Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Education Center
    2. Certificaten

Wat is certificaatbeheer? SSL-, TLS-certificaatbeheer?

Posted byArische Kumar 13 Minuten
Geautomatiseerde certificaatvernieuwing
Inhoudsopgave

Digitale certificaten Worden op internet gebruikt om gebruikers te authenticeren die gegevens met elkaar uitwisselen. Omdat elke legitieme website een certificaat gebruikt, is certificaatbeheer van cruciaal belang. Als een certificaat wordt gestolen en misbruikt, kan een aanvaller zich voordoen als een andere, legitiemere bron en een gebruiker via zijn website met malware infecteren. Het verlopen van een certificaat kan leiden tot een uitval, waardoor een organisatie potentiële klanten verliest. Dit zijn slechts enkele redenen om meer te weten te komen over certificaatbeheer.

Wat is certificaatbeheer?

Certificaatbeheer is het proces van het bewaken, verwerken en uitvoeren van elk proces in de levenscyclus van een certificaat. Certificaatbeheer is verantwoordelijk voor het uitgeven, verlengen en implementeren van certificaten op eindpunten (servers, apparaten, enz.), zodat netwerkdiensten ononderbroken zijn. Certificaatbeheer moet ook taken (uitgifte, verlenging, enz.) automatiseren en realtime inzicht bieden in de status van de netwerkinfrastructuur.

Certificaatbeheer helpt bij het beheren van het netwerk en voorkomt onderbrekingen en downtime, terwijl het tegelijkertijd een gedetailleerde monitoring van de gehele infrastructuur biedt. Goede certificaatbeheerplannen moeten elk netwerk aankunnen, zelfs netwerken met duizenden apparaten. Als een certificaat verloopt of verkeerd is geconfigureerd, kunnen er catastrofale storingen in het hele netwerk optreden.

Wat is een digitaal certificaat?

Elke bespreking van certificaatbeheer zou onvolledig zijn zonder uit te leggen wat een digitaal certificaat is. Een certificaat, ook wel bekend als een SSL / TLS Certificaat is een digitale identificatie voor gebruikers, apparaten en andere eindpunten binnen een netwerk. Certificaten zijn gekoppeld aan een openbaar/privé sleutelpaar en verifiëren dat de openbare sleutel, die overeenkomt met het geldige certificaat, betrouwbaar is. De belangrijkste taak van een certificaat is ervoor te zorgen dat gegevens die via een verbinding tussen een gebruiker en een server worden verzonden, privé blijven. Het certificaat doet dit door gegevens te versleutelen en te ontsleutelen terwijl ze over de verbinding worden verzonden. Dit wordt bereikt door middel van een zogenaamde SSL/TLS-handshake.

TLS-handdruk

TLS-handdruk

Een TLS-handshake wordt als volgt uitgevoerd:

  1. Klant Hallo

    De client hello vindt plaats wanneer de client een verzoek tot communicatie naar de server stuurt. De TLS-versie, de ondersteunde coderingssuites en een reeks willekeurige bytes, bekend als de "client random", zijn opgenomen in de hello.

  2. Server Hallo

    In de server-hello-modus bevestigt de server de client-hello-modus. Vervolgens controleert de server of er een TLS-versie wordt gebruikt die compatibel is met de TLS-versie van de client, selecteert een compatibele coderingssuite uit de door de client aangeboden coderingssuites en stuurt het certificaat, de server-random (vergelijkbaar met de client-random) en de openbare sleutel naar de client.

  3. Certificaatvalidatie

    De geldigheid van het certificaat van de server wordt eerst door de client gecontroleerd via de certificaat autoriteitDe certificeringsinstantie (CA) is een zeer betrouwbare entiteit, aangezien zij verantwoordelijk is voor het ondertekenen en genereren van digitale certificaten.

