Die ECOS CERTIFICATE AUTHORITY APPLIANCE ist eine intelligente PKI-Lösung, die sich durch Ihre durch ihre Vielseitigkeit und einfache Handhabung auszeichnet. Sie vereint alle benötigten Dienste in einem System und lässt sich über zahlreiche Schnittstellen einfach, schnell und kostengünstig in die vorhandene IT-Infrastruktur integrieren.

Grundfunktion einer jeden PKI, so auch der ECOS PKI-Lösung ist das Erstellen, Verlängern und Zurückziehen von Zertifikaten.

Die ECOS CERTIFICATE APPLIANCE (CAA) erlaubt den Aufbau mehrstufig hierarchisch gegliederter CAs und Sub-CAs. Unterschiedlichen Geschäftsbereichen oder Mandanten können somit entsprechende Root-CAs zugeordnet werden. Dies erlaubt es, auch komplexe Organisationshierarchien in der Zertifikatsverwaltung abzubilden. Die zu erstellenden Zertifikate sind frei ­parametrisierbar, sowohl deren Inhalt, als auch Parameter, wie z.B. Schlüssellänge oder Signaturalgorithmus. Sie lassen sich über die ECOS CAA in allen gängigen Formaten zur Verfügung stellen. Die Verlängerung der Zertifikate kann automatisch, nach voreingestellten Kriterien oder auf Knopfdruck erfolgen. Dabei hat der Administrator jederzeit eine detaillierte Übersicht über die Laufzeit und die anstehenden Verlängerungen. Scheiden Mitarbeiter aus dem Unternehmen aus oder sollen aus anderen Gründen Zertifikate zurückgezogen werden, kann dies manuell oder auch automatisch erfolgen, z.B. durch Löschen des Benutzeraccounts in dem Active Directory (AD).

Die Informationen zu gesperrten Zertifikaten werden direkt als Certificate Revocation List (CRL) zur Verfügung gestellt.

Alternativ kann der Status jedes Zertifikats direkt per Online Certificate Status Protocol (OCSP) über den von der ECOS CAA bereitgestellten Dienst geprüft werden.

 

Distribution

Für die Distribution und automatische Verlängerung der erstellten Zertifikate an Servern, VPN-Gateways oder Endgeräten ,wie PCs, Tablets und Smartphones stehen unterschiedliche Mechanismen zur Verfügung. Für alle Geräte, welche dieses Verfahren unterstützen, können die erzeugten Zertifikate in einem LDAP-Server zur Abholung bereitgestellt werden.

Für VoIP-Telefone und Mobile Geräte kann die Verteilung per SCEP (Simple ­Certificate Enrollment Protocol) erfolgen. ­Windows-Geräte und Benutzer werden über eine Verteilung per AD oder mittels eines eigenständigen Zertifikats-Distributions-Tools ausgerollt, das auch unabhängig von dem Active Directory operieren kann.

Ebenso ist es im Admin-Interface möglich, Zertifikate auf Smartcards auszurollen, wobei der private Schlüssel direkt auf der Smartcard erzeugt wird.

 

Integration

Der Erfolg der Einführung einer neuen PKI wird maßgeblich von den Möglichkeiten der Integration in die vorhandene IT-Infrastruktur mitbestimmt. Über die Kopplung mit dem AD oder einem sonstigen Meta-Directory kann sich die ECOS CAA die notwendigen Informationen zur Erzeugung der Zertifikate holen, z.B. für eine bestimmte Benutzer-, Server- oder Gerätegruppe. Sofern gewünscht, werden die Zertifikate direkt in das AD zurückgeschrieben, um sie auf diesem Weg zu verteilen.

Die ECOS CAA erlaubt eine nahtlose Integration in eine bereits vorhandene PKI. So kann die CAA als Sub-CA an einer bestehenden Root-CA betrieben werden oder auch, z.B. beim Zusammenfassen von Unternehmensbereichen, als Root-CA für einzelne Sub-CAs dienen. Über die integrierte HTTP-API lassen sich ausnahmslos alle Vorgänge über entsprechende Skripte fernsteuern. So kann beispielsweise aus einem Software-Deployment-Tool heraus die Erzeugung und Verteilung von Zertifikaten vollständig automatisiert werden. Die ECOS CERTIFICATE APPLIANCE selbst wird als virtuelle Appliance geliefert, zum Betrieb unter VMware, Microsoft ­Hyper-V oder anderen Virtualisierungs­lösungen.

