Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Zertifikate

Was ist Zertifikatsverwaltung? SSL-, TLS-Zertifikatsverwaltung?

Geschrieben vonArier Kumar 13 Minuten
Automatisierte Zertifikatserneuerung
Inhaltsverzeichnis

Digitale Zertifikate werden im Internet verwendet, um Benutzer beim Datenaustausch zu authentifizieren. Da jede legitime Website ein Zertifikat verwendet, ist die Zertifikatsverwaltung äußerst wichtig. Wird ein Zertifikat gestohlen und missbraucht, könnte sich ein Angreifer als eine andere, legitimere Quelle ausgeben und einen Benutzer über dessen Website mit Malware infizieren. Das Ablaufen eines Zertifikats kann zu einem Ausfall führen, wodurch ein Unternehmen potenzielle Kunden verliert. Dies sind nur einige Gründe, sich mehr über Zertifikatsverwaltung zu informieren.

Was ist Zertifikatsverwaltung?

Zertifikatsverwaltung umfasst die Überwachung, Verarbeitung und Ausführung aller Prozesse im Lebenszyklus eines Zertifikats. Sie ist für die Ausstellung, Erneuerung und Bereitstellung von Zertifikaten an Endpunkte (Server, Appliances, Geräte usw.) verantwortlich, um die unterbrechungsfreie Bereitstellung von Netzwerkdiensten zu gewährleisten. Die Zertifikatsverwaltung automatisiert außerdem Aufgaben (Ausstellung, Erneuerung usw.) und stellt den Echtzeitstatus der Netzwerkinfrastruktur bereit.

Die Zertifikatsverwaltung hilft bei der Verwaltung des Netzwerks, verhindert Unterbrechungen und Ausfallzeiten und ermöglicht gleichzeitig eine detaillierte Überwachung der gesamten Infrastruktur. Gute Zertifikatsverwaltungspläne sollten jedes Netzwerk bewältigen können, selbst solche mit Tausenden von Geräten. Läuft ein Zertifikat ab oder ist es falsch konfiguriert, kann es zu katastrophalen Ausfällen im gesamten Netzwerk kommen.

Was ist ein digitales Zertifikat?

Jede Diskussion über Zertifikatsverwaltung wäre unvollständig, ohne zu erklären, was ein digitales Zertifikat ist. Ein Zertifikat, auch bekannt als SSL / TLS Ein Zertifikat ist eine digitale Kennung für Benutzer, Geräte und andere Endpunkte innerhalb eines Netzwerks. Zertifikate sind mit einem öffentlichen/privaten Schlüsselpaar verknüpft und bestätigen, dass der öffentliche Schlüssel, der dem gültigen Zertifikat zugeordnet ist, vertrauenswürdig ist. Die Hauptaufgabe eines Zertifikats besteht darin, die Vertraulichkeit der über eine Verbindung zwischen Benutzer und Server gesendeten Daten zu gewährleisten. Dies geschieht durch die Ver- und Entschlüsselung der Daten während der Übertragung. Dies wird durch einen sogenannten SSL/TLS-Handshake erreicht.

TLS-Handshake

TLS-Handshake

Ein TLS-Handshake wird wie folgt ausgeführt:

  1. Hallo Kunde

    Das Client-Hello erfolgt, wenn der Client eine Kommunikationsanfrage an den Server sendet. Das Hello enthält die TLS-Version, die unterstützten Verschlüsselungssammlungen und eine Zeichenfolge aus zufälligen Bytes, die als „Client Random“ bezeichnet wird.

  2. Hallo Server

    Im Server-Hello bestätigt der Server das Client-Hello. Anschließend stellt er sicher, dass er eine TLS-Version verwendet, die mit der TLS-Version des Clients kompatibel ist, wählt aus den vom Client angebotenen Verschlüsselungssuiten eine kompatible aus und sendet sein Zertifikat, den Server-Random (ähnlich dem Client-Random) und den öffentlichen Schlüssel an den Client.

  3. Zertifikatsvalidierung

    Die Gültigkeit des Server-Zertifikats wird zunächst vom Client durch die Zertifizierungsstelle. Die Zertifizierungsstelle (CA) ist eine äußerst vertrauenswürdige Instanz, die für die Signierung und Generierung digitaler Zertifikate verantwortlich ist.