  4. Pre-Master Strijkinstrument

    De client versleutelt vervolgens een willekeurige reeks bytes, de zogenaamde "Pre-Master String", met de publieke sleutel van de server en stuurt deze terug naar de server. Dit zorgt ervoor dat alleen de server de sleutel kan ontsleutelen met zijn eigen privésleutel, wat als extra beveiligingsniveau fungeert.

  5. Sessiesleutel aanmaken

    De server ontsleutelt de pre-mastersleutel, waarna zowel de client als de server sessiesleutels aanmaken op basis van de client-randomsleutel, de server-randomsleutel en de premasterreeks.

  6. Berichten voltooid

    De client en server sturen elkaar vervolgens berichten dat ze klaar zijn met het aanmaken van hun sleutels, en vergelijken de sleutels met elkaar. Als de sessiesleutels overeenkomen, is de TLS-handshake voltooid en worden de sessiesleutels gebruikt om alle gegevens die tussen de server en de client worden verzonden, te versleutelen en te ontsleutelen.

Eenmaal aangemaakt, kunnen certificaten worden gebruikt voor de authenticatie van servers, clients of andere apparaten. Certificaten worden als geldig beschouwd gedurende een bepaalde periode en vervallen na die periode. Certificaten volgen een constante levenscyclus met fasen zoals aanmaken, verlengen, opschorten, verlopen en meer. Als certificaten verlopen, wordt de certificaathouder niet langer vertrouwd, wat leidt tot verlies van service voor de gebruikte website of het gebruikte apparaat. Om een ​​certificaat te ontvangen, moet een gebruiker of website eerst een certificaatautoriteit raadplegen of er zelf een ondertekenen.

Certificaatautoriteiten

Certificaten kunnen worden gegenereerd via een vertrouwde certificeringsinstantie (CA) of door zelf een certificaat te ondertekenen. Certificeringsinstanties (CA's) genereren certificaten voor gebruikers die gebruikt kunnen worden voor TLS/SSL-authenticatie. Om ervoor te zorgen dat een certificeringsinstantie betrouwbaar is, keten van vertrouwen van de CA kan worden herleid tot aan de bron-CA. Een vertrouwensketen is een keten van certificaten die is uitgegeven door vertrouwde CA's en die terugvoert naar de root-CA.

Om het proces voor het verkrijgen van een digitaal certificaat te starten, moet de aanvrager een Certificate Signing Request (CSR) naar de CA sturen. De CSR moet de openbare sleutel van een door de aanvrager aangemaakt sleutelpaar bevatten, samen met informatie om de identiteit van de aanvrager te bevestigen, zoals een burgerservicenummer of rijbewijs. Zodra de identiteit van de aanvrager is bevestigd, wordt het certificaat door de CA ondertekend en geretourneerd en kan het worden gebruikt voor identificatie van de aanvrager.

De andere optie om een ​​certificaat te verkrijgen is om er zelf een aan te maken met dezelfde gegevens en deze vervolgens zelf te ondertekenen. Deze optie wordt minder vaak gebruikt, omdat de identiteit van de ondertekenaar niet kan worden geverifieerd bij andere vertrouwde CA's, waardoor het zelfondertekende certificaat verdacht wordt. Hierdoor accepteren veel mensen geen zelfondertekend certificaat, dus is het gebruik van een CA om een ​​certificaat aan te maken de aanbevolen methode.

Certificaatbeheer

Voorkom certificaatuitval, stroomlijn IT-activiteiten en verhoog uw flexibiliteit met onze oplossing voor certificaatbeheer.

Boek een adviesgesprek

Certificaatlevenscyclus

De levenscyclus van een certificaat bestaat uit een aantal afzonderlijke fasen. Deze worden hieronder weergegeven.

