PKI und Key Management
Sicherheit mit Schlüssel und Zertifikat
PKI und Key Management ermöglichen, vertrauenswürdige IT- und PKI-Infrastrukturen aufzubauen sowie eine sichere Kommunikation in vernetzten Systemen zu gewährleisten. Um die grundlegenden Sicherheitsziele Vertraulichkeit, Integrität und Authentizität durch Verschlüsselung, Signierung und Authentisierung sicherzustellen, kommen digitale Schlüssel und X.509-Zertifikate zum Einsatz. Die korrekte und sichere Erstellung und Verwaltung von Schlüsseln und Zertifikaten ist dabei das Fundament für jegliche IT-Sicherheit.
Die ECOS TrustManagementAppliance® ist eine PKI- und Key-Management-Lösung zur Absicherung von mobilen Geräten, PCs, Servern, sonstigen Geräten und Prozessen speziell im Bereich OT und (I)IoT. Sie kann sowohl on-Premises als auch in der Cloud selbst oder als Service durch ECOS betrieben werden.
Certificate Lifecycle Management
Nie wieder Stillstand durch abgelaufene Zertifikate
Die Active Reports der ECOS TrustManagementAppliance können automatisch über alle anstehenden Zertifikatverlängerungen informieren. Die zahlreichen Verteilungsmechanismen automatisieren die Verteilung und Verlängerung von Zertifikaten vollständig. Durch die nahtlose Einbindung in bestehende IT-/OT-Infrastrukturen ist eine einfache Administration sichergestellt.
Focus auf OT/IoT
Neben den grundlegenden PKI- und Managementfunktionen bietet die ECOS TMA speziell auf OT/IoT ausgerichtete Features wie das TMA Edge Gateway. Dies dient als kompakte Ergänzung, um PKI an allen Orten zur Verfügung zu stellen, auch offline, mit höchster Verfügbarkeit und Zero-Administration. Zusätzlich bietet es Lösungen zum Enrollment von Zertifikaten in nicht-standardisierten (Produktions-)Umgebungen.
PKI-Einsatzszenarien
Industrial Security für OT & IoT
Sichere Maschinenidentitäten als Schutz vor Cyberangriffen
Office IT
Zertifikatbasierte Absicherung für Desktops und mobile Endgeräte
Netzwerk- und Server-Security
Das ECOS Sicherheitskonzept für Client- und Serverauthentifizierung
Funktionsübersicht:
Als All-In-One-PKI hilft die Trust Management Appliance, eine eigene PKI aufzubauen. Sie übernimmt sämtliche Funktionen zum Erstellen, Verwalten, Verteilen und Verifizieren von Zertifikaten, Schlüsseln und sonstigen Geheimnissen.
Ihre umfassende PKI-Lösung von ECOS.
Vorteile der ECOS PKI-Lösung auf einen Blick:
All-In-One
PKI und Key Management
Zertifikate, symmetrische Schlüssel und sonstige Geheimnisse
Alles aus einer Hand
Focus auf IoT/OT
Passt sich Anforderungen flexibel an
TMA Edge Gateway
Enrollment Agent
Active Report Editor
Frei gestaltbare Reports
Automatisierter Versand
Offene Schnittstellen
Nahtlose Integration in die bestehende Infrastruktur oder IoT-Produktionsumgebung
Einfaches Management
Freie Konfiguration und automatisierte Distribution von Zertifikaten
Investitionssicherheit
Frei skalierbar und optional hochverfügbar
Zertifikatverwaltung
Übersicht über alle unternehmensweit eingesetzten Zertifikate
Policy-Enforcement
Durchsetzung von Policies zum Sicherstellen korrekter Zertifikate
Zertifikatverlängerung
Automatische Verlängerung ausgewählter Zertifkate
Zertifikatverteilung
Vielfältige Verteilungsmechanismen, u.a. SCEP, EST, ACME, CMP und Script-basiert
(W)LAN-Anmeldung
Authentifizierung von Netzwerksystemen am LAN oder WLAN über IEEE 802.1.x
Überall einsetzbar
Läuft on-Premises, als VM, Container oder in der Cloud
Eigenbetrieb oder als Service
Die Zukunft der IT-Sicherheit
Entdecken Sie unsere vielfältigen Whitepaper zum Thema Public Key Infrastructure (PKI)
Whitepaper »PKI - Schlüssel und Zertifikate«
- Erfahren Sie, wie Sie Zertifikate als effektive Mittel zur Sicherstellung der Authentizität und Glaubwürdigkeit von Identitäten einsetzen können.
