Organisaties hebben een sterke basis nodig voor het WPA2-Enterprise-netwerk. Om dit te bereiken, moet de implementatie van digitale certificaten een Certificate Lifecycle Management-oplossing omvatten. Certificate Lifecycle Management-systemen, ook wel Certificate Management Systems (CMS) genoemd, bieden ondersteuning voor het gebruik van digitale X.509-certificaten voor authenticatie. Met CMS kunnen beheerders elk onderdeel van een individueel certificaat correct beheren en controleren door een breder perspectief op de netwerkstatus te behouden.

Certificate Authority

Een certificeringsinstantie (CA) is een van de belangrijkste pijlers van PKI. Een CA is een zeer betrouwbare entiteit die verantwoordelijk is voor het ondertekenen en genereren van digitale certificaten. We zullen het in het volgende deel over digitale certificaten hebben. De CA ondergaat bovendien een reeks regels om de integriteit van certificaten te waarborgen. Voordat een certificaat wordt uitgegeven, controleert een CA eerst de gegevens en documentatie van officiële bronnen om de betrouwbaarheid van het bedrijf te garanderen, waarna een digitaal certificaat wordt uitgegeven. Een CA voert drie belangrijke taken uit:

Geeft certificaten uit
Certificeert de identiteit van de certificaathouder
Bewijst de geldigheid van het certificaat

Zoals u in het bovenstaande diagram kunt zien, bestaat er een duidelijke hiërarchie van CA's, die elk hun eigen rol en belang hebben in de PKI-architectuur. Er zijn over het algemeen drie soorten hiërarchieën: eenlaags, tweelaags en drielaags.
Laten we elke entiteit in het bovenstaande diagram bespreken:

Root-CA

Root CA bevindt zich op het hoogste niveau van de hiërarchie. Deze is verantwoordelijk voor het uitgeven en ondertekenen van certificaten voor tussenliggende of ondergeschikte CA's, die uiteindelijk certificaten kunnen uitgeven voor eindentiteiten zoals computers, gebruikers of services, zoals te zien is in het bovenstaande diagram. Vanwege het belang ervan in de PKI-infrastructuur wordt de privésleutel van de root CA in elke organisatie zeer veilig bewaard, meestal offline ter bescherming tegen inbreuk. Ze hebben meestal een lange levensduur, vaak 20 jaar of langer. Ze moeten echter regelmatig worden vernieuwd voordat ze verlopen om de vertrouwensketen te behouden.

Ondergeschikte CA

De ondergeschikte CA bevindt zich tussen de root-CA en de end-entity-certificaten en fungeert als intermediair tussen beide. Wat we hiermee bedoelen, is dat ze hun eigen certificaten van de root-CA ontvangen en certificaten kunnen uitgeven aan gebruikers, apparaten of andere entiteiten. Alle certificaten die door deze ondergeschikte CA worden uitgegeven, vormen een vertrouwensketen die uiteindelijk terugverwijst naar de root-CA. Dit vertrouwen in de keten is belangrijk, omdat deze keten tijdens de validatie van een certificaat alleen wordt gecontroleerd om te garanderen dat het certificaat geldig en betrouwbaar is.

Eindentiteitscertificaten

Zoals reeds besproken in de subordinate CA, zijn dit de laatste uitgegeven certificaten van de CA. Ze geven geen certificaten uit aan andere entiteiten en staan daarom onderaan de certificaathiërarchie. Deze certificaten worden geïnstalleerd op servers, machines en andere apparaten. Het eenvoudige gebruiksvoorbeeld kan een SSL/TLS-certificaat zijn, dat wordt gebruikt om een beveiligde verbinding tussen de gebruiker en de browser tot stand te brengen en zo de privacy en integriteit van gegevens te waarborgen.

Hoe werkt een CA?

Hieronder wordt de procedure uitgelegd om een CA een ondertekend certificaat te laten uitgeven:

De aanvrager of cliënt creëert een sleutelpaar (openbare en persoonlijke sleutel) en dient een aanvraag in bij een vertrouwde CA, een zogenaamde Certificate Signing Request (CSR). De CSR bevat de openbare sleutel van de cliënt en alle informatie over de aanvrager.
De CA controleert of de informatie in de CSR correct is. Zo ja, dan geeft hij een certificaat uit en ondertekent dit met de privésleutel van de CA. Vervolgens geeft hij dit certificaat aan de aanvrager voor gebruik.
De aanvrager kan het ondertekende certificaat gebruiken voor het juiste beveiligingsprotocol.