  4. Pre-Master-Saite

    Der Client verschlüsselt dann eine zufällige Bytefolge, den sogenannten „Pre-Master String“, mit dem öffentlichen Schlüssel des Servers und sendet ihn an den Server zurück. Dadurch wird sichergestellt, dass nur der Server den Schlüssel mit seinem eigenen privaten Schlüssel entschlüsseln kann, was eine zusätzliche Sicherheitsebene darstellt.

  5. Sitzungsschlüssel erstellen

    Der Server entschlüsselt den Premaster-Schlüssel und dann erstellen sowohl der Client als auch der Server Sitzungsschlüssel aus dem Client-Zufallsschlüssel, dem Server-Zufallsschlüssel und der Premaster-Zeichenfolge.

  6. Nachrichtenübermittlung abgeschlossen

    Client und Server senden sich dann gegenseitig Nachrichten, in denen sie die Fertigstellung ihrer Schlüssel bestätigen, und vergleichen diese miteinander. Stimmen die Sitzungsschlüssel überein, ist der TLS-Handshake abgeschlossen und die Sitzungsschlüssel werden zum Ver- und Entschlüsseln aller zwischen Server und Client gesendeten Daten verwendet.

Nach der Erstellung können Zertifikate zur Authentifizierung von Servern, Clients oder anderen Geräten verwendet werden. Zertifikate sind für einen bestimmten Zeitraum gültig und verfallen danach. Zertifikate durchlaufen einen konstanten Lebenszyklus, der Phasen wie Erstellung, Erneuerung, Aussetzung, Ablauf und mehr umfasst. Wenn Zertifikate ablaufen, wird dem Zertifikatsinhaber nicht mehr vertraut, was zu einem Dienstausfall für die verwendete Website oder das verwendete Gerät führt. Um ein Zertifikat zu erhalten, muss ein Benutzer oder eine Website zunächst eine Zertifizierungsstelle kontaktieren oder selbst eines signieren.

Zertifizierungsstellen

Zertifikate können entweder von einer vertrauenswürdigen Zertifizierungsstelle oder durch die eigene Signatur generiert werden. Zertifizierungsstellen (CAs) generieren Zertifikate für Benutzer, die für die TLS/SSL-Authentifizierung verwendet werden. Um sicherzustellen, dass eine Zertifizierungsstelle vertrauenswürdig ist, Kette des Vertrauens der CA kann bis zur Quell-CA zurückverfolgt werden. Eine Vertrauenskette ist eine Kette von Zertifikaten, die von vertrauenswürdigen CAs veröffentlicht werden und bis zur Stamm-CA zurückführen.

Um den Prozess zum Erwerb eines digitalen Zertifikats zu starten, muss der Antragsteller eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) an die Zertifizierungsstelle senden. Die CSR muss den öffentlichen Schlüssel eines vom Antragsteller erstellten Schlüsselpaars sowie Informationen zur Bestätigung seiner Identität, wie beispielsweise eine Sozialversicherungsnummer oder einen Führerschein, enthalten. Sobald die Identität des Antragstellers bestätigt wurde, wird das Zertifikat von der Zertifizierungsstelle signiert und zurückgesendet und kann zur Identifizierung des Antragstellers verwendet werden.

Die andere Möglichkeit, ein Zertifikat zu erhalten, besteht darin, selbst eines mit denselben Informationen zu erstellen und es anschließend selbst zu signieren. Diese Methode wird seltener verwendet, da die Identität des Unterzeichners nicht von anderen vertrauenswürdigen Zertifizierungsstellen überprüft werden kann, was das selbstsignierte Zertifikat verdächtig macht. Aus diesem Grund werden selbstsignierte Zertifikate von vielen nicht akzeptiert. Daher empfiehlt sich die Verwendung einer Zertifizierungsstelle zur Erstellung eines Zertifikats.

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Zertifikatslebenszyklus

Der Lebenszyklus eines Zertifikats besteht aus mehreren unterschiedlichen Phasen, die unten dargestellt sind.

  • Bewertung

    Die Erkennung ist die erste Phase des Zertifikatslebenszyklus. In der Erkennungsphase wird das Netzwerk auf fehlende, abgelaufene oder unbrauchbare Zertifikate überprüft. In dieser Phase wird auch sichergestellt, dass alle vorhandenen Zertifikate ordnungsgemäß bereitgestellt wurden. Zertifikate mit Sicherheitslücken und anderen Schwachstellen können ebenfalls erkannt und behoben oder ersetzt werden. Die verschiedenen Zertifikate werden in dieser Phase üblicherweise gemeinsam inventarisiert, um den Zertifikatsstatus zu verfolgen oder verwandte Zertifikatstypen zu gruppieren.

