioniert mit mehreren Geräten und Betriebssystemen wie Windows, macOS, iOS und Android.
5. Verwaltete PKI
   • Sicheres Setup für Ihre Root-CA-Infrastruktur, das den ISO 27001-Standards entspricht und Ihre kryptografischen Assets schützt.
   • Behalten Sie die volle Kontrolle über Ihre privaten Schlüssel und gewährleisten Sie so eine vollständige Übersicht über Ihre digitalen Zertifikate und kryptografischen Vorgänge.
   • Private Schlüssel werden in FIPS 140-2 Level 3 zertifizierten Hardware-Sicherheitsmodule (HSMs) um unbefugten Zugriff oder Manipulation zu verhindern.
   • CRL (Certificate Revocation List) und OCSP (Online Certificate Status Protocol) Dienste zur Überprüfung der Gültigkeit und des Status von Zertifikaten, um das Vertrauen in Ihr PKI-Ökosystem aufrechtzuerhalten.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Warum Encryption Consulting LLC?

Stellen Sie PKI-as-a-Service in Ihrer Umgebung bereit.

Encryption Consulting bietet eine hochflexible, zuverlässige und sichere PKIaaS-Lösung Mit erhöhter Skalierbarkeit und konsistenten Supportfunktionen verbessern Sie die Verwaltung und Funktionalität digitaler Zertifikate in Ihrem Unternehmen. Hier ein kurzer Überblick über die wichtigsten Funktionen:

1. Anpassbare und skalierbare Lösungen
   • Flexible Integration: Wir erweitern ein maßgeschneidertes Framework entsprechend den spezifischen Sicherheitsanforderungen Ihres Unternehmens und verbessern mit seiner breiten Palette und umfassenden Unterstützung für verschiedene Zertifizierungsstellen (CAs) die Anpassungsfähigkeit.
   • Skalierbarkeit: Gleichen Sie das Wachstum von Zertifikaten und Benutzern aus, ohne die Leistung zu beeinträchtigen.
2. Konsistente Supportfunktionen
   • Hohe Sicherheit: Wir bieten starke Sicherheitsfunktionen von PKIaaS und gewährleisten die Einhaltung von Standards wie HIPAA, PCI-DSS und DSGVO. Es hilft bei der Kontrolle und Verwaltung von Zertifikatsrichtlinien (Risikominderung und Verbesserung der digitalen Sicherheit).
   • Stützverstärkung: Erhalten Sie bei allen alltäglichen Betriebsproblemen die notwendige Unterstützung und sorgen Sie so für einen reibungsloseren Betrieb.

Verschiedene Bereitstellungsmethoden:

Zur einfachen Bereitstellung in der Umgebung Ihres Unternehmens bieten wir die PKIaaS-Lösung zur Bereitstellung auf verschiedenen Plattformen an:

• OnPrem-PKI: Managed PKI wird innerhalb der Infrastruktur Ihres Unternehmens bereitgestellt. Das bedeutet, dass PKI-Komponenten wie Stamm- und ausstellende Zertifizierungsstellen (CA) auf einer lokalen Plattform gehostet werden.
• SaaS-PKI: Das PKI-Setup für die Lebenszyklusverwaltung von Zertifikaten kann auf der Cloud-basierten Plattform Ihres Unternehmens konfiguriert werden, um die Sicherheit zu verbessern und digitale Identitäten für die Benutzer einzurichten.
• PKIaaS: Automatisiertes Zertifikatslebenszyklusmanagement und benutzerdefinierte ManagedPKI, die von der Cloud-Umgebung von Encryption Consulting gehostet und verwaltet werden, mit der Flexibilität, die PKI basierend auf Ihren Domänen- und Sicherheitsanforderungen anzupassen.

Fazit

PKIaaS ist eine neue, leistungsstarke Version der traditionellen PKI-Lösung, die im eigenen Rechenzentrum gehostet wird. Unabhängig von der Größe Ihres Unternehmens verarbeitet jedes Unternehmen sensible Daten wie personenbezogene Daten (PII) und geschützte Gesundheitsinformationen (PHI). PKIs sind daher für eine sichere Kommunikation unerlässlich. PKIaaS erfüllt all diese Anforderungen durch die Bereitstellung einer Cloud-basierter Service das den gesamten Lebenszyklus von Zertifikaten verwaltet und Sicherheit, Compliance und Betriebseffizienz bietet.

Diese sichere und zugleich benutzerfreundliche Lösung optimiert Ihr Zertifikatsmanagement, erhöht Ihre Sicherheit und senkt gleichzeitig die Kosten. PKIaaS hat sich als ideale Lösung für Unternehmen erwiesen, die mit digitalen Sicherheits- und Compliance-Anforderungen konfrontiert sind. Sie bietet erweiterte Funktionen zur sicheren Speicherung von Zertifikaten und ermöglicht gleichzeitig eine sichere Kommunikation über alle Funktionsgrenzen hinweg.