- Klären Sie die Unterschiede zwischen symmetrischer und asymmetrischer Verschlüsselung auf und verstehen Sie, wie sie in der Zertifikatinfrastruktur eingesetzt werden.
- Entdecken Sie die breite Palette von Anwendungen, in denen Zertifikate eine entscheidende Rolle spielen.
- Erhalten Sie Einblicke in die administrativen Hürden und bewährte Praktiken beim Management von Zertifikaten, um einen reibungslosen Betrieb und erhöhte Sicherheit zu gewährleisten.
Whitepaper »PKI und Key Management für IoT«
Absicherung von Geräten, Servern und Prozessen
- Erfahren Sie, wie Sie eine stabile und effektive Hierarchie für digitale Zertifikate entwickeln.
- Entdecken Sie die verschiedenen Methoden und Techniken zur Überprüfung von Zertifikaten, um sicherzustellen, dass sie gültig und vertrauenswürdig sind.
- Verstehen Sie den gesamten Lebenszyklus von Zertifikaten, von der Erstellung über die Verlängerung bis hin zur Archivierung und dem sicheren Entzug.
- Erfahren Sie, wie Sie detaillierte Berichte und Analysen nutzen können, um die Leistung Ihrer PKI-Infrastruktur zu überwachen und Sicherheitsrisiken frühzeitig zu erkennen.
Whitepaper »Zertifikatmanagement«
Mit smarten Reports stets den Überblick behalten
- Erhalten Sie eine Einführung in die Welt der Zertifikate, Identitäten und die vielfältigen Anwendungsbereiche.
- Erfahren Sie, welche aktuellen Daten und Erkenntnisse entscheidend sind, um die Sicherheit und Integrität Ihrer Zertifikate zu gewährleisten.
- Vertiefen Sie Ihr Verständnis dafür, warum ein zentrales Zertifikatmanagement eine unverzichtbare Komponente für die effiziente Verwaltung und Kontrolle von Zertifikaten ist.
- Entdecken Sie bewährte Praktiken zur Schaffung organisatorischer Strukturen, die sicherstellen, dass Zertifikate nicht zur Herausforderung, sondern zur Stärke Ihrer IT-Sicherheit werden.
Whitepaper »Quantencomputer«
Kryptoagilität: Die Zukunft beginnt jetzt
In unserem Whitepaper erhalten Sie technisches Hintergrundwissen rund um das Thema Quantencomputer und Post-Quanten-Kryptografie:
- Wie ist der aktuelle Stand der Entwicklung von Quantencomputern?
- Was können Quantencomputer in Bezug auf heutige Kryptografie?
- Überblick über den aktuellen Stand von Post-Quanten-Algorithmen.
- Was sind die Herausforderungen beim Einsatz von Post-Quanten-Kryptografie?
- Was sind Hybridzertifikate?
Kennen Sie schon unseren IT-Security-Blog?
Auch hier finden Sie spannende Beiträge zum Thema PKI
Cyber Resilience Act
Bedeutung des CRA für Hard- und Softwareprodukte
Was bedeutet der Cyber Resilience Act für Hersteller, Importeure und Händler von Hard- und Softwareprodukten?
NIS-2-Richtlinie
Alles, was Sie jetzt wissen müssen!
Erfahren Sie in diesem Beitrag, ob Sie zu den betroffenen Unternehmen zählen und was Sie nun beachten müssen.
Security by Design in der Entwicklung
IoT-Sicherheit von Anfang an
Lessen Sie alles über Risiken, Designprinzipien und Security by Design in der Praxis.
Reporting:
Wie Sie bei Zertifikaten den Überblick behalten
Lesen Sie hier, wie Reporting Ihnen dabei hilft, Ihre Zertifikate und IT-Infrastruktur sicher zu halten.
Digitale Identitäten verständlich erklärt:
Begriff, Funktionalitäten und Einsatzgebiete
Erkunden Sie die faszinierende Sphäre der digitalen Identitäten.
Digitale Zertifikate und Zertifizierungsstellen (Certificate Authority):
Grundlagen und Anwendungsbereiche
Gewährleistung von Sicherheit und Authentizität in der Kommunikation und Datenübertragung.
PKI (Public Key Infrastructure):
Die Bedeutung und die Rolle von Zertifikaten in der IT-Sicherheit
Verständnis der PKI: Was ist eine Public Key Infrastructure, wie arbeitet sie, und warum ist sie das Fundament der IT-Sicherheit?
Key-Management:
Fundamentale Konzepte für die sichere Schlüsselverwaltung
Entdecken Sie, warum Key-Management eine Schlüsselkomponente für Ihre Datensicherheit darstellt.