  • Erstellung/Einkauf

    In dieser Phase erstellt die Zertifizierungsstelle das Zertifikat selbst oder der Benutzer kauft ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle. Das Schlüsselpaar für das Zertifikat wird erstellt und der öffentliche Schlüssel, die Zertifikatssignatur (CSR) und die personenbezogenen Daten werden zur Zertifikatserstellung an die Zertifizierungsstelle gesendet. Wenn eine Organisation oder ein Benutzer keine Kette vertrauenswürdiger Zertifizierungsstellen hat oder keine erstellen möchte, wird ein Zertifikat gekauft, anstatt es zu erstellen.

  • Installation

    In dieser Phase wird das Zertifikat verteilt und am richtigen Ort installiert. In der Installationsphase werden alle Aspekte der Zertifikatskonfiguration überprüft, einschließlich der Schlüsselpaare, der Verschlüsselungssammlungen und der digitalen Signatur. Anschließend wird das Zertifikat auf dem entsprechenden Endpunkt installiert, für den es erstellt wurde, und die Authentifizierung dieses Endpunkts beginnt.

  • Speicherung

    Eine der wichtigsten Phasen im Lebenszyklus eines Zertifikats ist die Speicherphase. Zertifikate müssen für Angreifer zugänglich, aber nicht wiederverwendbar sein. Daher müssen sie an einem sicheren und zentralen Ort aufbewahrt werden. In der Speicherphase können die Zertifikate auch in Gruppen inventarisiert werden, sofern dies nicht bereits in der Erkennungsphase erfolgt ist.

  • Betreuung und Beaufsichtigung

    Dies ist die längste Phase, in der die Zertifikate während ihres gesamten Ablaufzeitraums überwacht werden. Sobald das Ablaufdatum erreicht ist oder manchmal auch kurz davor, erneuern bestimmte Zertifikatsverwaltungssysteme die Zertifikate automatisch. Wenn keine automatischen Zertifikatsverwaltungssysteme verwendet werden, muss ein Systemadministrator die Zertifikate des Netzwerks überwachen und jedes Zertifikat, das sein Ablaufdatum erreicht, erneuern, widerrufen oder ersetzen.

    Sowohl die manuelle als auch die automatische Überwachung bieten Vorteile, die im nächsten Abschnitt ausführlich erläutert werden. Zwei wichtige Vorteile stechen jedoch deutlich hervor. Der größte Vorteil der manuellen Überwachung besteht darin, dass der Monitor bei unerwarteten Problemen in Echtzeit reagieren kann, während ein automatisches System nicht weiß, was zu tun ist. Der größte Vorteil einer automatischen Überwachung besteht darin, dass Zertifikatserneuerungen, -sperrungen usw. nicht vergessen werden, was passieren kann, wenn ein Mensch die Zertifikate jahrelang überwacht.

  • Erneuerung

    Der Erneuerungsprozess von Zertifikaten beginnt, sobald die Gültigkeit des Zertifikats abgelaufen ist. Sobald der Benutzer oder automatisierte Systeme die Erneuerung des Zertifikats beschließen, wird eine CSR an die ursprünglich ausstellende Zertifizierungsstelle gesendet, um das Zertifikat erneuern zu lassen. Der Prozess läuft wie bei der ursprünglichen Zertifikatserstellung ab, jedoch deutlich schneller.

  • Widerruf

    Wenn die ausstellende Zertifizierungsstelle außer Betrieb gesetzt wurde, ein Zertifikat missbraucht wird oder eine Vielzahl anderer Gründe vorliegen, kann ein Zertifikat widerrufen werden. Nach dem Widerruf wird das Zertifikat auf eine Zertifikatssperrliste (Certificate Revocation List, CRL) gesetzt, sofern eine solche verwendet wird. Eine CRL ist eine Liste von Zertifikaten, die von der Zertifizierungsstelle widerrufen wurden und denen nicht mehr vertraut werden sollte. Befindet sich das Zertifikat einer ausstellenden Zertifizierungsstelle auf einer CRL, kann diese Zertifizierungsstelle nicht in einer Vertrauenskette für andere Zertifizierungsstellen oder Zertifikate verwendet werden. Ein Nachteil der Verwendung von CRLs besteht darin, dass widerrufene Zertifikate nur regelmäßig veröffentlicht werden, nicht bei jedem Widerruf. Dies bedeutet, dass ein Benutzer sein Zertifikat bei seiner ausstellenden Zertifizierungsstelle erneuern könnte, obwohl es vor wenigen Stunden wegen unrechtmäßiger Verwendung widerrufen wurde.