  • De reis van mijn leven

    Detectie is de eerste fase in de levenscyclus van certificaten. In de detectiefase wordt het netwerk gescand op ontbrekende, verlopen of onbruikbare certificaten. Deze fase zorgt er ook voor dat bestaande certificaten correct zijn geïmplementeerd. Certificaten met kwetsbaarheden en andere zwakke punten kunnen eveneens worden gedetecteerd en hersteld of vervangen. De verschillende certificaten worden in deze fase doorgaans samen geïnventariseerd om de certificaatstatus te kunnen volgen of gerelateerde certificaattypen te kunnen groeperen.

  • Creatie/Aankoop

    In deze fase maakt de CA zelf het certificaat aan, of de gebruiker koopt een certificaat bij een vertrouwde CA. Het sleutelpaar voor het certificaat wordt aangemaakt en de openbare sleutel, CSR en persoonlijk identificeerbare informatie worden naar de CA verzonden voor certificaatcreatie. Als een organisatie of gebruiker geen keten van vertrouwde CA's heeft of wil aanmaken, wordt er een certificaat aangeschaft in plaats van aangemaakt.

  • Montage

    Deze fase omvat de distributie en installatie van het certificaat op de juiste plaats. Alle aspecten van de configuratie van het certificaat worden gecontroleerd tijdens de installatiefase, inclusief de sleutelparen, de coderingssuites en de digitale handtekening. Het certificaat wordt vervolgens geïnstalleerd op het juiste eindpunt waarvoor het is gemaakt en begint met de authenticatie van dat eindpunt.

  • Hoe bewaart u

    Een van de belangrijkste fasen in de levenscyclus van certificaten is de opslagfase. Certificaten moeten toegankelijk zijn, maar niet herbruikbaar voor aanvallers. Ze moeten daarom op een veilige en centrale locatie worden bewaard. De opslagfase kan de certificaten ook in groepen inventariseren, indien de inventarisatie niet in de detectiefase is uitgevoerd.

  • Monitoren

    Dit is de langste fase, waarin de certificaten gedurende hun gehele vervaldatum worden bewaakt. Zodra de vervaldatum is bereikt, of soms vlak daarvoor, zullen bepaalde certificaatbeheersystemen de certificaten automatisch verlengen. Als er geen automatische certificaatbeheersystemen worden gebruikt, moet een systeembeheerder de netwerkcertificaten bewaken en elk certificaat dat de vervaldatum heeft bereikt, verlengen, intrekken of vervangen.

    Zowel handmatige als automatische monitoring biedt voordelen, die in de volgende sectie uitgebreider worden besproken. Er zijn echter twee belangrijke voordelen die boven alles uitsteken. Het grootste voordeel van handmatige monitoring is dat de monitor realtime kan reageren als er zich een onverwacht probleem voordoet, terwijl een automatisch systeem niet weet wat te doen. Aan de andere kant is het grootste voordeel van een automatische monitor dat certificaatvernieuwingen, intrekkingen, enz. niet worden vergeten, wat kan gebeuren als een mens jarenlang certificaten monitort.

  • Vernieuwing

    Het verlengingsproces van certificaten begint zodra de geldigheidsduur van het certificaat is verstreken. Zodra de gebruiker of het geautomatiseerde systeem besluit het certificaat te verlengen, wordt er opnieuw een CSR verzonden naar de oorspronkelijke uitgevende CA om het certificaat te verlengen. Het proces verloopt op dezelfde manier als bij het aanmaken van het certificaat, maar dan veel sneller.

  • herroeping

    Als de uitgevende CA buiten gebruik is gesteld, een certificaat misbruikt wordt of om een ​​groot aantal andere redenen, kan een certificaat worden ingetrokken. Na intrekking wordt het certificaat op een Certificate Revocation List (CRL) geplaatst, indien een CRL in gebruik is. Een CRL is een lijst met certificaten die door de CA zijn ingetrokken en niet langer vertrouwd mogen worden. Als het certificaat van een uitgevende CA op een CRL staat, kan die CA niet worden gebruikt in een vertrouwensketen voor andere CA's of certificaten. Een nadeel van het gebruik van CRL's is dat ingetrokken certificaten slechts periodiek worden gepubliceerd, niet elke keer dat een certificaat wordt ingetrokken. Dit probleem betekent dat een gebruiker zijn certificaat bij de uitgevende CA kan verlengen, ook al is het certificaat een paar uur geleden ingetrokken vanwege onrechtmatig gebruik.