FAQ
Häufig gestellte Fragen zum Thema PKI und Key Management
Ein Public-Key-Infrastruktur (PKI)-Zertifikat, auch bekannt als digitales Zertifikat, ist ein elektronisches Dokument, das die Zugehörigkeit eines öffentlichen Schlüssels zu einer bestimmten Entität, wie einer Person, Organisation oder einem Gerät bestätigt. Es wird von einer Zertifizierungsstelle (Certificate Authority, CA), die in einer PKI eine zentrale Rolle spielt, erstellt und digital signiert.
Ein Zertifikat enthält wichtige Informationen wie den Namen des Zertifikatbesitzers, die Seriennummer, das Ablaufdatum und den zugehörigen öffentlichen Schlüssel. Zudem enthält es den digitalen Fingerabdruck des Zertifikats, der dessen Integrität sicherstellt, und die digitale Signatur der Zertifizierungsstelle, die das Zertifikat ausgestellt hat.
In einer PKI wird das Zertifikat genutzt, um sichere Kommunikation und Datenaustausch zu ermöglichen. Durch die Verwendung von Schlüsselpaaren - einem öffentlichen und einem privaten Schlüssel - können Nachrichten verschlüsselt und entschlüsselt, digitale Signaturen erstellt und überprüft und die Authentizität einer Entität bestätigt werden.
Die ECOS TrustManagementAppliance hilft dabei, Zertifikate zu verwalten und sicher zu verwenden, indem sie eine zentrale Plattform zur Ausstellung, Verwaltung und Überprüfung von digitalen Zertifikaten bietet. Sie stellt sicher, dass die mit jedem Zertifikat verknüpften Schlüssel sicher gespeichert und verwendet werden, um die Integrität und Vertraulichkeit der in (I)IoT-Umgebungen übertragenen Daten zu gewährleisten.
Eine PKI, kurz für Public Key Infrastructure, arbeitet mit der Verschlüsselung und Signierung von Daten. Dafür gibt es mehrere äußerst wichtige Gründe:
Datenschutz und -sicherheit: Die Verschlüsselung ermöglicht eine sichere Übertragung von Informationen über unsichere Netzwerke, wie das Internet. Sie verwendet ein Paar von Schlüsseln - einen öffentlichen und einen privaten - um Daten zu verschlüsseln und zu entschlüsseln. Nur der private Schlüssel kann, die mit dem öffentlichen Schlüssel verschlüsselten Daten entschlüsseln. Dies stellt sicher, dass selbst wenn die Daten während der Übertragung abgefangen werden, diese ohne den privaten Schlüssel nicht lesbar sind. Daher wird dies auch Public-Key-Verschlüsselung genannt.
Authentifizierung: Zertifikate stellen sicher, dass der öffentliche Schlüssel tatsächlich der Person oder dem System gehört, die/das ihn beansprucht. Sie spielen eine zentrale Rolle bei der Bestätigung der Identität einer Person oder eines Systems und helfen so, die Vertrauenswürdigkeit in digitale Interaktionen zu stärken.
Integrität der Daten: Durch die Verwendung digitaler Signaturen, die mit eine PKI erstellt werden, kann überprüft werden, ob Daten während der Übertragung verändert wurden. Das sorgt für die Integrität der Daten.
Nichtabstreitbarkeit: Durch das Signieren wird die Zugehörigkeit der Daten zu einer Entität zweifelsfrei bestätigt. Dies ist wichtig für rechtsverbindliche Transaktionen und andere Anwendungen, bei denen die Bestätigung der Identität entscheidend ist.
Eine Public-Key-Infrastructure (PKI)-Lösung ist ein System von Regeln, Funktionen, Richtlinien und Techniken, die zusammenarbeiten, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen und zu verifizieren. Diese Zertifikate sind entscheidend für die Überprüfung der Identität von Personen und Geräten in digitalen Netzwerken und ermöglichen eine geschützte, verschlüsselte Kommunikation zwischen ihnen.
Ein unverzichtbares Element innerhalb der PKI ist die Zertifizierungsstelle (Certificate Authority, CA), die als eine vertrauenswürdige Instanz agiert. Die CA ist dafür zuständig, Zertifikate auszustellen, die die Zuordnung eines öffentlichen Schlüssels zu einer spezifischen Entität bestätigen. Jedes Zertifikat enthält Angaben wie den Namen der Entität, den öffentlichen Schlüssel, das Gültigkeitsdatum und weitere Informationen, abgerundet durch die digitale Signatur der CA.