Digitaal certificaat

Een digitaal certificaat is een bestandstype of elektronisch wachtwoord dat wordt gebruikt om de authenticiteit van een systeem te bewijzen met behulp van cryptografische technieken en PKI. Het helpt organisaties ervoor te zorgen dat alleen vertrouwde apparaten of gebruikers verbinding kunnen maken met het netwerk. Een andere toepassing is het bevestigen van de authenticiteit van een website aan een webserver, ook wel een Secure Socket Layer (SSL)-certificaat genoemd.

Een digitaal certificaat bevat gegevens zoals de naam van de gebruiker, het bedrijf en het IP-adres (Internet Protocol) of serienummer van een apparaat. Het bevat een kopie van de openbare sleutel van de certificaathouders, die moet worden vergeleken met een privésleutel om de authenticiteit ervan te vergelijken en te verifiëren. Een certificaat met openbare sleutel wordt vervolgens uitgegeven door certificeringsinstanties om de certificaten te ondertekenen en de gegevens van het aangevraagde apparaat te verifiëren. De informatie in een certificaat is:

Onderwerp
Geeft de naam van de computer, de gebruiker, het netwerkapparaat of de service waarvoor de CA het certificaat afgeeft.
Serienummer
Biedt een unieke identificatie voor elk certificaat dat een CA uitgeeft.
Emittent
Geeft een unieke naam voor de CA die het certificaat heeft uitgegeven.
Geldig vanaf
Geeft de datum en tijd weer waarop het certificaat geldig wordt.
Geldig voor
Geeft de datum en tijd weer waarop het certificaat niet langer als geldig wordt beschouwd.
public Key
Bevat de openbare sleutel van het sleutelpaar dat aan het certificaat is gekoppeld.
Handtekeningalgoritme
Het algoritme dat wordt gebruikt om het certificaat te ondertekenen.
Handtekeningwaarde
Bitstring die de digitale handtekening bevat.

Belang van digitale certificering

Digitale certificaten kunnen worden aangevraagd door organisaties, individuen en websites. Een openbare sleutel wordt verstrekt via een ondertekeningsverzoek om de informatie te valideren. Na validatie door een vertrouwde CA worden de gegevens door die CA ondertekend met een sleutel die een vertrouwensketen naar het certificaat vormt. Dit proces stelt het certificaat in staat om de authenticiteit van een document te verifiëren, te authenticeren of bewijs te leveren van de inloggegevens van een website.

Soorten digitale certificaten

Digitale certificaten zijn er in verschillende typen, namelijk:

Transport Layer Security (TLS/SSL)-certificaat

A TLS / SSL-certificaat Wordt gebruikt op een server om ervoor te zorgen dat de communicatie met de client versleuteld en privé blijft door authenticatie te bieden aan de webserver om versleutelde berichten naar clients te verzenden en ontvangen. TLS/SSL-certificaten zijn er in drie vormen:
- Domein gevalideerd
  
  Dit is een snelle validatiemethode die door elke website wordt geaccepteerd, goedkoop is om te verkrijgen en binnen een minuut kan worden uitgegeven.
- Organisatie gevalideerd
  
  Dit zorgt voor eenvoudige zakelijke authenticatie en is de beste keuze voor organisaties die producten online verkopen.
- Extended Validation
  
  Dit biedt volledige zakelijke authenticatie voor de gevoelige en privé-informatie van grote organisaties. Het wordt over het algemeen gebruikt door bedrijven in de financiële sector om authenticatie, vertrouwen en beveiliging te bieden.
Code ondertekenen certificaat

Het wordt voornamelijk gebruikt om de authenticiteit van gedownloade bestanden of software van internet te bevestigen. Het wordt voornamelijk gebruikt door ontwikkelaars om software beschikbaar te stellen op websites van derden, zodat deze bestanden of software niet kunnen worden gemanipuleerd. De ontwikkelaar of uitgever moet ondertekenen zodat gebruikers weten dat deze software is origineel en kan worden gedownload.
Client Certificaat

Dit certificaat wordt gebruikt om een individuele gebruiker te identificeren ten opzichte van een andere gebruiker of machine, of om de ene machine ten opzichte van de andere te identificeren. In een e-mail ondertekent de afzender een bericht digitaal, terwijl de ontvanger de handtekening verifieert. Dit kan ook worden gebruikt om toegang te krijgen tot beveiligde databases.

