FAQ

Produkt-Features

Keycloak ermöglicht die flexible Nutzung verschiedener Authentifizierungsprotokolle über eine zentrale Sign-In und Sign-Out Funktion für alle MTG ERS® Anwendungen (CLM, PKI, KMS):

OpenID Connect und SAML support
Support für Google reCAPTCHA um die Anmeldung gegen Bots zu schützen
Multi-Faktor-Authentifizierung mit OTP für zusätzliche Sicherheit (TOTP, HOTP)
Starke Authentifizierung mit X.509 Zertifikaten
Konfigurierbare Passwort Policies mit Optionen für Länge, Zeichen, Komplexität usw.
Konfigurierbare Authentifizierungsabläufe, die eine Feinabstimmung jedes einzelnen Anmeldeprozesses ermöglichen
LDAP, Active Directory- und andere Kerberos-Integrationen verfügbar
Unterstützung der neuesten W3C-Spezifikation für Web Authentifizierung (WebAuthn)

Import Zertifikate – Kann ich alle Zertifikate ins CLM importieren?

Das Importieren Ihrer Unternehmenszertifikate in das zentrale Zertifikatsverwaltungssystem ist jederzeit manuell möglich. Sofern Automatisierungsmöglichkeiten bestehen, lässt sich der Import noch einfacher durchführen.

Zertifikat erstellen – Wie erstelle ich ein Zertifikat?

Mit dem CLM ist das ganz einfach. Wir haben ein Video dazu vorbereitet.

MTG Doku: Quickstart Guide „Issue your first certificate“

Reporting & Monitoring – Was kann ich damit überwachen?

Verfolgen Sie stets den Status Ihrer Zertifikate und vermeiden Sie Überraschungen.MTG CLM bietet ein umfassendes Benachrichtigungssystem über Änderungen des Zertifikatsstatus. Benutzer werden rechtzeitig und mehrmals vor Ablauf der Gültigkeit von Zertifikaten darüber informiert. Die pünktliche und reibungslose Erneuerung wird damit jederzeit sichergestellt.

Umfassende, benutzerfreundliche Dashboards bieten Einblicke in den Zertifikatsstatus der einzelnen Geschäftsbereiche und ermöglichen einen schnellen Überblick.
Erweiterte Filter- und Suchfunktionen ermöglichen eine einfache Identifizierung und Darstellung der Ergebnisse, die dann problemlos im CSV-Format zur weiteren Verarbeitung exportiert werden können.
Protokollierung von Ereignissen in einem zentralen Log, das für CLM-Administratoren zugänglich ist und die Nachverfolgung Tätigkeiten in der Anwendung erlaubt.

Rollen- und Rechte – Was kann ich einrichten?

Das Rollen- und Rechtemanagement kann zentral verwaltet werden und bietet detaillierte Einstellmöglichkeiten zur Einrichtung von Berechtigungen von CLM-Nutzern, z.B. die Einschränkung von Berechtigungen auf definierte Realms oder Policies.Hierbei können Einstellungen für die jeweiligen Benutzer, ganze Geschäftsbereiche oder Policies vorgenommen werden. Der MTG CLM ermöglicht außerdem eine individuelle Organisation der Zugriffsrechte für digitale Zertifikate.

Die jeweiligen Bereiche (sog. Realms) können z.B. nach Abteilungen, Benutzergruppen oder Hierarchien gegliedert werden.
Unterschiedliche Benutzer mit Leserechten oder Konfigurationsrechten für Zertifikate können eingerichtet werden.
Die Benachrichtigungsregeln können individuell angepasst werden.
Die Benutzeroberfläche passt sich den jeweiligen Einstellungen an.

MTG Doku: User Guide „Authentication“

Policies – Wie kann ich mit Zertifikatstemplates Fehlkonfigurationen verhindern?

Policies enthalten eine umfassende Sammlung von Regeln, die für die Konfiguration der verschiedenen Zertifikate benötigt werden. Dadurch wird sichergestellt, dass die Einträge vollständig, fehlerfrei und konform sind. Individuelle Vorlagen für E-Mails, Server, vernetzte Hardware oder mobile Geräte können damit erstellt werden. Die MPKI stellt eine Auswahl an vorkonfigurierten Policies bereit, die fast alle gängigen Anwendungsfälle abdecken. Dafür sind kundenseitig keine weiteren Aktionen notwendig.

