Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Education Center
    2. Certificaten

Wat is certificaatinschrijving en hoe wordt het gebruikt?

Posted byAditi Doel 10 Minuten
Een gebruiker vraagt ​​een digitaal (X.509) certificaat aan bij een certificeringsinstantie.
Inhoudsopgave

Certificaatinschrijving is het proces waarbij een entiteit, zoals een individu of een organisatie, een digitaal certificaat aanvraagt ​​en verkrijgt van een Certificate Authority (CA)Digitale certificaten worden gebruikt om communicatie te beveiligen en de identiteit van een server, client of gebruiker te verifiëren in verschillende beveiligde protocollen zoals SSL / TLS (voor het beveiligen van websites), S/MIME (voor het versleutelen en ondertekenen van e-mails) en meer.

Het primaire doel van certificaatinschrijving is het verkrijgen van een digitaal certificaat met een openbare sleutel en bijbehorende identiteitsgegevens (zoals de algemene naam, organisatie, enz.). De CA ondertekent het certificaat en creëert zo een vertrouwensrelatie tussen de openbare sleutel en de identiteit van de entiteit. Dit proces zorgt ervoor dat de identiteit van de entiteit wordt gevalideerd en dat de openbare sleutel veilig kan worden gebruikt voor encryptie, digitale ondertekening of andere cryptografische bewerkingen.

De volledige levenscyclus van certificaatinschrijving

  • Certificaatondertekeningsaanvraag (CSR)

    Om het certificaatinschrijvingsproces te starten, genereert de entiteit een Certificate Signing Request (CSR). De CSR bevat de openbare sleutel en informatie over de entiteit die in het certificaat moet worden opgenomen, zoals de domeinnaam voor SSL/TLS-certificaten of het e-mailadres voor S/MIME-certificaten.

  • Het CSR indienen bij de CA

    Het CSR wordt tijdens het inschrijvingsproces bij de CA ingediend. De CA verifieert de identiteit van de entiteit en de informatie in het CSR. De CA kan verschillende methoden gebruiken om de identiteit van de entiteit te verifiëren, zoals e-mailverificatie, domeinvalidatie of handmatige verificatie van juridische documenten.

  • Uitgifte van certificaten

    Zodra de CA het verificatieproces heeft voltooid en ervan overtuigd is dat de entiteit legitiem is, geeft deze een digitaal certificaat uit. Dit certificaat bevat de openbare sleutel van de entiteit, identiteitsgegevens, geldigheidsperiode en de digitale handtekening van de CA.

  • Certificaatlevering

    Het uitgegeven certificaat wordt teruggestuurd naar de entiteit. Afhankelijk van de CA en het certificaattype kan de levering plaatsvinden via e-mail, een beveiligde portal of andere methoden.

  • Certificaat installatie

    De entiteit moet het uitgegeven certificaat installeren op de juiste server of het juiste apparaat waar het gebruikt zal worden. Bij SSL/TLS wordt het certificaat bijvoorbeeld op de webserver geïnstalleerd om de verbindingen van de website te beveiligen.

  • Certificaatgebruik

    Na installatie is het certificaat klaar voor beveiligde communicatieprotocollen. Klanten, gebruikers of andere entiteiten die met de certificaathouder communiceren, kunnen de authenticiteit van het certificaat verifiëren via de digitale handtekening van de CA, wat een veilige en betrouwbare verbinding garandeert.

  • Certificaat vernieuwing

    Certificaten hebben een beperkte geldigheidsduur (meestal 1-2 jaar). Vóór de vervaldatum moet de entiteit het certificaat via een vergelijkbaar inschrijvingsproces verlengen om het zonder onderbreking te kunnen blijven gebruiken.

Certificaatlevenscyclusbeheer

Methoden voor certificaatinschrijving

Er zijn verschillende methoden voor certificaatinschrijving, elk afgestemd op verschillende use cases en omgevingen. Deze methoden vergemakkelijken het verkrijgen van digitale certificaten van CA's voor het beveiligen van communicatie en het verifiëren van de identiteit van entiteiten. Hier zijn enkele veelgebruikte methoden voor certificaatinschrijving:

  1. Handmatige inschrijving

    Handmatige registratie is een traditionele methode waarbij de entiteit een Certificate Signing Request (CSR) genereert met behulp van software of tools van de server of het apparaat waarop het certificaat wordt geïnstalleerd. De entiteit dient de CSR vervolgens handmatig in bij de CA voor validatie en uitgifte. Deze methode wordt vaak gebruikt voor het verkrijgen van SSL/TLS-certificaten voor webservers.