Voordelen van digitale certificaten

Digitale certificaten zijn essentieel nu cyberaanvallen steeds talrijker en geavanceerder worden. Enkele belangrijke voordelen van digitale certificaten zijn:

Security

Digitale certificaten zijn verantwoordelijk voor het versleutelen van interne en externe communicatie om te voorkomen dat aanvallers gevoelige gegevens stelen of onderscheppen. Een TLS/SSL-certificaat helpt bijvoorbeeld bij het versleutelen van gegevens tussen een webbrowser en een webserver, zodat een aanvaller de gegevens van websitebezoekers niet kan onderscheppen.
Schaalbaarheid

Digitale certificaten bieden bedrijven van alle soorten en maten dezelfde kwaliteit encryptie. Ze zijn zeer schaalbaar, wat betekent dat ze eenvoudig kunnen worden ingetrokken, uitgegeven en verlengd om gebruikersapparaten te beveiligen, en worden vervolgens beheerd via een centraal platform.
Authenticity

Digitale certificaten zijn essentieel om de authenticiteit van online communicatie te garanderen en cyberaanvallen in deze tijd te voorkomen. Ze zorgen ervoor dat berichten van een gebruiker altijd worden verzonden en de beoogde ontvanger bereiken. Enkele voorbeelden zijn certificaten voor het ondertekenen van documenten, TLS/SSL-certificaten voor het versleutelen van websites en Secure/Multipurpose Internet Mail Extensions (S/MIME) voor het versleutelen van e-mailcommunicatie.
Public Trust

Het gebruik van een digitaal certificaat garandeert dat een website authentiek en betrouwbaar is en dat documenten en e-mails adequaat worden geverifieerd. Het weerspiegelt ook het publieke vertrouwen door klanten de garantie te bieden dat ze te maken hebben met een betrouwbaar bedrijf dat veiligheid en privacy hoog in het vaandel heeft staan.
Betrouwbaarheid:

Alleen CA's kunnen digitale certificaten uitgeven die publiekelijk vertrouwd zijn. Er is strenge controle nodig om te garanderen dat aanvallers slachtoffers die een digitaal certificaat gebruiken, niet kunnen misleiden.

Wat is het verschil tussen een digitaal certificaat en een digitale handtekening?

A digitaal certificaat Een digitale handtekening is een bestand dat wordt gebruikt om de identiteit van een gebruiker of apparaat te verifiëren en versleutelde verbindingen mogelijk maakt. Tegelijkertijd is een digitale handtekening een hashingmethode die numerieke reeksen gebruikt om de identiteit te valideren en authenticiteit te garanderen. Een cryptografische sleutel wordt gebruikt om een digitale handtekening aan een document of e-mail toe te voegen. Deze handtekening wordt gehasht en wanneer de ontvanger deze ontvangt, wordt dezelfde hashfunctie uitgevoerd om het bericht te decoderen.

Waarom is certificaatlevenscyclusbeheer belangrijk?

Digitale certificaten worden gegenereerd met behulp van openbare-sleutelcryptografie, een vorm van asymmetrische cryptografie waarbij beide partijen (zender en ontvanger) de helft van een openbaar-privésleutelpaar hebben. Elke partij gebruikt zijn eigen helft om de communicatie te versleutelen, waarna de houder van de andere helft de communicatie kan ontsleutelen. Deze vorm van cryptografie is beter dan hashcryptografie, die over het algemeen wordt gebruikt in systemen op basis van inloggegevens, maar meer stappen vereist.

Vanwege het asymmetrische karakter ervan moeten twee partijen veilige communicatie tot stand brengen om het openbare-private sleutelpaar te verstrekken. Dit gebeurt meestal via het wederzijdse vertrouwen van een CA. Een robuust CMS is een essentiële tool voor het beheer van de levenscyclus van een certificaat. Met dit CMS kan een gebruiker alle procesaspecten bekijken, beheren en aanpassen.