Die Kernfunktionalitäten einer PKI umfassen:
- Erzeugung von Schlüsseln: Jede Entität generiert ein Paar kryptografischer Schlüssel - einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel kann frei verteilt werden, der private Schlüssel wird hingegen sicher aufbewahrt und geheim gehalten.
- Erzeugung von Zertifikaten: Die Entität stellt einen Antrag bei der CA, um ein Zertifikat für ihren öffentlichen Schlüssel zu erhalten. Diese Anfrage kann auch Identifikationsinformationen beinhalten.
- Ausgabe von Zertifikaten: Die CA überprüft die Identität der Entität und erstellt ein Zertifikat, das den öffentlichen Schlüssel der Entität und die Identifikationsinformationen enthält. Dieses Zertifikat wird von der CA digital signiert.
- Verteilung von Zertifikaten: Die Entität kann ihr Zertifikat gemeinsam mit ihrem öffentlichen Schlüssel verteilen. Jeder, der das Zertifikat empfängt, kann die digitale Signatur der CA überprüfen und somit sicherstellen, dass das Zertifikat und der öffentliche Schlüssel tatsächlich von der angegebenen Entität stammen.
- Authentifizierung und Verschlüsselung: Um eine sichere Kommunikation mit einer anderen Entität aufzubauen, schickt die Entität ihr Zertifikat mit öffentlichem Schlüssel an ihren gewünschten Kommunikationspartner. Dieser verschlüsselt mit dem öffentlichen Schlüssel eine Nachricht, die ausschließlich mit dem privaten Schlüssel der Entität entschlüsselt werden kann. Gleichzeitig kann die Entität ihren privaten Schlüssel nutzen, um eine digitale Signatur zu erstellen, die mithilfe des öffentlichen Schlüssels überprüft werden kann und somit eine Authentifizierung ermöglicht.
Die ECOS TrustManagementAppliance ist eine PKI-Lösung, die all diese Funktionen in einer integrierten Plattform bietet, um die Sicherheit von mobilen Geräten, PCs, Servern und anderen Geräten in (I)IoT-Umgebungen zu gewährleisten.
PKI-Management ist ein komplexer Prozess, der sorgfältige Aufmerksamkeit und Planung erfordert. Hier sind einige wichtige Punkte, auf die Sie achten sollten:
- Richtige Implementierung: Eine PKI sollte sorgfältig implementiert werden. Fehler in der Implementierung führen zu Sicherheitslücken, die Angreifer ausnutzen können.
- Vertrauenswürdige Zertifizierungsstelle: Eine vertrauenswürdige Zertifizierungsstelle (CA) ist entscheidend, da diese die Legitimität der digitalen Zertifikate bestätigt.
- Private Schlüsselsicherheit: Der Schutz privater Schlüssel ist von größter Bedeutung. Wenn private Schlüssel kompromittiert sind, wird die gesamte Sicherheit des Systems untergraben.
- Lebenszyklusmanagement: Der Lebenszyklus von Zertifikaten muss sorgfältig verwaltet werden. Dies beinhalten ihre Erstellung, Verteilung, Erneuerung und Widerrufung. Ein versäumter Widerruf eines Zertifikats kann dazu führen, dass eine unautorisierte Partei Zugang zu den Systemen erhält.
- Konformität mit den Standards: Sie sollten sicherstellen, dass Ihre PKI-Lösung die relevanten Industriestandards und Best Practices einhält.
- Automatisierung: Die Automatisierung von Schlüssel- und Zertifikatsmanagementprozessen kann helfen, menschliche Fehler zu vermeiden und den Betrieb effizienter zu machen.
- Audit und Überwachung: Regelmäßige Audits und Überwachung sind wichtig, um sicherzustellen, dass die PKI richtig funktioniert, und um potenzielle Sicherheitsprobleme frühzeitig zu erkennen.
Die Verwaltung von Zertifikaten, auch bekannt als Certificate Lifecycle Management, ist ein zentraler Aspekt von Public-Key-Infrastrukturen (PKI). Es umfasst mehrere Schritte, die gewährleisten, dass die Zertifikate korrekt erstellt, verteilt, gespeichert, verwendet und zurückgezogen oder erneuert werden.
- Erstellung: Die Zertifikaterstellung beginnt mit der Generierung eines Schlüsselpaares - eines öffentlichen und eines privaten Schlüssels. Der öffentliche Schlüssel wird in ein Zertifikat eingebettet, das zusätzlich wichtige Informationen wie den Namen des Inhabers, die Gültigkeitsdauer und den digitalen Fingerabdruck enthält.