  • Vervanging

    Als het certificaat van een CA wordt ingetrokken of als de certificaathouder wil overstappen van betaalde certificaten naar zijn eigen Public Key Infrastructure (PKI), treedt de vervangingsfase in. Dit gebeurt minder vaak, omdat het eenvoudiger is om een ​​certificaat te verlengen bij de oorspronkelijke uitgevende CA.

    De levenscyclus van certificaten is niet in steen gebeiteld. Verschillende organisaties hanteren verschillende fasen, combineren fasen of laten hele fasen volledig weg. Zolang de certificaten worden ontdekt, aangemaakt, opgeslagen, gecontroleerd en vernieuwd, wordt dat beschouwd als een levenscyclus van een certificaat.

Handmatige versus geautomatiseerde infrastructuur

Een van de belangrijkste onderdelen van het gegevensbeveiligingsbeleid van een bedrijf is de infrastructuur voor certificaatbeheer die binnen de organisatie is geïmplementeerd. Bij een handmatige infrastructuur moet een medewerker een spreadsheet maken om de geldigheidsperiodes, het beleid, de intrekkingen en de configuratiegegevens van alle certificaten binnen de organisatie bij te houden. Deze methode werkt voor een kleiner bedrijf met een infrastructuur die slechts enkele certificaten verwerkt, maar veel grotere bedrijven kunnen duizenden certificaten hebben, waardoor handmatige infrastructuren te complex worden. De andere optie is het creëren van een geautomatiseerde infrastructuur voor de levenscyclus van certificaten, wat de meest voorkomende methode is. Hieronder vindt u een tabel met de verschillen tussen handmatige en geautomatiseerde infrastructuren voor certificaatbeheer.

Handmatige infrastructuur Geautomatiseerde infrastructuur
Levenscyclusstadia

Verwerkt via een spreadsheet en een gebruiker die alle certificaten binnen de organisatie bijhoudt

Gestroomlijnd en automatisch verwerkt; Certificaten worden zo snel mogelijk vernieuwd/vervangen/ingetrokken

Operationele kosten

Kost veel manuren

Minder kosten en geen manuren nodig

Security

Moeten voortdurend worden bijgehouden door de verantwoordelijke werknemer om ervoor te zorgen dat certificaten niet verlopen

Wordt voortdurend bewaakt door de software die in de infrastructuur is geïnstalleerd, waardoor snelle vernieuwing of vervanging van certificaten mogelijk is

Implementatie

Eenvoudig en snel te implementeren; alleen een spreadsheet is vereist

De software moet correct worden geïmplementeerd, anders worden certificaten niet correct gecontroleerd

Om deze en andere redenen worden geautomatiseerde systemen voor het beheer van de levenscyclus van certificaten gebruikt. Publieke sleutelinfrastructuren.

Het belang van certificaatbeheer

Een van de belangrijkste redenen om een ​​sterk, geautomatiseerd certificaatbeheersysteem te hebben, is uw eigen Public Key Infrastructure (PKI). Een PKI is een infrastructuur die is opgezet om gebruikers te authenticeren op basis van digitale certificaten. PKI's kunnen ook communicatie versleutelen. De meest voorkomende PKI is TLS/SSL, dat zowel symmetrische als asymmetrische encryptie gebruikt om verbindingen tussen twee gebruikers te beveiligen. Het belangrijkste vertrouwen van een PKI komt voort uit de certificaten die tussen beide kanten van de verbinding worden uitgewisseld. De meeste PKI's gebruiken een tweelaagse architectuur, bestaande uit een root-CA en een uitgevende CA.

