Introduktion till CertSecure Manager: Encryption Consultings flaggskeppslösning för certifikathantering

Certifieringar har blivit en nyckelkomponent i dagens cyberrymd, där varje komponent kräver ett certifikat för att bekräfta sin identitet. Från användare till servrar till applikationer kräver varje del av organisationen ett certifikat för att fungera som avsett. Även om detta förbättrar organisationens övergripande säkerhet, blir det svårt att hantera sådana certifikat allt eftersom organisationen växer, vilket inkluderar att förnya dem, upphäver dem, och ibland utfärda certifikat i stor skala.

Medan MDM-lösningar som I samklang kan göra det enklare att utfärda nödvändiga certifikat till maskiner och tekniker som automatisk registrering kan tillhandahålla certifikat till användare och maskiner även, problemet uppstår när vi behöver utfärda dessa certifikat till servrar och applikationer.

PKI fungerar som ryggraden i dessa certifikat. Medan vissa certifikat utfärdas av allmänheten CA, majoriteten av certifikaten utfärdas av privata CA:er, och hanteringen av sådana privata CA:er blir SOC-teamets (eller annat säkerhetsteams) ansvar, vilket ökar den operativa komplexiteten i den övergripande processen.

I den här bloggen ska vi dyka djupare ner i certifikathanteringens värld, titta på några av de bästa metoderna, några vanliga utmaningar och slutligen hur Encryption Consulting kan hjälpa till med sin expertis, såväl som med vår egen. CertSecure Manager-lösning. 

Vad är en lösning för hantering av certifikatlivscykel (CLM)?

Som vi redan har fastställt ovan behöver varje organisation ett korrekt, giltigt certifikat för att fungera, vilket är betrott av hela organisationen. Dessa certifikat skulle utfärdas till slutenheter såsom användare, datorer, nätverksutrustning, servrar, applikationer och så vidare. Om det underliggande PKI, som tillhandahåller förtroende och synlighet för dessa certifikat, står inför ett avbrott, då kommer ingen av organisationens komponenter att fungera. Anställda kan inte komma in i byggnader utan korrekta smartkort, folk kan inte använda VPN, maskiner, servrar och applikationer kommer att sluta fungera, och det kommer att bli fullständigt kaos.

Att hantera dessa certifikat och deras underliggande infrastruktur är avgörande för att organisationen ska fungera normalt. Dessa certifikat går igenom faser från utfärdande till återkallelse, där varje fas av livscykeln är avgörande för organisationen att underhålla korrekt. Och om ett certifikat som är på väg att ut inte övervakas eller förnyas i tid, kan det orsaka oförutsedda avbrott i servern/applikationen med hjälp av nämnda certifikat. Därför blir korrekt övervakning, ägande och förnyelse av certifikat viktigt.

Stegen i certifikatets livscykel är följande:

• Discovery

  Identifieringsfasen i certifikatlivscykeln innebär att söka i nätverket efter saknade, utgångna, komprometterade eller oanvända certifikat som måste återkallas, förnyas eller ersättas. Detta är en viktig del av processen, eftersom den hittar luckor i certifikatens säkerhet och vidarebefordrar dessa luckor till övervakningsfasen, vilket möjliggör försegling av dessa intrång. Normalt sett handlar denna fas också om inventering av certifikat för att underlätta framtida identifieringsfaser, tillsammans med eventuella certifikatrevisioner som kan inträffa.

• Skapande/Inköp

  Det här är fasen där certifikatet skapas. En onlineanvändare, organisation eller enhet begär ett certifikat från en certifikatutfärdare, vilket innehåller den offentliga nyckeln och andra inskrivning information som behövs för att registrera användaren. Certifikatutfärdaren som används för att skapa certifikatet kan ägas av den organisation som önskar certifikatet eller av en tredje part. Om certifikatet erhålls från en tredje part måste det köpas från dem.