De fasen van de levenscyclus van een certificaat

Digitale certificaten worden uitgegeven en bevestigd door een CA om een identiteit te verifiëren. Wachtwoorden zijn gebaseerd op zinnen of woorden die door een mens, de gebruiker, zijn bedacht. Certificaten maken echter gebruik van encryptie met een publieke-private sleutel om informatie te versleutelen en worden geverifieerd met Extensible Authentication Protocol TLS (EAP-TLS), een van de veiligste authenticatieprotocollen. EAP-TLS is gedefinieerd in RFC 3748, die ondersteuning biedt voor meerdere authenticatiemethoden.

Certificaten bieden meer voordelen omdat ze gebruiksvriendelijker en veiliger zijn dan authenticatie op basis van inloggegevens. De meeste IT-beveiligingsbedrijven (bijna 55%) geven de voorkeur aan een methode om accounts te beveiligen en te authenticeren zonder wachtwoorden. Certificaten hebben echter ook een vervaldatum en zijn niet eeuwig geldig, en hun levenscyclus is afhankelijk van de voorkeuren van een organisatie.

De fasen van een certificaat zijn:

Certificaatinschrijving
Certificaatdistributie
Certificaatvalidatie
Certificaat intrekken
Certificaat vernieuwing
Certificaatvernietiging
Certificaatcontrole

Certificaatinschrijving

Certificaatinschrijving is de eerste fase van de certificaatcyclus, die doorgaans begint met een aanvraag van een certificaat door een gebruiker of apparaat bij een CA. Deze aanvraag bestaat uit een openbare sleutel en andere inschrijvingsinformatie. Na ontvangst van een certificaataanvraag verifieert de CA de informatie op basis van een geavanceerde set regels. Als de informatie wordt geverifieerd en legitiem is, maakt de CA het certificaat en een ander certificaat aan waarmee de aanvragende partij deze kan identificeren. Certificaatinschrijving bestaat uit vier stappen:

Vraag een certificaat aan

Een certificaatinschrijvingsproces start wanneer een gebruiker een certificaatinschrijving aanvraagt bij een CA. Deze aanvraag moet voldoende informatie bevatten om de CA in staat te stellen de identiteit van de gebruiker te verifiëren. De benodigde informatie bestaat uit de domeinnaam, het zakelijke telefoonnummer (dat via openbare bronnen te verkrijgen is) en drie contactpersonen: autorisatie, technische gegevens en facturering. De CA kan ook om aanvullende informatie vragen, afhankelijk van het type certificaat dat wordt aangevraagd.
Voeg de vereiste kenmerken toe

Voordat de relevante informatie (in de bovenstaande stap) is ingediend, moet de gebruiker ook andere gegevens indienen, zoals het versturen van de openbare sleutel voor de handtekening van de CA, het hash-algoritme en de digitale handtekening om de digitale handtekening te creëren. Deze openbare sleutel wordt, samen met een privésleutel, aangemaakt door een Cryptographic Service Provider (CSP) nadat de certificaataanvraag is ontvangen en doorgegeven aan de CA.
CA valideert het verzoek

Na ontvangst van het inschrijvingsverzoek gebruikt de CA een openbare sleutel om de digitale handtekening te decoderen, een hash te berekenen en de hash in de gedecodeerde handtekening te verifiëren. Alle verstrekte verificatiegegevens worden ook gebruikt voor validatiedoeleinden. Als de validatie succesvol is, ondertekent de CA de openbare sleutel digitaal en stuurt dit voltooide certificaat naar de gebruiker.
Installeer het certificaat op de computer van de gebruiker

Nadat de verificatie is voltooid, moet de gebruiker het certificaat op de server installeren en de bestemming ervan noteren. Gebruikers moeten ook het bestand dat ze van de certificeringsinstantie hebben ontvangen, kopiëren en de relevante sleutels van het certificaat op een veilige locatie bewaren. Daarna moeten gebruikers kopieën van hun certificaten publiceren op websites en in webbrowsers voor authenticatie.

Certificaatdistributie

Certificaatdistributie vindt plaats wanneer de CA het certificaat aan de gebruiker distribueert. Dit is een apart proces omdat het tussenkomst van de CA vereist. De CA stelt beleid in dat van invloed is op het gebruik van het certificaat in deze fase.