  2. Automatische inschrijving

    Automatische inschrijving, ook wel auto-inschrijving of certificaatauto-inschrijving genoemd, stroomlijnt het certificaatuitgifteproces door verschillende stappen te automatiseren. Dit is met name handig in grootschalige omgevingen met meerdere apparaten of gebruikers. Er zijn verschillende methoden voor automatische inschrijving.

    • Active Directory-certificaatservices (ADCS)

      In Microsoft Windows-omgevingen biedt AD CS een functie voor automatische inschrijving genaamd 'Certificate Services Client – ​​Automatische inschrijving'. Hiermee kunnen apparaten en gebruikers binnen het Active Directory-domein automatisch certificaten aanvragen en ontvangen op basis van vooraf gedefinieerde certificaatsjablonen en groepsbeleidsinstellingen.

    • Eenvoudig certificaatinschrijvingsprotocol (SCEP)

      SCEP is een protocol dat veel wordt gebruikt in netwerkomgevingen, zoals routers, switches en firewalls. Het stelt deze apparaten in staat om automatisch digitale certificaten aan te vragen en te verkrijgen bij een CA. SCEP vereenvoudigt de certificaatinschrijving voor apparaten die mogelijk geen traditionele gebruikersinterface hebben.

    • Inschrijving voor Mobile Device Management (MDM)

      In de context van mobiele apparaten bevatten MDM-oplossingen vaak ingebouwde functies voor certificaatregistratie. MDM-platformen kunnen het registratieproces voor het beveiligen van mobiele communicatie, e-mail en VPN-verbindingen vergemakkelijken.

    • Online Certificaatinschrijvingsprotocol (OCEP)

      OCEP is een internetconcept dat een standaardprotocol schetst voor certificaatinschrijving met behulp van HTTP-gebaseerde communicatie. OCEP vereenvoudigt certificaatinschrijving en bevordert de interoperabiliteit tussen CA's en inschrijvingsclients.

    • Public Key Infrastructure met behulp van X.509 (PKIX)

      PKIX is een breed geaccepteerde standaard die het raamwerk definieert voor het beheer van digitale certificaten en de bijbehorende componenten. Het omvat standaarden voor certificaatinschrijving, -intrekking en -validatieprocessen. X.509 is het formaat dat wordt gebruikt voor het coderen van certificaten.

Protocollen voor certificaatinschrijving

Certificaatinschrijving omvat het gebruik van verschillende protocollen om de veilige uitwisseling van certificaatgerelateerde informatie tussen de entiteit die het certificaat aanvraagt ​​en de certificeringsinstantie (CA) die het certificaat uitgeeft, te vergemakkelijken. Deze protocollen waarborgen de vertrouwelijkheid, integriteit en authenticiteit van het inschrijvingsproces. Hier zijn enkele veelgebruikte protocollen voor certificaatinschrijving:

  1. SCEP

    SCEP, wat staat voor Simple Certificate Enrollment Protocol, is een open-source certificaatbeheerprotocol dat het uitgeven van certificaten eenvoudiger, schaalbaarder en veiliger maakt.

    • Het werkt op basis van een aanvraag-/antwoordmodel met HTTP en ondersteunt RSA-gebaseerde cryptografie.
    • Het certificaatondertekeningsverzoek (CSR) moet een 'challenge-wachtwoord' bevatten dat wordt gedeeld tussen de server en de aanvrager, waardoor de authenticatie wordt verbeterd.
    • SCEP ondersteunt geen online intrekking van certificaten en biedt beperkte ondersteuning voor het ophalen van Certificate Revocation Lists (CRL's).

    1.1 Workflow van het SCEP-protocol

      De SCEP-inschrijving en het SCEP-gebruik volgen over het algemeen deze workflow:

    • Verkrijg en valideer een kopie van het CA-certificaat.
    • Genereer een CSR en stuur deze naar CA.
    • Controleer bij de SCEP-server of het certificaat is ondertekend.
    • Schrijf u opnieuw in om nieuwe certificaten te verkrijgen voordat het bestaande certificaat verloopt.
    • De voorkeursmethode is via een CRL-distributiepuntquery (CDP).
    • Haal de CRL op indien nodig.

    1.2 De voordelen van het SCEP-protocol begrijpen

    • Certificaten verkrijgen voor openbare sleutelinfrastructuur omvat het uitwisselen van informatie en goedkeuringen met een vertrouwde certificeringsinstantie.
    • SCEP automatiseert dit proces, waardoor IT-beveiligingsteams eenvoudiger en sneller apparaatcertificaten kunnen verkrijgen en installeren zonder handmatig werk.
    • Apparaten kunnen zich eenvoudig registreren voor certificaten met behulp van een URL en een gedeeld geheim om te communiceren met de certificeringsinstantie.
    • Mobile Device Management-systemen zoals Microsoft Intune en Apple gebruiken SCEP om snel certificaten voor smartphones en andere mobiele apparaten te verkrijgen.

