Hur CertSecure Manager revolutionerade certifikathanteringen inom detaljhandeln

Det som en gång var en lyx blir långsamt en nödvändighet. I början av 2000-talet ansågs digitala certifikat vara en lyx. Men på senare tid, med växande regleringar och cybersäkerhetshot, digitala certifikat har blivit en nödvändighet för att tillhandahålla identitet till användare, datorer, resurser med mera. Eftersom varje enhet i en organisation kräver ett certifikat för att komma åt, fungera och drivas blir hanteringen av en så enorm volym certifikat en av de största utmaningarna.

I den här fallstudien pratar vi om en sådan organisation, en detaljhandelsjätte i USA med butiker över hela landet. Som en branschombrytare behövde den utvärdera och förändra sin verksamhet för att göra organisationens storlek hanterbar.

För mindre organisationer kan detta göras manuellt där certifikatkravet är mindre än 1000, men för större organisationer med sina egna policyer och procedurer blir det en utmaning att säkerställa att alla certifikat följer reglerna samtidigt som de följer sina interna policyer, samtidigt som alla certifikat är aktiva med 0 driftstopp och avbrott på grund av misskötsel. Detta problem växer bara med organisationen tills det blir ohanterligt.

Av denna anledning är lösningar för hantering av certifikatlivscykeln, som CertSecure-hanterare ge organisationer en unik, skräddarsydd lösning som kan hjälpa till med deras behov och krav.

Utmaningar

Som en av de stora aktörerna inom detaljhandeln hade organisationen många utmaningar som andra organisationer mötte, men den stod också inför några unika utmaningar. Några av de gemensamma utmaningarna inkluderar:

1. Hantera utgivning

   För att hantera en stor organisations efterfrågan på certifikat behöver dessa organisationer många Certifieringsmyndigheter att utfärda certifikat och tillhandahålla dem i tid. Att hantera olika certifieringsmyndigheter med deras procedurer och upprätthålla olika handböcker med olika utbildningar för anställda blir dock långsamt besvärligt.

   En typisk organisation av denna skala har över 20+ domäner (eller skogar) med minst två certifieringsutfärdare (CA:er) på större skogar, en moln-CA och en offentlig CA. Detta ackumuleras till 5 eller fler CA:er.

2. Föråldrade Microsoft PKI-processer

   Microsoft PKI är fortfarande en av de mest använda lokala privata PKI:erna. Men med få eller inga framsteg i certifikatutfärdandeprocesser med hjälp av webbregistrering måste användare som behöver certifikat ha andra processer som kräver hjälp av annan personal. Samtidigt, utan REST API-stöd, finner DevOps det också svårt att säkerställa att certifikat erhålls i tid.

3. Varningar

   Med certifikat som regelbundet löper ut måste administratörer vara uppmärksamma och vaksamma för att säkerställa att inga certifikat är utgångna på deras applikationer/servrar. Utan lämpliga varningsmekanismer på plats missar administratörer ibland att förnya kritiska certifikat, vilket ofta kan leda till avbrott.

Eftersom andra organisationer också står inför ovanstående problem, hade vår kund några unika önskemål som vi ville ta itu med. Dessa önskemål uppstår på grund av de utmaningar som denna organisation står inför och vi vill ha en lösning som tillgodoser deras behov. De är följande:

1. domän Validering

   Kunden hade många domäner (50+) inom sitt nätverk, och med den stora mängden certifikatförfrågningar som samlades in ville kunden ha ett sätt att rensa ut domäner som inte uttryckligen är vitlistade. Organisationen ville att vissa domäner skulle auktoriseras, och om någon användare begär certifikat för domäner som inte finns bland de vitlistade, skulle de automatiskt avvisas.

   Detta kommer att bidra till att minska mänskliga fel, vilket kan leda till avbrott på grund av felaktiga domännamn. Detta kommer också att förbättra säkerheten eftersom användare inte kan begära certifikat för andra domäner, vilket hjälper dem med organisationens problem med personifiering.

2. Wildcard-certifikat

   I likhet med den föregående ville organisationen också avvisa alla förfrågningar.

3. CA-begränsningar

   Kunden ville också att vissa certifikatutfärdare skulle vara begränsade och oåtkomliga för alla. Detta inkluderar främst alla publika certifikatutfärdare, eftersom certifikat som utfärdas av dessa certifikatutfärdare har tillhörande kostnader. Dessa begränsade certifikatutfärdare bör endast vara tillgängliga för en delmängd av personerna inom organisationen.

4. Avdelningsindelning

   Med flera avdelningar inom organisationen ville intressenterna att vi skulle separera användarna i olika avdelningar för att säkerställa enklare certifikathantering.

   Detta säkerställer också att vissa avdelningar kan komma åt vissa certifieringsutfärdare. Till exempel ville kunden inte att utvecklingsteamet skulle ha tillgång till certifikatutfärdare som används av produktionsteamet. Detta kan leda till att certifikat blandas, vilket kan förvirra processen att identifiera de certifikat som används.