• Installation

  Installationen av certifikatet är enkel, men lika viktig. Certifikatet måste installeras på en säker, men lättåtkomlig, plats, eftersom användare som försöker verifiera certifikatets äkthet måste ha tillgång till det. När certifikatet är installerat inför CA policyer för att säkerställa säkerheten och korrekt hantering av certifikatet.

• lagring

  Som tidigare nämnts måste certifikatet installeras på en säker plats för att förhindra att det komprometteras. Det bör dock inte vara så säkert att de användare som behöver läsa certifikatet inte kan nå det. De korrekta policyerna och reglerna som ska implementeras för lagring av certifikat kommer att diskuteras senare i detta dokument.

• Övervakning

  Övervakning är ett av de viktigaste stegen i certifikatlivscykeln. Detta är en nästan konstant fas där certifikathanteringssystemen, oavsett om de är automatiska eller manuella, letar efter intrång, utgångsdatum eller komprometteringar av digitala certifikat. Övervakningsfasen använder den inventering som skapats i identifieringsfasen för att hålla reda på när certifikat ska återkallas, förnyas eller ersättas. Certifikathanteringssystemet flyttar sedan dessa certifikat till nästa fas, som kan vara förnyelse, återkallelse eller ersättning.

• Förnyelse

  Förnyelse av ett certifikat sker när certifikatets utgångsdatum har uppnåtts. Detta sker naturligt med certifikat, eftersom bästa praxis är att inte använda ett certifikat i mer än högst 5 år. Certifikat kan ställas in så att de förnyas automatiskt, eller så kan en lista föras över certifikatens utgångsdatum, och administratören för certifikaten kan förnya dem vid rätt tidpunkt.

• Återkallande

  Om ett certifikat upptäcks vara komprometterat, stulet eller på annat sätt påverkat negativt, kommer certifikatet att återkallas. När ett certifikat återkallas placeras det på en Certifikatåterkallningslista (CRL)Den här listan säkerställer att andra certifikatutfärdare vet att detta inte längre är ett giltigt certifikat.

• Byte

  Certifikatet ersätts när användare byter från att betala för certifikat till att skapa sina egna Public Key Infrastructures (PKI) och CA:er. Detta görs sällan, eftersom det är mycket enklare att förnya ett certifikat från den ursprungliga leverantören än att ersätta det.

  

Vanliga utmaningar för organisationer utan CLM       

Eftersom Microsoft AD CS används flitigt i branschen utan någon ordentlig CLM-lösning inbyggd, möter många organisationer ofta vissa utmaningar när de använder sina privata såväl som sina publika PKI, såsom Digicert:

1. Manuell CLM

   Utan en lämplig CLM-lösning är team ofta ansvariga för att utfärda, förnya och återkalla certifikat manuellt, spåra deras ägare och förnya dem i tid innan de löper ut. Denna typ av process är benägen för mänskliga fel, vilket kan leda till avbrott och driftsineffektivitet.

2. Brist på central insyn/inköp

   Organisationer tenderar att ha flera certifikatutfärdare, inklusive minst en Microsoft-certifikatutfärdare som fungerar som en privat certifikatutfärdare och en publik certifikatutfärdare, till exempel Digicert. Att hantera certifikat från olika certifikatutfärdare kan ofta vara utmanande, eftersom det innebär att spåra utgångna certifikat, förnya certifikaten separat med en egen definierad process och spåra ägarskapet för certifikaten.

3. Begränsad rapportering och insikter

   ADCS ensamt kanske inte ger den detaljerade rapportering och de insikter som behövs för proaktiv certifikathantering. En CLM-lösning förbättrar insynen i certifikatanvändning och -hälsa.

4. Felaktig policyhantering

   Med flera certifikatutfärdare som används för att hantera och utfärda certifikat kan implementeringen av organisationens policyer och säkerställandet av att de följs verka utmanande, eftersom varje certifikatutfärdare fungerar olika och det ibland inte finns några mekanismer för att tillämpa sådana policyer, vilket gör procedurerna benägna att orsaka mänskliga fel.