  • Ersatz

    Wird das Zertifikat einer Zertifizierungsstelle widerrufen oder möchte der Zertifikatsinhaber von kostenpflichtigen Zertifikaten auf eine eigene Public Key Infrastructure umsteigen, erfolgt die Ersetzungsphase. Dies kommt seltener vor, da es einfacher ist, ein Zertifikat einfach bei der ursprünglich ausstellenden Zertifizierungsstelle zu erneuern.

    Der Lebenszyklus eines Zertifikats ist nicht in Stein gemeißelt. Verschiedene Organisationen haben unterschiedliche Phasen, kombinieren Phasen oder lassen ganze Phasen ganz weg. Solange die Zertifikate erkannt, erstellt, gespeichert, überwacht und erneuert werden, handelt es sich um einen Zertifikatslebenszyklus.

Manuelle vs. automatisierte Infrastruktur

Einer der wichtigsten Bestandteile der Datensicherheitsrichtlinien eines Unternehmens ist die im Unternehmen implementierte Infrastruktur zur Zertifikatsverwaltung. Bei einer manuellen Infrastruktur erstellt ein Mitarbeiter eine Tabelle, um Gültigkeitsdauer, Richtlinien, Widerrufe und Konfigurationsdaten aller Zertifikate im Unternehmen zu erfassen. Diese Methode eignet sich für kleinere Unternehmen mit einer Infrastruktur, die nur wenige Zertifikate verarbeitet. Viele größere Unternehmen verfügen jedoch über Tausende von Zertifikaten, sodass manuelle Infrastrukturen zu kompliziert sind. Alternativ kann eine automatisierte Infrastruktur für den Zertifikatslebenszyklus eingerichtet werden, was die gängigere Methode ist. Die folgende Tabelle zeigt die Unterschiede zwischen manuellen und automatisierten Infrastrukturen zur Zertifikatsverwaltung.

Handbuch Infrastruktur Automatisierte Infrastruktur
Lebenszyklusphasen

Die Abwicklung erfolgt über eine Tabellenkalkulation und einen Benutzer, der alle Zertifikate innerhalb der Organisation im Auge behält

Optimiert und automatisch abgewickelt; Zertifikate werden bei Bedarf erneuert/ersetzt/widerrufen

Betriebskosten

Kostet viele Arbeitsstunden

Geringere Kosten und kein Arbeitsaufwand

Sicherheit

Muss vom zuständigen Mitarbeiter ständig überwacht werden, um sicherzustellen, dass die Zertifikate nicht ablaufen

Wird ständig durch die in der Infrastruktur installierte Software überwacht, was eine schnelle Erneuerung oder einen Austausch von Zertifikaten ermöglicht

Umsetzung

Einfach und schnell zu implementieren; es wird nur eine Tabellenkalkulation benötigt

Die Software muss korrekt implementiert sein, sonst werden die Zertifikate nicht korrekt überwacht

Aus diesen und weiteren Gründen werden automatisierte Zertifikatslebenszyklus-Managementsysteme eingesetzt in Public-Key-Infrastrukturen.

Die Bedeutung des Zertifikatsmanagements

Einer der wichtigsten Gründe für ein leistungsstarkes, automatisiertes Zertifikatsverwaltungssystem ist die Nutzung einer eigenen Public Key Infrastructure (PKI). Eine PKI ist eine Infrastruktur zur Authentifizierung von Benutzern anhand digitaler Zertifikate. PKIs können auch die Kommunikation verschlüsseln. Die gängigste PKI ist TLS/SSL, die sowohl symmetrische als auch asymmetrische Verschlüsselung zur Sicherung von Verbindungen zwischen zwei Benutzern nutzt. Das Kernvertrauen einer PKI beruht auf den zwischen beiden Seiten der Verbindung ausgetauschten Zertifikaten. Die meisten PKIs verwenden eine zweischichtige Architektur mit einer Stammzertifizierungsstelle und einer ausstellenden Zertifizierungsstelle.