 

Authentisierung

Für eine Authentifikation von Benutzern und Geräten im LAN oder WLAN nach IEEE 802.1X hat die ECOS CAA einen eigenen Radius-Server integriert. Damit kann z.B. eine sichere Authentisierung von mobilen Geräten am WLAN Access Point erreicht werden.

Neben der Zertifikatsverwaltung bietet die ECOS CAA ein ­eigenes Modul zur Erzeugung und Verifikation von One-Time-Passwörten (OTP) an. Hierbei werden nicht nur Hardware-Token, sondern  auch Soft-Token (App) für iOS, Android und Windows Phone unterstützt.

Darüber hinaus ist ein Versand von Einmalpasswörtern per SMS möglich. Dies erfolgt an die für den jeweiligen User im AD ­hinterlegte Handy-Nummer. Die Verifikation des eingegebenen Einmalpassworts erfolgt über den integrierten Radius-Server.

 

Admin-Interface

Die Bedienung der ECOS CAA erfolgt über ein Web-basiertes Admin-Interface. Über eine granulare Rechtevergabe lassen sich die einzelnen Rollen und Rechte, vom Mitarbeiter im Helpdesk bis zum IT-Verantwortlichen, genau abbilden.

 

Smart Reporting

Die ECOS CERTIFICATE APPLIANCE bringt standardmäßig bereits eine breite Auswahl an Reports mit, die dem Admin einen bestmöglichen Überblick darüber liefern, wann welche Zertifikate für welchen User, welchen Server oder welches Gerät ausgestellt wurden und ob Zertifikate abgelaufen sind oder zur Verlängerung anstehen.

Über ein automatisches Benachrichtigungssystem kann der System-Administrator nach eigenen, voreingestellten Kriterien per E-Mail über anstehende Zertifikatsverlängerungen informiert werden.

Der in der ECOS CAA integrierte Report-Editor erlaubt den flexiblen Zugriff auf sämtliche zur Verfügung stehende Daten. Einmal ­generierte Reports lassen sich abspeichern und anderen Berechtigten zur Verfügung stellen.

Über die individuellen Gestaltungsmöglichkeiten der Reports wird sichergestellt, auch den komplexen Unternehmensanforderungen an das Auditing gerecht zu werden.

 

Hochverfügbarkeit

Je nach Einsatzszenario kann die ECOS CERTIFICATE ­APPLIANCE auch hochverfügbar im Cluster betrieben werden. So wird gewährleistet, dass sich die Benutzer beim möglichen Ausfall ­eines Systems und des damit verbundenen Ausfalls des ­Radius- oder OCSP-Servers weiterhin anmelden können. Es lassen sich ­mehrere CAAs standortübergreifend betreiben und stellen ­somit jederzeit optimale Antwortzeiten der Server sicher.

 

 

  • Erstellen, verlängern, zurückziehen von Zertifikaten
  • Mehrstufig gegliederte Root- und Sub-CAs
  • Schlüssellänge und Signaturalgorithmus frei konfigurierbar
  • Statusüberprüfung der Zertifikate per CRL oder OCSP
  • Distribution der Zertifikate per LDAP, SCEP oder Windows Tool
  • Kopplung mit AD oder sonstigem Metadirectory
  • Integration in bestehende PKI, als Sub- oder Root-CA
  • Steuerung sämtlicher Funktionen per HTTP-API
  • Betrieb unter VMware, Microsoft Hyper-V oder anderen Virtualisierungslösungen
  • Radius-Server zur Authentifizierung per IEEE 802.1X
  • Unterstützung von OTP-Token, Soft-Token und SMS
  • Granulare Rechtevergabe für das Admin-Interface
  • Vordefinierte Reports und eigener Report-Editor
  • Automatisches Benachrichtigungssystem
  • Cluster-Betrieb, auch standortübergreifend

Vertrieb
Deutschland, Österreich, Schweiz

Tel: +49 (6133) 939-200

Kontaktformular