  2. Inschrijving via beveiligd transport (EST)

    Enrollment over Secure Transport (EST) is een certificaatbeheerprotocol dat de uitgifte en provisioning van X.509-certificaten automatiseert.

    • EST is gedefinieerd in RFC 7030 en is ontworpen voor clients die gebruikmaken van Public Key Infrastructure (PKI), zoals webservers, applicaties en eindpuntapparaten.
    • Met dit protocol kunnen PKI-clients certificaten aanvragen bij vertrouwde certificeringsinstanties (CA's) en deze veilig via HTTPS ontvangen, zonder menselijke tussenkomst.
    • Het hoofddoel van EST is om het certificaatinschrijvingsproces te vereenvoudigen en te beveiligen en zo het risico op verkeerde configuraties, uitval en beveiligingsrisico's als gevolg van menselijke fouten te verkleinen.
    • Geautomatiseerde inschrijving via EST zorgt er bovendien voor dat PKI-personeel meer tijd overhoudt, zodat zij zich kunnen richten op andere essentiële taken.

    2.1 Workflow van het EST-protocol

    • De EST-client initieert een certificaatinschrijvingsaanvraag bij de certificeringsinstantie (CA) via een beveiligde HTTPS-verbinding.
    • De EST-client kan aanvullende informatie, zoals certificaatkenmerken en authenticatiegegevens, in de aanvraag opnemen.
    • De CA verifieert de identiteit van de klant en zijn bevoegdheid om het aangevraagde certificaat te verkrijgen.
    • Als het certificaat wordt goedgekeurd, verstrekt de CA het certificaat op veilige wijze aan de EST-client via de tot stand gebrachte HTTPS-verbinding.
    • De EST-client ontvangt het uitgegeven certificaat en kan dit gebruiken voor veilige communicatie- en authenticatiedoeleinden.

    2.2 De voordelen van het EST-protocol begrijpen

    • EST gebruikt TLS om berichten en certificaten te transporteren.
    • Veilige CSR-authenticatie in EST koppelt de CSR aan een vertrouwde aanvrager en verifieert deze met TLS, waardoor ongeautoriseerde certificaatuitgifte wordt voorkomen.
    • EST ondersteunt geavanceerde cryptografische algoritmen zoals ECC en ECDSA, waardoor de cryptografische flexibiliteit en efficiëntie worden verbeterd.
    • EST ondersteunt automatische certificaatvernieuwing, waardoor het proces naadloos en efficiënt verloopt.
    • EST maakt het genereren van sleutels aan de serverzijde mogelijk, wat handig is in omgevingen en apparaten met beperkte resources.
    • EST heeft geen ingebouwd mechanisme voor het ophalen van de certificaatintrekkingsstatus, maar kan wel gebruikmaken van opties als OCSP en OCSP-stapling.

  3. Geautomatiseerde omgeving voor certificaatbeheer (ACME)

    ACME (Automated Certificate Management Environment) is een communicatieprotocol.

    • Het automatiseert de generatie van CSR's en de rotatie van certificaten/sleutels.
    • Wordt voornamelijk door Let's Encrypt gebruikt voor het uitgeven van 90-dagen domeingevalideerde certificaten en het automatiseren van verlengingen.
    • Ontwikkeld door de Internet Security Research Group (ISRG) voor Let's Encrypt en aangeboden als open-sourcetool.
    • Wordt overgenomen door andere CA's, PKI-leveranciers en browsers ter ondersteuning van verschillende certificaattypen, zoals S/MIME en codeondertekening.
    • Vereist dat CA toegang heeft tot het DNS/HTTPS-token voor implementatie.
    • Geschikt voor interne PKI-uitgiftemethode.

    3.1 Workflow van het ACME-protocol

    • De ACME-client registreert zich bij de certificeringsinstantie (CA).
    • De klant bewijst het domeineigendom door middel van uitdagingen (HTTP-gebaseerd of DNS-gebaseerd).
    • De klant maakt een bestelling aan voor het gewenste certificaat.
    • De CA stelt uitdagingen om domeineigendom te bevestigen.
    • Nadat de uitdagingen zijn voltooid, verstrekt de CA het certificaat aan de klant.
    • De client installeert het uitgegeven certificaat op de server of het apparaat.
    • De klant kan de verlenging initiëren zodra de geldigheidsduur van het certificaat nadert.
    • De client kan indien nodig het intrekken van het certificaat initiëren.