Hoewel CA Client Automation geen geautomatiseerde technologie voor certificaatdistributie biedt, wordt het geleverd met standaardcertificaten voor elk certificaat. CA Client Automation-knooppunt en applicatiespecifieke certificaten. Om na een installatie te migreren van de standaardcertificaten, wat de standaard was, moeten de certificaten op de volgende manieren worden gedistribueerd:

Maak een nieuw basiscertificaat en zorg ervoor dat de basisnaam verschilt van het bestaande basiscertificaat van CA Client Automation.
Plan de distributie van dit nieuwe root DER-gecodeerde certificaat binnen alle knooppunten van de CA Client Automation-infrastructuur.
Maak nieuwe beveiligingsprofielen in de beheerdatabase van CA Client Automation om bestaande profielen van een applicatiespecifiek certificaat te vervangen.
Plan de distributie van nieuwe certificaten naar alle CA Client Automation-knooppunten.
Nadat het certificaat succesvol is gedistribueerd, moeten de vorige CA Client Automation-certificaten worden verwijderd.
Verwijder de oude beveiligingsprofielen die voor de applicatiespecifieke certificaten worden gebruikt.

Certificaatvalidatie

Wanneer een certificaat wordt gebruikt, wordt de huidige status ervan gecontroleerd om te verifiëren of het nog steeds geldig is. Er kunnen bepaalde omstandigheden zijn, zoals het in gevaar brengen van de privésleutel of CA, schendingen van het beveiligingsbeleid, enz., waardoor een certificaat ongeldig kan worden of kan worden ingetrokken vóór de natuurlijke vervaldatum. Hierbij speelt de CRL een belangrijke rol, omdat de Certificate Revocation List (CRL) de lijst is van certificaten die door de CA zijn ingetrokken en die eerder zijn uitgegeven en die binnenkort zullen verlopen.

Zonder CRL zou PKI nooit kunnen vaststellen of een certificaat is ingetrokken vóór de vervaldatum. De CRL wordt gecontroleerd door RADIUS op de server tijdens dit proces. Een RADIUS-server wijst een verbindingsverzoek alleen af als het certificaatserienummer van het apparaat al in de CRL aanwezig is. Deze functie is handig als een apparaat wordt gestolen, de rechten van een medewerker worden gewijzigd, of iets dergelijks.

Certificaat intrekken

Certificaatintrekking is de laatste fase in de levenscyclus van een certificaat. Deze fase vindt plaats wanneer een certificaat verloopt of wanneer de CA het certificaat vlak voor de vervaldatum intrekt. De CA voegt automatisch een certificaat toe aan de CRL wanneer het wordt ingetrokken, waardoor RADIUS de opdracht krijgt het certificaat niet langer te authenticeren.

CRL's kunnen uitputtend zijn en de client die deze controles uitvoert, moet de volledige lijst doorzoeken om het certificaat van de gevraagde site te vinden, of dit nu aanwezig is of niet. Een andere methode om de intrekkingsstatus van een digitaal certificaat te controleren is het Online Certificate Status Protocol (OCSP). Dit is eenvoudiger en sneller dan CRL's, omdat de certificaatcontrole wordt uitgevoerd door de CA in plaats van de PKI in CRL's.

Bij deze methode hoeft de client niet de volledige CRL te downloaden en te parseren, maar kan hij het geselecteerde certificaat naar de CA sturen. De CA retourneert vervolgens de status van het certificaat, zoals 'Goed', 'Ingetrokken', 'Onbekend', enzovoort. Dit brengt veel minder overhead met zich mee dan de CRL-methode.

Certificaat vernieuwing

Als een certificaatbeleid een certificaat toestaat dat de vervaldatum al heeft bereikt, wordt het automatisch of door tussenkomst van de gebruiker verlengd. Wanneer een verlengingsproces wordt gestart, moet de gebruiker kiezen of hij nieuwe publieke en private sleutels wil genereren of de bestaande sleutels wil hergebruiken. Het genereren van nieuwe sleutelparen biedt een nieuw beveiligingsniveau, wat helpt het risico op lekken van de sleutel na verloop van tijd te beperken.