Die Root-CA ist eine offline betriebene Zertifizierungsstelle, die ein Zertifikat für die online ausstellende CA erstellt. Dadurch entsteht eine Vertrauenskette mit allen von der ausstellenden CA ausgestellten Zertifikaten, da die Root-CA offline betrieben wird und somit vor böswilligen Absichten geschützt ist. Ausstellende CAs verteilen Zertifikate für Endbenutzer und Geräte. Die weniger verbreitete dreistufige Architektur einer PKI umfasst eine Zwischen-CA zwischen der Root- und der ausstellenden CA, die als Vermittler zwischen Root- und ausstellender CA fungiert.

Der Grund, warum PKIs hauptsächlich automatisiertes Zertifikatsmanagement nutzen, liegt darin, dass es sicherer ist, eine PKI einmal korrekt zu erstellen und die Zertifikate anschließend von automatisierten Diensten aktualisieren zu lassen. Dies reduziert die Kosten für das Unternehmen, den Arbeitsaufwand für die Aufrechterhaltung der PKI und menschliche Fehler. Da so viele Unternehmen ihre eigene PKI erstellen, ist ein ordnungsgemäßes Zertifikatsmanagement ein zentraler Bestandteil der Sicherheitsstrategie jedes Unternehmens.

Ein weiterer Grund für die hohe Bedeutung des Zertifikatsmanagements ist die Notwendigkeit, dass jedes Gerät und jeder Benutzer, der mit dem Internet verbunden ist, über ein digitales Zertifikat verfügt. Sobald sich ein Benutzer oder ein Gerät mit einer Website verbindet, wird die Authentizität seines digitalen Zertifikats zusammen mit dem Zertifikat der Website überprüft. Mit einer starken Vertrauenskette und einem gültigen Zertifikat können Sie überall im Internet surfen.  

Ein Zertifikat ist jedoch ungültig oder abgelaufen, wenn der Nutzer oder das Gerät, zu dem es gehört, die meisten Websites nicht aufrufen kann, da keine sichere Verbindung hergestellt werden kann. Dasselbe gilt für Website-Zertifikate. Ist das digitale Zertifikat ungültig, können Nutzer die Website nicht nutzen, weil sie Angst haben, sich Malware oder Viren einzufangen.

Ein weiterer Grund für ein starkes Zertifikatsmanagement besteht darin, Sicherheitsverletzungen in Unternehmen zu vermeiden. Würde ein Zertifikat in ein Netzwerk gelangen, obwohl es nicht vertrauenswürdige Zertifizierungsstellen in seiner Vertrauenskette hat, könnte der Inhaber dieses Zertifikats vertrauliche Daten stehlen oder Unternehmensdaten anderweitig für böswillige Zwecke missbrauchen. Werden die Zertifikate nicht ordnungsgemäß gespeichert, könnte ein Angreifer das Zertifikat stehlen und sich als legitimer Benutzer ausgeben und gleichzeitig vertrauliche Daten stehlen, ändern oder löschen.

Zertifikatsverwaltung

Verhindern Sie Zertifikatsausfälle, optimieren Sie IT-Vorgänge und erreichen Sie Agilität mit unserer Zertifikatsverwaltungslösung.

Demo buchen

Andere Zertifikatverwendungen

Es gibt eine Reihe weiterer Verwendungsmöglichkeiten für digitale Zertifikate, die unten aufgeführt sind.

  • Intranet-Portale
  • E-Commerce-Websites
  • VPNs
  • Kassensystem
  • Geräte für das Internet der Dinge
  • App-Entwicklung
  • Codesignatur
  • E-Mail-Signierung
  • SSH-Schlüsselverwaltung
  • Finanzdienstleistungen
  • Kundendienst-Websites
  • Cloud-Authentifizierung

Zertifikatsmanagement mit Verschlüsselungsberatung

Encryption Consulting bietet eine spezialisierte Lösung zur Verwaltung des Zertifikatslebenszyklus CertSecure ManagerVon der Erkennung und Bestandsaufnahme bis hin zu Ausstellung, Bereitstellung, Erneuerung, Widerruf und Berichterstellung. CertSecure bietet eine umfassende Lösung. Intelligente Berichterstellung, Warnmeldungen, Automatisierung, automatische Bereitstellung auf Servern und Zertifikatsregistrierung sorgen für zusätzliche Raffinesse und machen CertSecure zu einem vielseitigen und intelligenten Tool.

Entdecken

Weitere Themen