Ihre Daten sind genauso geschäftskritisch wie jede andere Ressource Ihres Unternehmens. Daher sind zusätzliche Sicherheitsebenen zum Schutz Ihrer wertvollen Systeme inzwischen absolut notwendig. Mit einer PKI wenden Sie hochentwickelte Authentifizierungs- und Verschlüsselungsmethoden auf Ihr Netzwerk an und haben damit die Risiken im Griff.
Eine PKI (Public Key Infrastructure) ist ein System aus Prozessen, Technologien und Richtlinien zum Verschlüsseln und Signieren von Daten. Mit einer PKI können Sie digitale Zertifikate ausstellen, die die Identität von Benutzern, Geräten oder Diensten authentifizieren. Diese Zertifikate ermöglichen eine sichere Verbindung sowohl mit öffentlichen Webseiten als auch mit privaten Systemen, beispielsweise Ihrem virtuellen privaten Netz (VPN), Ihrem internen WLAN, Ihren Wiki-Seiten und anderen Diensten, die eine Multifaktor-Authentifizierung unterstützen. Sie haben Fragen?
Mit einer privaten PKI können Sie Ihre eigenen, privaten SSL-Zertifikate aus einem eigenen Zwischenzertifikat ausstellen, das seinerseits von einer vertrauenswürdigen (oftmals öffentlichen) Zertifizierungsstelle ausgegeben wird. So können Sie Zertifikate an besondere Bedürfnisse anpassen und bei Bedarf für interne Zwecke bereitstellen.
Entgegen einer weit verbreiteten Annahme eignen sich PKIs mit ihren starken Authentifizierungsmechanismen ideal für den explosionsartig wachsenden IoT-Markt.
Fünf Schritte zum Aufbau einer skalierbaren PKI
So bauen Sie eine skalierungsfähige PKI auf
PKI – die Sicherheitslösung für das Internet der Dinge
Eine Public Key Infrastructure (PKI) ist ein System aus Prozessen, Technologien und Richtlinien zum Verschlüsseln bzw. Signieren von Daten. Mit einer PKI können Sie digitale Zertifikate ausstellen, die die Identität von Benutzern, Geräten oder Services authentifizieren. Diese Zertifikate können sowohl für öffentliche Websites als auch für private interne Services genutzt werden und erlauben beispielsweise die Authentifizierung von Geräten bei Ihrem VPN, Wiki, WLAN usw.
Mit einer PKI (Public Key Infrastructure) können Sie das Sicherheitsniveau Ihres Netzwerks erheblich erhöhen. Dies liegt an den folgenden drei Merkmalen:
Zu den gängigen Einsatzmöglichkeiten für PKIs gehören:
Im Rahmen der Ende-zu-Ende-Verschlüsselung wird eine Nachricht auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt. Dadurch wird sichergestellt, dass Ihre sensiblen Daten nicht von Dritten abgefangen werden können.
Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, die die Identität einer Organisation prüft, die ein digitales Zertifikat beantragt. Wenn die Identität der Organisation erfolgreich bestätigt wurde, stellt die CA ein Zertifikat aus und verknüpft die Identität der Organisation mit einem öffentlichen Schlüssel. Ein digitales Zertifikat ist vertrauenswürdig, weil es mit dem Root-Zertifikat der CA verkettet ist.
Ein digitales Zertifikat bürgt für die Identität seines Inhabers. Es wurde wie ein Ausweisdokument von einer vertrauenswürdigen Instanz ausgegeben, ist fälschungssicher und enthält Informationen zur Identität des Inhabers.
Öffentliche und private Schlüssel werden zur Verschlüsselung und Entschlüsselung von Informationen verwendet. Die Informationen, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden. Ein solches Schlüsselpaar wird für die asymmetrische Kryptografie genutzt – asymmetrisch, weil die beiden Schlüssel nicht identisch sind. Die beiden Schlüssel sind mathematisch verwandt, es ist aber nicht möglich, mithilfe des einen Schlüssels Rückschlüsse auf den anderen zu ziehen.
Ein Root-Zertifikat enthält die Signatur, mit der eine Identität mit dem öffentlichen Schlüssel verknüpft wird. Daran lässt sich feststellen, ob ein Zertifikat gültig ist und ob man ihm vertrauen kann.
