DARZ Corporate PKI mit Certificate Lifecycle Management
Als Anbieter für PKI-Lösungen hat die DARZ GmbH in Zusammenarbeit mit der MTG AG eine Corporate PKI entwickelt, mit der alle unternehmensrelevanten Prozesse über den gesamten Lebenszyklus von Zertifikaten abgesichert werden. Prozesse für die Ausstellung, Erneuerung und das Widerrufen von Zertifikaten können für verschiedene Anwendungsfälle zentral automatisiert, verwaltet und gesteuert werden (z.B. E-Mail-Zertifikate, Router-, Serverzertifikate oder die sichere Anbindung von Homeoffice Arbeitsplätzen…). Das Certificate Lifecycle Management sorgt dafür, dass keine Zertifikate unbeabsichtigt auslaufen und erlaubtes, viele dazugehörige Prozesse zu automatisieren.
Einrichtung Root CA
Pro Kunde wird eine eigene dezidierte Root-CA als Vertrauensanker für das gesamte Unternehmen eingerichtet.
Einrichtung Sub-CA
Der Kunde erhält unter dieser Root-CA eine Sub-CA, die er zur Ausstellung seiner Use-Case-spezifischen Zertifikate nutzen kann. Auf Kundenwunsch können weitere Sub-CAs problemlos eingerichtet werden. Das macht beispielsweise Sinn, wenn für verschiedene Unternehmensbereiche unterschiedliche Trust-Chains definiert werden müssen.
Private & Öffentliche Zertifikate
Mit der Managed PKI können kostengünstige private Zertifikate für die unterschiedlichsten Use-Cases im Unternehmen erzeugt und verwaltet werden.
Darüber hinaus besteht die Möglichkeit, mit Hilfe der Managed PKI öffentliche, sogenannte public Zertifikate, direkt bei Public CAs zu beantragen und anschließend in der Managed PKI zu verwalten.
Hotline DARZ
Ticketsystem und Hotline stehen für Fragen und bei Problemen zur Verfügung.
Betrieb und Managed Services
Die Managed PKI wird in einem IS027001 und DIN EN50600 Cat lll zertifizierten Rechenzentrum georedundant und ausfallsicher betrieben.
Der Managed Service umfasst:
- die Einrichtung und Konfiguration der dezidierten Root- und Sub-CAs, CLM, ACME- EST-, CMP-Server und OCSP-Responder durch erfahrene PKI-Experten gemäß den BSI Kryptovorgaben TR-03116
- die Anbindung an ein HSM-Cluster
- das Security-Patch Management der zugrunde liegenden Betriebssysteme und Datenbanken
- die Pflege der PKI-Software
- das Monitoring der Verfügbarkeit der Infrastruktur und der Applikationen
- die proaktive Überwachung der Log-Dateien
- die Überwachung und Erneuerung der Zertifikatslaufzeiten von Root-CA und Sub-CA
- Backup- und Restore-Prozesse
- Sicherstellung der Anforderungen an die Verfügbarkeit der PKI, insbesondere für die Bereitstellung der Sperrinformationen (z.B. OCSP-Service)
Betrieb und Managed Services
Die Managed PKI wird in einem IS027001 und DIN EN50600 Cat lll zertifizierten Rechenzentrum georedundant und ausfallsicher betrieben.
Der Managed Service umfasst:
- die Einrichtung und Konfiguration der dezidierten Root- und Sub-CAs, CLM, ACME- EST-, CMP-Server und OCSP-Responder durch erfahrene PKI-Experten gemäß den BSI Kryptovorgaben TR-03116
- die Anbindung an ein HSM-Cluster
- das Security-Patch Management der zugrunde liegenden Betriebssysteme und Datenbanken
- die Pflege der PKI-Software
- das Monitoring der Verfügbarkeit der Infrastruktur und der Applikationen
- die proaktive Überwachung der Log-Dateien
- die Überwachung und Erneuerung der Zertifikatslaufzeiten von Root-CA und Sub-CA
- Backup- und Restore-Prozesse
- Sicherstellung der Anforderungen an die Verfügbarkeit der PKI, insbesondere für die Bereitstellung der Sperrinformationen (z.B. OCSP-Service)
Beratungspakete
Hilfreiche Beratungspakete erleichtern den Einstieg in den PKI Betrieb und unterstützen bei den Vorbereitungen sowie bei der Umsetzung konkreter Anwendungsfälle: z.B. Beratung bei der Automatisierung der Prozesse, Erstellen einer Certificate Policy und des Certificate Practice Statements, Konzeption von Zertifikats-Templates, Aufsetzen eines umfassenden Reporting-Systems etc.
Professional Services
Mit einem Professional Service Vertrag, der mit MTG direkt abgeschlossen wird, erhalten Nutzer auf Wunsch volle Unterstützung durch die erfahrenen PKI-Experten von MTG.
Managed PKI vs. On-Premise PKI
Eine On-Premise PKI einzuführen und zu betreiben ist eine anspruchsvolle und komplexe Aufgabe. Dieser Weg ist vor allem für Unternehmen sinnvoll, die spezielle Anwendungsfälle und Anforderungen umsetzen wollen. Das können beispielsweise behördliche Auflagen sein, die erfüllt werden müssen, oder auch das Bestücken von IoT-Geräten mit Zertifikaten während der Produktion. Die Umsetzung umfangreicher Services (z.B. im Health Care Bereich) wären ein weiterer geeigneter Anwendungsfall für eine On-Premise PKI. Möglicherweise ist der Betrieb einfach groß genug und sowohl die vorhandene Infrastruktur als auch das erforderliche Fach-Personal vorhanden, um eine eigene PKI On-Premise zu betreiben.
Für die meisten anderen Fälle lohnt sich der Blick auf eine Managed PKI. Ein solches Angebot lässt sich mit deutlich weniger Aufwand und Vorbereitungszeit umsetzen. Eine vertrauenswürdige Authentifizierung, Verifizierung, Integrität und Verschlüsselung für kritische und sensible Unternehmensprozesse und -anwendungen stehen damit kurzfristig bereit. Unternehmen können sich schneller auf die Absicherung ihrer Unternehmensprozesse konzentrieren und die fertig aufgebaute PKI direkt nutzen. Denn bei einer Managed PKI muss man sich vorab keine Gedanken über die sichere Konfiguration, Backupkonzepte, Ausfallsicherheit, Skalierung oder Zugriffsrechten machen oder für die Bereitstellung der erforderlichen Infrastruktur sorgen. Es muss kein tiefes PKI- und IT Security Know-How mit dem entsprechendem Fachpersonal und Schulungen aufgebaut werden. Der Umgang mit Hardware Security Modulen und das erforderliche Spezialwissen kann ebenfalls dem Serviceanbieter überlassen werden.
Die Kosten für eine On-Premise PKI sind wegen hoher Personal-, Infrastruktur- und Betriebskosten meist wesentlich höher als die verhältnismäßig geringen Kosten für die Softwarelizenzen. Selbst kostenlose Open Source PKI-Lösungen leisten daher keinen wesentlichen Beitrag zur Reduktion der Gesamtkosten.
Eine moderne Managed PKI sollte von einem vertrauenswürdigen Anbieter stammen und dezidiert für den Nutzer eingerichtet werden können. Sie sollte mit den Anforderungen skalieren und die Schlüssel nach Stand der Technik schützen. Eine einfache nutzerfreundliche Bedienung sowie ein zeitgemäßes Certificate Lifecycle Management sind wichtige Auswahlkriterien. Nicht zuletzt sollten die Kosten für den Betrieb transparent sein.