- Ausstellung: Die ausstellende Zertifizierungsstelle (CA) prüft und bestätigt die Identität des Antragstellers. Anschließend wird das Zertifikat digital signiert, um dessen Integrität und Authentizität zu gewährleisten.
- Verteilung: Sobald das Zertifikat erstellt und signiert ist, wird es an den Antragsteller verteilt und kann zur Identifikation und Verschlüsselung verwendet werden. Es kann auch in einem öffentlich zugänglichen Verzeichnis veröffentlicht werden, damit andere es überprüfen können.
- Nutzung: Das Zertifikat wird verwendet, um die Identität des Inhabers zu überprüfen und Daten zu verschlüsseln. Jeder, der das Zertifikat hat, kann den öffentlichen Schlüssel des Inhabers verwenden, um Daten zu verschlüsseln oder die Signatur zu überprüfen.
- Erneuerung/Revokation: Zertifikate haben eine begrenzte Gültigkeitsdauer und müssen erneuert werden, bevor sie ablaufen. Wenn ein Zertifikat kompromittiert ist der private Schlüssel öffentlich geworden ist, muss das dazugehörige Zertifikat zurückgezogen werden, um die Sicherheit nicht weiter zu gefährden.
PKI im Einsatz bei Techem
Bei der Übertragung von Ablese- und Verbrauchswerten aus Millionen von Immobilien ist der führende Serviceanbieter für smarte und nachhaltige Gebäude Techem auf eine sicher verschlüsselte Datenkommunikation angewiesen.
Mit der Trust Management Appliance sichert ECOS bei Techem den Datenverkehr von mehr als 52 Millionen Funkerfassungsgeräten ab.
Sie interessieren sich für die ECOS TrustManagementAppliance oder haben Fragen?
Wir freuen uns auf Ihre Nachricht!
Technische Informationen zur Trust Management Appliance
Zertifikatverwaltung
- Erstellen, verlängern, zurückziehen von Zertifikaten
- Zertifikate, Geheimnisse und symmetrische Schlüssel
- Schlüssellänge und Signaturalgorithmus frei konfigurierbar
- Frei definierbare und zuordenbare Metadaten
- Automatische Verlängerung der Zertifikate
- Klassifizieren und Strukturieren von Zertifikaten
- Automatisierbare Zertifikatsregistrierung (certificate enrollment | Basis via SCEP)
- Automatisierbare Zertifikatserneuerung (certificate renewal | Basis via SCEP, EST)
Distribution
- Distribution der Zertifikate per LDAP, SCEP, ACME oder Windows Dienst
- Unterstützung von Windows-/Linux-Server sowie Clients, weitere Endgeräte (insb. Android und iOS via Mobile Device Management)
- Betanken oder Erzeugung von Zertifikaten auf der Smartcard
Self-Service-Portal
- Self-Service-Portal für Anwender, Helpdesk und Admin
- Frei konfigurierbare Workflows z.B. für
- die Beantragung von Zertifikaten
- die Genehmigung von Zertifikatsanforderungen
- den Download und die Installation von Zertifikaten
- das Enrollment auf Smartcards
- regelmäßige Helpdesk-/Admin-Arbeiten
Validierung
- Validierung der Zertifikate per CRL oder OCSP
Speicherung
- Sichere Speicherung im Hardware Security Modul möglich
Integration
- Kopplung mit AD oder sonstigem Metadirectory
- Steuerung und Konfigurierbarkeit sämtlicher Funktionen per REST-API
- Integration in bestehende PKI, als Sub- oder Root-CA
- Cluster-Betrieb, auch standortübergreifend
- Mehrstufig gegliederte Root- und Sub-CAs
- Import-Schnittstelle für Öffentliche und Private Zertifikate
- SNMP-Schnittstelle für die Anbindung eines Monitoringsystems
- syslog-Schnittstelle für die Anbindung eines Aggregations-Tools
- Virtuelle Appliance zum Betrieb unter VMware, Microsoft Hyper-V oder anderen Virtualisierungslösungen
- Vorkonfiguriertes ISO-Image mit ECOS Secure Linux und TMA
Authentisierung
- Unterstützung von OTP-Token, Software-Token und SMS
- Radius-Server zur Authentifizierung per IEEE 802.1X
Mandantenverwaltung
- Zentrale Administration mandantenspezifischer Root-CAs
Reporting
- Vordefinierte Reports und eigener Report-Editor
- Automatisches Benachrichtigungssystem über Active Reports
Administration
- Zentrale Web-Oberfläche
- Granulare Rechtevergabe für das Admin-Interface