Kurz gesagt: ja. DigiCert bietet Lösungen sowohl für öffentliche als auch für private PKIs sowie eine Plattform und eine RESTful-API zum Automatisieren der Zertifikatsverwaltung und zum Anpassen der PKI-Workflows. Wenn Sie bisher nur öffentliche SSL-Zertifikate bei einer kommerziellen CA gekauft haben, sind Sie eventuell der Meinung, dass private Zertifikate ähnlich viel kosten wie öffentliche Zertifikate, aber das ist nicht der Fall. Die Ausstellung eines privaten digitalen Zertifikats mit einer DigiCert-Lösung verursacht nur den Bruchteil der Kosten eines öffentlichen Zertifikats.
Sicherheitsfachleute und Admins denken manchmal, dass sie sich mit einer gehosteten privaten PKI auf bestimmte Zertifikatsprofile festlegen, doch das stimmt nicht. Sie haben natürlich nicht nur Zugang zu Zertifikatsprofilen, die vom CA/Browser Forum genehmigt sind. Im Gegenteil: Bei DigiCert erhalten Sie jedes Zertifikatsprofil, das Sie brauchen. Dabei muss es sich nicht um SSL/TLS-Zertifikatsprofile handeln – und sie müssen noch nicht einmal dem Standard X.509 entsprechen.
Eine MPKI (Managed PKI) ist eine Lösung, die von einer CA angeboten wird und Ihnen die Automatisierung von Zertifikatsprozessen und die benutzerdefinierte Anpassung von PKI-Workflows ermöglicht. Wenn in Ihrem Unternehmen große Stückzahlen von Zertifikaten benötigt werden, ist eine MPKI-Lösung sinnvoll, weil sie die Zertifikatsverwaltung vereinfacht.
Sie können Ihre internen Dienste wie VPN, WLAN, Wiki usw. mit einer internen CA sichern. Viele Unternehmen nutzen hierfür eine Microsoft-CA. Die Einrichtung und Pflege einer internen CA kann jedoch kosten- und zeitaufwendig sein. Bevor Sie sich entscheiden, sollten Sie die Kosten der Alternativen vergleichen. Viele Zertifizierungsstellen bieten gehostete Lösungen an, mit denen Sie einige der Hardware-, Software- und Personalkosten einsparen, die beim Aufbau einer internen PKI anfallen.
Eine Zertifikatsrichtlinie (ZR, auch CP für „Certificate Policy“) ist ein Dokument, in dem die beteiligten Akteure einer PKI sowie ihre Rollen, Rechte und Pflichten geregelt sind. Die ZR gibt an, wie Zertifikate genutzt werden können, wie die Namen der Zertifikate gewählt werden müssen, wie Schlüssel generiert werden und vieles mehr. Die geltende ZR ist in der Regel in einem Feld des X.509-Zertifikats angegeben. Detailliertere Informationen zu Zertifikatsrichtlinien finden Sie im aktuellen Referenzdokument (RFC 3647): https://tools.ietf.org/html/rfc3647
Schlüsselspeicherung, auch Schlüsselarchivierung genannt, ist die sichere Aufbewahrung des privaten Schlüssels für den Fall, dass er verloren geht. Um den Anforderungen des FIPS-Standards zu genügen und die höchstmögliche Sicherheit zu gewährleisten, empfehlen wir, Ihre Schlüssel mithilfe eines Hardware-Sicherheitsmoduls (HSM) zu speichern.
Ein HSM (Hardware-Sicherheitsmodul) ist eine kryptografische, hardwarebasierte Option für die sichere Speicherung von Schlüsseln. In der Regel werden HSMs im Gebäude der jeweiligen Organisation aufgestellt und müssen von internen Ressourcen gepflegt werden. Dies kann kostenintensiv sein. Es gibt aber auch kostengünstigere Alternativen. So bietet beispielsweise der Microsoft Azure Key Vault eine sichere Speicheroption für Schlüssel im cloudbasierten HSM von Microsoft. Für kleinere Unternehmen und Organisationen, die sich nicht mit der Beschaffung und Pflege eines eigenen HSM belasten möchten, ist Microsoft Azure Key Vault eine praktikable Lösung. Einige öffentliche CAs, darunter auch DigiCert, bieten eine Integration mit Microsoft Azure.
Zunächst müssen Sie die Einsatzumgebung analysieren, indem Sie Ihren Bedarf bestimmen und die Technologie, mit der Sie arbeiten, erfassen. Wir empfehlen, nach den folgenden fünf Schritten vorzugehen:
Wenn Sie Hilfe brauchen, wenden Sie sich per E-Mail an unser Team von PKI-Experten: enterprise@digicert.com