    3.2 De voordelen van het ACME-protocol begrijpen

    • Elimineert mogelijke configuratiefouten, wat leidt tot foutloos certificaatbeheer en minder downtime.
    • Verbetert de beveiliging door ondersteuning voor DV-certificaten met een lage geldigheid, waardoor de certificaatrotatie en de algehele beveiliging worden verbeterd.
    • Maakt snelle CA- en sleutelmigratie mogelijk, zodat gebruikers snel naar een andere CA kunnen overschakelen in geval van een inbreuk.
    • Verbetert de kwaliteit van het ecosysteem door een uniform protocol voor ontwikkelaars te bieden, integratie te vereenvoudigen en consistentie te bevorderen.
    • Bespaart tijd, moeite en kosten dankzij geautomatiseerde certificaatprocessen.
    • ACME is een open-sourceprotocol dat gratis beschikbaar is voor gebruik.

Certificaatbeheer

Voorkom certificaatuitval, stroomlijn IT-activiteiten en verhoog uw flexibiliteit met onze oplossing voor certificaatbeheer.

Boek een adviesgesprek

Vergelijking van het certificaatinschrijvingsprotocol

Categorie
ESTSCEPACME
DoelEST wordt gebruikt voor veilige certificaatinschrijving en -beheer.SCEP dient hetzelfde doel, maar dan gericht op clientcertificaten.ACME automatiseert het verstrekken en vernieuwen van certificaten voor webservers.
CertificaattypeOndersteunt X.509-certificaten.Ondersteunt X.509-certificaten.Ondersteunt X.509-certificaten.
authenticatieEST maakt gebruik van wederzijdse authenticatie tussen de client en de CA-server.SCEP is afhankelijk van authenticatie op basis van clientcertificaten bij de CA-server.ACME maakt gebruik van domeingebaseerde authenticatie voor haar server.
normaliseringEST is gestandaardiseerd in IETF RFC 7030.SCEP kent geen specifieke standaard, maar is wel een gangbare praktijk in de sector.ACME volgt IETF RFC 8555.
CertificaatrotatieEST ondersteunt automatische certificaatvernieuwing en -rotatie.SCEP vereist doorgaans handmatige vernieuwing met beperkte rotatie.ACME automatiseert zowel de vernieuwing als de rotatie van certificaten.
SecurityEST biedt sterke beveiliging met wederzijdse authenticatie en encryptie.SCEP is over het algemeen veilig, maar mist mogelijk enkele moderne beveiligingsfuncties.ACME biedt krachtige beveiliging met domeingebaseerde authenticatie en automatische certificaatvernieuwing.

Conclusie

Certificaatinschrijving is essentieel voor het verkrijgen van digitale certificaten van certificeringsinstanties (CA's) voor beveiligde communicatie en authenticatie. De volledige levenscyclus van certificaatinschrijving omvat het genereren van een Certificate Signing Request (CSR), het indienen hiervan bij de CA, de uitgifte, levering, installatie en verlenging van het certificaat.

Verschillende methoden voor certificaatinschrijving, zoals handmatige en automatische inschrijving, zijn geschikt voor diverse use cases en stroomlijnen het proces, terwijl fouten worden verminderd. Certificaatinschrijvingsprotocollen zoals SCEP, EST en ACME verbeteren de beveiliging en efficiëntie. SCEP vereenvoudigt de inschrijving in netwerkapparaten, EST ondersteunt geavanceerde cryptografische algoritmen en automatische verlenging, en ACME automatiseert het genereren van CSR's en de rotatie van certificaten. Door gebruik te maken van geautomatiseerde inschrijvingsprocessen en gestandaardiseerde protocollen kunnen organisaties een naadloos, veilig en efficiënt certificaatuitgifteproces garanderen, wat de algehele beveiliging verbetert.

Hoe kan Encryption Consulting helpen?

Encryption Consulting biedt een gespecialiseerde oplossing voor het beheer van de levenscyclus van certificaten CertSecure ManagerVan detectie en inventarisatie tot uitgifte, implementatie, verlenging, intrekking en rapportage. CertSecure biedt een allesomvattende oplossing. Intelligente rapportgeneratie, waarschuwingen, automatisering, automatische implementatie op servers en certificaatregistratie voegen extra lagen van verfijning toe, waardoor het een veelzijdige en intelligente tool is.


Bestudeer

Meer onderwerpen