Public Key Infrastructure

Public Key Infrastructure

Eine sorgfältig aufgebaute Public Key Infrastructure (PKI) ist für jedes Unternehmen unverzichtbar, erfordert jedoch eine Vielzahl von Komponenten und Technologien.

Unsere Erfahrungen decken sämtliche etablierten PKI-Standards und Technologien wie z.B. X.509, OCSP, CMP und LDAP ab.

Bei der Konzeption, dem Aufbau oder der Erweiterung von PKIs finden Sie in uns einen fachlich und technisch versierten Partner.

Zertifikatsmanagement in Cloud Umgebungen

Wir passen Ihre PKI an Cloud Native Umgebungen an und setzen dabei auf skalierbares, automatisiertes Zertifikatsmanagement.

  • Aufsetzen und Betreiben von PKI in Cloud Umgebungen. Sichere Konfiguration der Zertifikatsmanagementsysteme diverser Cloud Anbieter. Verwendung von Infrastructure as Code.
  • Automatisierung der Zertifikatsverwaltung für Cloud eigene Anwendungen, die eine Vielzahl von Cloud Diensten verwenden.
  • Skalierbarkeit von PKI bis hin zu den Anforderungen großer Cluster und Service Meshes.
  • Einheitliches Zertifikatsmanagement in der Cloud und On-Prem, unter Berücksichtigung existierender Sicherheits- und Compliance-Anforderungen, Vermeidung von Insellösungen.

Zertifikatsrollout mit Microsoft Intune

In einem Kundenprojekt sollen Endbenutzergeräte (z.B. iPads und Windows-Laptops) automatisiert mit WiFi- und VPN-Zertifikaten der unternehmensinternen PKI versorgt werden.

Als Mobile Device Management (MDM) Plattform dient das cloud-basierte Intune, das nahtlos in die interne PKI der Organisation integriert wird.

Ein von NOVOSEC entwickelter SCEP-Server fungiert als Rollout-Endpoint, der Intune-Requests verifiziert und nach erfolgreicher Prüfung an die PKI zur Zertifikatsausstellung weiterleitet.

Bei der Konfiguration werden Lastszenarien der nachgelagerten Systeme berücksichtigt.

In Zusammenarbeit mit dem Kunden wurde eine Netzwerk- und Firewall-Konfiguration definiert und umgesetzt, die den Zugriff auf die verwendeten Systeme absichert.

Die interne PKI wurde um dedizierte Zertifikatstemplates für jeden Gerätetyp erweitert, die den benötigten Sicherheitsparametern gemäß der Unternehmensrichtlinie entsprechen.

Ein Hauptaugenmerk wurde auf die Verwendung von eindeutigen Geräte-IDs im Zusammenhang mit dem Zertifikatsrollout gelegt, um eine präzise Zuordnung der Zertifikate zu spezifischen Endgeräten sicherzustellen.

Automatische Konfiguration von S/MIME-Zertifikaten in Outlook

S/MIME: Herausforderung Zertifikatsrollout
Die Verschlüsselung von E-Mails mit S/MIME kann für die sichere Kommunikation in Unternehmen einen wichtigen Beitrag leisten. Dazu müssen jedoch die entsprechenden S/MIME-Zertifikate für jeden Benutzer auf dessen Rechner installiert und der verwendete Mail-Client für die Verwendung der Zertifikate konfiguriert werden.

Die Umgebung: Windows, Outlook, Entra ID
Es werden Windows-Rechner mit Microsoft Outlook eingesetzt. Die S/MIME-Zertifikate werden dabei von einem zentralen Zertifikats-Managementsystem bereitgestellt. Für den Zugriff auf dieses System wird OpenID Connect verwendet, wobei als Implementierung auf Serverseite Entra ID zum Einsatz kommt.

Unsere Lösung: Automatische Verteilung und Konfiguration der Zertifikate
Die Verteilung und Konfiguration der Zertifikate erfolgt mit einer Client-Software, die u.a. folgende Features bietet:

  • Installation per zentraler Softwareverteilung auf den Anwender-PCs.
  • Verwendung des jeweiligen User-Logins zur Authentifizierung bei Entra ID.
  • Automatische Konfiguration des Outlook-Profils.
  • Automatische Zertifikatserneuerung vor Ablauf.
  • Kein Handlungsbedarf für die Anwender, zeit- und kostenintensive Schulungen entfallen.
  • Durch zentrale Steuerung gut skalierbar und auch für große Benutzerzahlen geeignet.
„Verschlüsselung ist zu wichtig, um sie ausschließlich Regierungen zu überlassen.”

Bruce Schneier

Lokale Entschlüsselung verschlüsselter E-Mails

E-Mails sollen unverschlüsselt in zentralen Archiven des Kunden gespeichert werden.

Hierfür wurde ein System aufgebaut, das zu archivierende E-Mails entgegennimmt, vorhandene Verschlüsselungen entfernt und die so bearbeiteten E-Mails an die Archivierungssysteme weiterleitet.

Die zur S/MIME-Entschlüsselung erforderlichen Schlüssel werden von der zentralen S/MIME-Zertifikatsmanagement-Infrastruktur abgerufen, die Entfernung der AIP-Protection erfolgt über API-Calls gegen das AIP-Rights Management System in der Azure Cloud.

Self Service Portal

Für Certificate Management Systeme (CMS) von Drittanbietern stellen wir auf Basis unseres GlobalPKI Self Service Portals ein Frontend bereit. Sämtliche GUI-Texte und Profile sind vom Kunden konfigurierbar. Die Verbindung zum CMS erfolgt über API Calls zu Backend-Services.

  • Benutzerauthentifizierung mit SSO.
  • RBAC für alle Funktionen und Zertifikatsprofile.
  • Unterstützung mehrerer vordefinierter, vom Kunden konfigurierbarer, Zertifikatsprofile.
  • Anforderungserstellung basierend auf CSR-Upload und Parameterbearbeitung.
  • Überprüfung aller Anfragen anhand der Validierungsrichtlinien des Profils (z. B. Whitelist, Blacklist, Length, Regexp, angepasste Validatoren).
  • Unterstützung zusätzlicher Metadaten (Kontakte, Lebensdauer).
  • Direkte Angabe des Verteilungsziels (z.B. Windows-Rechner).
  • Massenimport über Excel-Vorlagen.
  • Workflows zur Antragsgenehmigung.
  • Herunterladen von privaten Schlüsseln und Zertifikaten.
  • E-Mail-Benachrichtigung mit vorausgefülltem Antrag bei Ablauf des Zertifikats.
  • Funktion zur automatischen Zertifikatserneuerung.