Root CA is een certificeringsinstantie die offline wordt gehouden en een certificaat aanmaakt voor de online uitgevende CA. Dit creëert een vertrouwensketen met alle certificaten die door de uitgevende CA worden uitgegeven, omdat de root CA offline wordt gehouden en daardoor beschermd is tegen kwaadwillenden. Uitgevende CA's distribueren certificaten voor eindgebruikers en apparaten. De minder vaak gebruikte drielaagse architectuur voor een PKI omvat een intermediaire CA tussen de root en de uitgevende CA, die als tussenpersoon fungeert tussen de root en de uitgevende CA.

De reden waarom geautomatiseerd certificaatbeheer voornamelijk door PKI's wordt gebruikt, is dat het veiliger is om een ​​PKI in één keer correct aan te maken en de certificaten vervolgens door de geautomatiseerde services up-to-date te laten houden. Dit vermindert de kosten voor het bedrijf, de manuren die nodig zijn om de PKI draaiende te houden en de kans op menselijke fouten. Omdat zoveel organisaties hun eigen PKI creëren, is goed certificaatbeheer essentieel voor het beveiligingsplan van elk bedrijf.

Een andere reden waarom er zoveel belang wordt gehecht aan certificaatbeheer, is de noodzaak dat elk apparaat en elke gebruiker die met internet is verbonden, een digitaal certificaat heeft. Wanneer een gebruiker of apparaat verbinding maakt met een website, wordt de authenticiteit van het digitale certificaat gecontroleerd, samen met het certificaat van de website. Met een sterke vertrouwensketen en een geldig certificaat kunt u overal op internet terecht.  

Een certificaat is echter ongeldig of verlopen als de gebruiker of het apparaat waartoe het certificaat behoort, de meeste websites niet kan bezoeken, omdat er geen beveiligde verbinding tot stand kan worden gebracht. Hetzelfde geldt voor websitecertificaten. Als hun digitale certificaat ongeldig is, zullen gebruikers die website niet kunnen gebruiken, uit angst om malware of virussen op hun apparaat te krijgen.

Nog een reden om te zorgen voor sterk certificaatbeheer is om te voorkomen dat er inbreuken binnen een organisatie plaatsvinden. Als een certificaat in een netwerk wordt toegelaten, ook al heeft het niet-vertrouwde CA's in de vertrouwensketen, dan kan de eigenaar van dat certificaat gevoelige gegevens stelen of anderszins bedrijfsgegevens misbruiken voor kwaadaardige doeleinden. Als de certificaten bovendien niet correct worden opgeslagen, kan een aanvaller dat certificaat stelen en zich voordoen als een legitieme gebruiker, terwijl hij gevoelige gegevens steelt, wijzigt of verwijdert.

Certificaatbeheer

Voorkom certificaatuitval, stroomlijn IT-activiteiten en verhoog uw flexibiliteit met onze oplossing voor certificaatbeheer.

Boek een adviesgesprek

Andere certificaattoepassingen

Er zijn nog een aantal andere toepassingen voor digitale certificaten. Deze worden hieronder vermeld.

  • Intranetportalen
  • E-commerce websites
  • VPN's
  • Kassasysteem
  • Internet of Things-apparaten
  • App-ontwikkeling
  • Code ondertekening
  • E-mailondertekening
  • SSH-sleutelbeheer
  • Financiële diensten
  • Klantenservice websites
  • Cloudauthenticatie

Certificaatbeheer met encryptieconsultancy

Encryption Consulting biedt een gespecialiseerde oplossing voor het beheer van de levenscyclus van certificaten CertSecure ManagerVan detectie en inventarisatie tot uitgifte, implementatie, verlenging, intrekking en rapportage. CertSecure biedt een allesomvattende oplossing. Intelligente rapportgeneratie, waarschuwingen, automatisering, automatische implementatie op servers en certificaatregistratie voegen extra lagen van verfijning toe, waardoor het een veelzijdige en intelligente tool is.

Bestudeer

Meer onderwerpen