Policyhantering vid utfärdande och återkallelse av certifikat

Varje organisation har sina interna policyer som den måste följa. Dessa policyer innehåller ofta begränsningar såsom:

1. Vilken bör vara den minsta nyckelstorleken för certifikatet?
2. Vilken information bör finnas i certifikatet, såsom organisation, organisationsenhet etc., och bör ett e-postadress-ID finnas i själva certifikatet för att spåra dess ägare?
3. Godkännandeprocessen för vissa typer av certifikat är avgörande. Vem som ska godkänna typen av certifikat före utfärdande anges ofta i själva policyerna, inklusive hur många godkännanden som behövs för vissa typer av certifikat.
4. If jokertecken får utfärdas.
5. If CSR kan återanvändas för att utfärda certifikat igen
6. Vilka domäner bör tillåtas som SAN-attribut i certifikatet?
7. Lösenordspolicyer för PFX-certifikat

Styrning enligt dessa policyer kan ofta vara utmanande för team som inte använder någon CLM-lösning. Vi har tidigare stött på kunder som inte kontrollerar någon av dessa detaljer eller spårar korrekt äganderätt till certifikatet. Det skulle avsevärt öka riskerna och potentiella insiderattacker inom organisationen.

CertSecure-hanterare inkluderar även procedurer för förnyelse och återkallelse med ett enda klick, där lämpliga ägare och administratörer kan förnya eller återkalla ett certifikat med ett enda klick. Efter att de nödvändiga behörighetscertifikaten har förnyats/återkallats från certifikatutfärdaren skickas ett bekräftelsemeddelande till ägarna via e-post och Teams.

CertSecure Manager: Lösning för hantering av certifikatlivscykeln

Under vår interaktion med våra kunder lärde vi oss om många av deras problem. Även om det finns många CLM-lösningar där ute, fokuserar ingen primärt på Microsoft AD CS, som fortfarande manuellt underhåller de operativa och övervakande delarna av PKI. Detta motiverade oss att skapa vår egen lösning, som skulle hjälpa våra kunder med de problem de har stött på med sina egna CLM-lösningar.

När vi utformade vår lösning fokuserade vi först på att lösa de viktigaste utmaningarna.

1. Automatiserad livscykelhantering

Med CertSecure-hanterare, klienter kan integrera förnyelseagenter med sina servrar, till exempel hankatt, Apache, ISS, lastbalanserare som t.ex. F5, såväl som deras egna interna applikationer. Detta kommer att hjälpa servrarna och applikationerna att rotera certifikat automatiskt utan mänsklig inblandning, vilket minimerar avbrott samt säkerställer att korrekta certifikat skickas till servern varje gång i tid.

Kunder kan också integrera sina egna lösningar med ACME eller Rest API:er, vilket gör det enklare att enkelt få certifikat för sin applikation.

2. Centraliserad synlighet och kontroll

Med CertSecures HA-arkitektur och kopplingar kan klienter integrera alla sina CA:er med CertSecure utan att någon större nätverkskonfiguration behövs. Detta säkerställer att alla CA:er, oavsett om de finns i molnet eller lokalt, kan integreras med CertSecure. Detta ger en enda överblick över hantering och utfärdande av certifikat över flera privata och offentliga CA:er.

Detta kan också hjälpa driftteamet att övervaka sin PKI direkt från instrumentpanelen. Detta kommer att bidra till att säkerställa att alla CDP/AIA Punkter relaterade till CA är alltid aktiva samtidigt som de ger viktiga uppdateringar om CRL och förnyelse av CA-certifikat.