Het verlengingsproces omvat ook het genereren van een CSR. Deze CSR bevat de benodigde informatie voor de CA om het vernieuwde certificaat uit te geven, zoals de openbare sleutel, organisatiegegevens en domeinnaam. De CSR wordt vervolgens ingediend bij de CA, die de aanvraag in principe valideert op basis van haar beleid en procedures. Nadat de CA de validatie heeft voltooid, geeft deze het vernieuwde certificaat uit.

Certificaatvernietiging

Wanneer een certificaat niet meer gebruikt kan worden, moeten het certificaat en alle bijbehorende back-ups of archieven, samen met de bijbehorende privésleutel, worden vernietigd. Dit helpt ervoor te zorgen dat het certificaat niet wordt gecompromitteerd of gebruikt. Dit gebeurt meestal door middel van veilige digitale vernietiging of fysieke vernietiging van opslagapparaten, zodat er geen restanten van het certificaat kunnen worden hersteld.

Het proces moet nauwkeurig worden gedocumenteerd en geïntegreerd met Key Management Systems (KMS) om auditlogs bij te houden en te zorgen voor naleving van het organisatiebeleid en de wettelijke vereisten. Dit beschermt bovendien tegen ongeautoriseerd gebruik van het certificaat.

Certificaatcontrole

Certificaatauditing houdt de aanmaak, vervaldatum en intrekking van certificaten bij. In bepaalde gevallen wordt het ook gebruikt om het succesvolle gebruik van een certificaat te volgen. Dit uitgebreide proces omvat het bijhouden van gedetailleerde gegevens over de uitgifte van certificaten, zoals de uitgever, de uitgiftedatum en het doel van het certificaat. Dit helpt bij het volgen van de levenscyclus en het waarborgen van de verantwoording.

Het bewaken van vervaldata is cruciaal om tijdige verlengingen mogelijk te maken, verstoringen in de dienstverlening te voorkomen en een continue beveiligingsdekking te behouden. Het registreren van intrekkingen is essentieel om het gebruik van gecompromitteerde of verouderde certificaten te voorkomen. Dit omvat het bijwerken van CRL's en ervoor zorgen dat systemen ingetrokken certificaten herkennen en afwijzen om beveiligingsrisico's te beperken.

Certificaatlevenscyclusbeheer voor SSL/TLS-certificaten

Certificate Lifecycle Management is een van de essentiële aspecten van goed PKI-beheer. Apple heeft er eenzijdig voor gekozen om alleen te vertrouwen op 398 dagen geldige SSL- en TLS-certificaten, ondanks de consensus binnen de industrie om het voorstel af te wijzen. Deze regelgeving trad in werking op 1 september 2020 en had alleen betrekking op nieuw uitgegeven certificaten, aangezien bestaande certificaten onder de 'grandfathered'-regeling vielen. De gemiddelde geldigheidsduur voor alle certificaten, inclusief SSL/TLS, daalde van 2 naar 5 jaar. Deze trend van kortere certificaatlevenscycli bleek gunstig, omdat het veiliger is om certificaten vaker te vervangen, of dat nu nodig is of niet. Dit was nog steeds een verbetering ten opzichte van het wachtwoordvervangingsbeleid van 90 dagen.

Conclusie

De kern van een effectief certificaatlevenscyclusbeheersysteem is een strikt beheerprogramma voor een organisatie. Organisaties zonder goed certificaatlevenscyclusbeheer lopen het risico op beveiligings- en beheerproblemen, waardoor certificaten verloren kunnen gaan in het systeem, kunnen verlopen en omzetverlies kunnen veroorzaken. Om certificaatlevenscyclusbeheer effectief te laten zijn, moeten alle gegenereerde certificaten worden geconsolideerd in één identiteitsbeheersysteem.

Encryption Consulting biedt een gespecialiseerde oplossing voor het beheer van de levenscyclus van certificaten, CertSecure Manager, van detectie en inventarisatie tot uitgifte, implementatie, verlenging, intrekking en rapportage. CertSecure biedt een allesomvattende oplossing. Intelligente rapportgeneratie, waarschuwingen, automatisering, automatische implementatie op servers en certificaatregistratie voegen extra lagen van verfijning toe, waardoor het een veelzijdige en intelligente tool is.

Wat is Certificate Lifecycle Management?