5. DevOPS

   Kunden hade också utmaningar gällande DevOPS-teamet, som behövde åtkomst till Rest API för att begära och erhålla certifikat.

Dessa utmaningar och önskelistor drev organisationens ansträngningar att hitta rätt lösning för sina behov. Utmaningarna skapade betydande problem i dess operativa kapacitet och hindrade dess tillväxtförmåga.

Lösning

När kunden kontaktade oss med dessa utmaningar var vi tvungna att lägga ner avsevärd tid på att bedöma och förstå deras unika ställningstagande. Varje organisation har sina egna processer och rutiner, och vi ville säkerställa att vi förstod det innan vi tillgodoser deras behov. CertSecure-hanterare Genom att i huvudsak lösa alla deras problem hittade vi också några fler områden där vi kan hjälpa organisationen att förbättras. Lösningarna vi fokuserade på var följande:

1. Alltid tillgänglig

   Med butiker och kontor utspridda över hela landet ville vi koppla samman alla resurser och säkerställa att all personal som arbetar hemifrån också kan behålla tillgång till CertSecure.

   Detta gav organisationen två alternativ: molntjänster och SaaS. Eftersom kunden ville behålla kontrollen med minimal latens valdes molndriftsättningen för att koppla samman hela deras infrastruktur och ge åtkomst till användare utanför nätverket.

2. Sammanslagning av CA:er

   Med flera certifieringsutfärdare gav vi kunden en enda glasruta för att visa och kontrollera certifikaten. Alla certifieringsutfärdare är anslutna och synkroniserade med miljön med hjälp av CA-anslutningar.

   Detta gör det möjligt för kunder att utfärda, återkalla och förnya certifikat från en enda portal, vilket minskar utbildningstiden och komprimerar de processer och procedurer som organisationen måste följa. Detta möjliggör också nyare protokoll som Rest API:er, ACME, EST och mer för DevOPS och IoT lag.

3. RBAC

   Med en stor användarbas ville organisationen ge minimal kontroll till de registrerade användarna. Principen om minsta möjliga behörighet tillämpas med varierande roller och detaljerad åtkomstkontroll, vilket säkerställer att användare endast får de behörigheter som organisationen bestämt.

4. Integration och aviseringar

   Organisationer kan nu koppla sin CertSecure-hanterare till Teams, ServiceNow och e-post för att säkerställa att de får regelbundna aviseringar. Dessa aviseringar består av certifikat som löper ut under den kommande veckan och ger användbara insikter om deras organisation. CertSecure Manager tillhandahåller också rapporter som kan användas för dataanalys för att bättre förstå och hantera sin infrastruktur.

5. Policymodul

   CertSecure Manager har en unik policymodul som kan begränsa återanvändning av CSR och jokerteckencertifikat. Detta begränsar och avvisar automatiskt alla certifikatförfrågningar som bryter mot policyn. Detta inkluderar även domänvalidering, där organisationer måste vitlista domäner. Om certifikatförfrågningar görs för domäner som inte är vitlistade avvisas de automatiskt.

6. Arbetsflöde

   Organisationer kan begränsa certifikatutfärdare och mallar för en viss certifikatutfärdare. Detta begränsar alla certifikatförfrågningar och kräver uttryckligt godkännande innan utfärdande. Endast användare med uttrycklig behörighet att godkänna dessa förfrågningar.

7. avdelningar

   CertSecure Manager aktiverar olika avdelningar och separerar användarbasen därefter. Varje avdelning har sin egen PKIAdmin, som kan övervaka och hantera alla resurser och användare som tillhör den avdelningen. Det finns också globala PKIAdmins som har åtkomst till alla avdelningar och kan övervaka och komma åt alla resurser i hela organisationen.

8. Organisationsdetaljer

   Eftersom mänskliga fel fortfarande är vanliga, ville organisationen ha korrekt certifikatmärkning. Organisationen kan tillhandahålla alternativ för befintliga organisationsuppgifter som stad, delstat, landskod, avdelning och så vidare. Användare kan inte använda några värden som administratörerna inte tillhandahåller.

9. Automation

   CertSecure Manager erbjuder möjligheten att använda Renewal Agents, som kan konfigureras med servrar som IIS, Apache och Tomcat, lastbalanserare som F5 eller anpassade applikationer. Dessa agenter säkerställer att de certifikat som används är aktiva och förnyas automatiskt innan de löper ut, vilket hjälper organisationer med sina processer utan mänsklig inblandning.

Dessa funktioner hjälpte inte bara organisationen med dess behov utan förbättrade även dess processer. När man skickar in en CSR, kan användare se dess egenskaper i själva webbportalen utan att förlita sig på OpenSSL eller webbplatser från tredje part.

Slutsats

Sammanfattningsvis CertSecure-chefens omfattande funktioner, skräddarsydda lösningar och fokus på automatisering och säkerhet har förbättrats avsevärt certifikatlivscykelhantering för organisationer inom detaljhandeln, som tar itu med viktiga utmaningar och tillhandahåller en skalbar, effektiv och säker plattform för hantering av digitala certifikat.