3. Genomförande av policy

CertSecure kan hjälpa kunder att skapa en policy på både global och avdelningsnivå. Detta säkerställer att alla användare följer de definierade policyerna. Dessa policyer hjälper till att diktera information som:

a. Hur många godkännanden behövs för att utfärda ett certifikat

b. Om CSR kan återanvändas och om användare kan begära jokerteckencertifikat

c. Vilka DNS-namn är vitlistade, vilka kan läggas till i certifikaten

d. Och slutligen, lösenordspolicyer för PFX-filerna

Dessutom kan vi definiera vilken avdelning som får tillgång till vilka mallar, vilket skapar ytterligare begränsningar för vilka mallar en användare kan komma åt. Till exempel behöver produktionsteamet tillgång till DigiCert, vilket utvecklingsteamet inte har. På samma sätt kan IT-teamet behöva tillgång till webbservermallar, medan de inte skulle behöva samdesigna certifikat.

4. Principen om minsta förmånsrätt

Med definierade policyer kan klienter även definiera roller som kan tilldelas användarna. Användare kan sedan utföra funktioner som endast definieras av de behörigheter som administratören har angett.

5. Omfattande övervakning och varningar

Med CertSecure, klienter kan integrera aviseringar med Teams, Email, Service Now, med korrekt eskaleringsprotokoll för att säkerställa att utgångna certifikat eller PKI-avbrott uppmärksammas så snart som möjligt. Detta hjälper organisationer att minimera avbrott samtidigt som de har sinnesro att upprätthålla säkerheten och funktionaliteten hos den underliggande infrastrukturen, såväl som hos de certifikat som utfärdas.

6. Schemalagda rapporter

Med CertSecure kan användare schemalägga rapporter som levereras direkt till deras e-postmeddelanden varje vecka eller månad. Detta underlättar den operativa sidan av processen samt ger insyn och en förteckning över de operationer som utförs av PKI.

7. Enkel onboarding

Användare kan enkelt registreras i CertSecure med hjälp av AD-grupper (inklusive Azure AD-grupper), vilket hjälper CertSecure att övervaka och lägga till/ta bort användare allt eftersom de läggs till eller tas bort från gruppen. Avregistrering av användaren resulterar i överföring av äganderätten till certifikat till avdelningsadministratörer, vilket gör det enklare att hantera och hålla äganderätten till certifikat, såväl som definierade aviseringar, lättare att bearbeta.

Slutsats

CertSecure-hanterare sticker ut som en heltäckande lösning utformad för att hantera de komplexa utmaningarna med CLM. Genom att sömlöst integrera med både privata och offentliga certifikatutfärdare erbjuder CertSecure Manager oöverträffad centraliserad synlighet och kontroll, vilket ger organisationer möjlighet att hantera sina certifikat med större effektivitet och säkerhet.

Genom funktioner som automatiserad livscykelhantering, policytillämpning, omfattande övervakning och schemalagd rapportering säkerställer CertSecure Manager att din certifikatinfrastruktur inte bara är robust utan också motståndskraftig mot potentiella störningar. Dess fokus på principen om lägsta behörighet förbättrar säkerheten ytterligare och säkerställer att användare endast har tillgång till de resurser de behöver, vilket minimerar risken för insiderhot.

Den enkla onboardingen, i kombination med integrationer med Microsoft AD och Azure AD, förenklar användarhanteringen och effektiviserar certifikatlivscykelprocesserna. Med aviseringar och eskaleringsprotokoll ger CertSecure Manager sinnesro och säkerställer att kritiska problem åtgärdas snabbt, minimerar driftstopp och upprätthåller integriteten hos din PKI-infrastruktur.

Encryption Consultings engagemang för kontinuerlig förbättring och kundcentrerade lösningar är tydligt i utvecklingen av CertSecure Manager. Vi är fortsatt engagerade i att hjälpa organisationer att uppnå högre standarder för säkerhet, efterlevnad och operativ effektivitet. Låt CertSecure Manager vara din betrodda partner för att navigera komplexiteten i... certifikathantering, vilket säkerställer att dina digitala tillgångar förblir säkra, kompatibla och fullt fungerande.