Einschränkung der Auswahl nur auf zugelassene Algorithmen
Einschränkungsmöglichkeiten nur auf zugelassenes Schlüsselmaterial
Einstellung der Gültigkeitsdauer von Zertifikaten
Auswahlmöglichkeit für die manuelle oder automatische Genehmigung von Zertifikatsanträgen
Etablierung eines 4-Augen-Prinzips

Je nach Einsatzzweck eines Zertifikats werden spezifische Anforderungen über die Definition von Policies umgesetzt, die auf dieses Einsatzszenario abgestimmt sind.Jede Managed PKI Instanz wird mit einer Auswahl an vordefinierten Policies für Standardszenarien ausgeliefert, die angepasst und übernommen werden können. Weitere Policies können auf Grundlage von bestehenden Policies erstellt werden, etwa durch Clonen einer bestehenden Policy und Anpassung einzelner Werte. Es ist aber auch möglich, Policies komplett neu zu definieren. Sollten spezifische Templates gewünscht sein oder bestehende angepasst werden, so ist dies im Rahmen von Beratungsservices möglich. Unsere PKI-Experten unterstützen Sie bei der Konzeption und Einrichtung dieser Vorlagen.

Policies – Gibt es schon Templates, die ich für gängige Einssatzzwecke nutzen kann?

Jede Managed PKI Instanz wird mit einer Auswahl an vordefinierten Policies für Standardszenarien ausgeliefert, die angepasst und übernommen werden können. Sie finden bei Auslieferung standardmäßig folgende folgende Policy -Templates: SSL/TLS Server, ACME Standard TLS-Zertifikate für Webserver Machine, SCEP, EST, CMP: Zertifikate für Netzwerkgeräte (z.B. Switche, Router, Drucker etc.) Person, S/MIME Email: Secure E-Mail (S/MIME), Absicherung von VPN-Zugängen, sichere Anmeldung Person Active Directory: AD Zertifikate, die für Nutzer z.B. im Rahmen des Autoenrollment Prozesses ausgestellt werden. Code Signing: Code Signing Zertifikate Falls Sie im Onboaring-Formular spezifische Angaben zu Automatisierungsprotokollen gemacht haben, werden weitere passende Vorlagen aktiviert. Darüber Hinaus können Policies auf Grundlage von bestehenden Policies erstellt werden, etwa durch Clonen einer bestehenden Policy und Anpassung einzelner Werte. Es ist aber auch möglich, Policies komplett neu zu definieren.

Public Zertifikate – Kann ich auch Public Zertifikate nutzen und ggf. sogar direkt kaufen?

Öffentliche Zertifikate werden für die gesicherte Kommunikation mit externen Entitäten benötigt. Möchte man die Beantragung, den Import und den Betrieb mit dem CLM vereinfachen ist die technische Anbindung an das CLM empfehlenswert. Aktuell ist das mit den Public CAs von der PSW Group und GlobalSign möglich. Es ist geplant, einen zentralen Zugang für alle wichtigen Public CA Anbieter anzubieten. Auf Anfrage können andere Public-CA Anbieter angebunden werden.

Realms – Wie kann ich meine PKI nach Geschäftsbereichen einrichten?

Die Einrichtung unterschiedlicher Geschäftsbereiche ist sehr einfach und übersichtlich. Der MTG CLM ermöglicht damit eine individuelle Organisation der Zugriffsrechte für digitale Zertifikate. In Verbindung mit dem rollen und Rechtesystem wird es dadurch besonder einfach abteilungsspezifische „Self Services“ zu ermöglichen, ohne dass immer ein zentrales PKI Adminstrator aktiv werden muss.

Kontrolle & Freigabe – Kann ich kontrollieren, wer Zertifikate erstellen darf?

Die Software bietet Auswahlmöglichkeiten für die manuelle oder automatische Genehmigung von Zertifikatsanträgen an. Ebenso ist die Etablierung eines 4-Augen-Prinzips möglich.

HSM – Brauche ich unbedingt ein Hardware Security Modul (HSM) für meine PKI?

Der Einsatz von HSM zum Schutz der privaten Schlüssel ist unseres Erachtens ein MUSS für die IT-Sicherheit. Ein Hardware Security Modul (HSM) wird immer dann benötigt, wenn in Infrastrukturen kryptografische Schlüssel besonders gut gegen Angriffe – sowohl auf die Software, als auch auf die Hardware – geschützt werden sollen. HSM erzeugen und verwalten kryptografische Schlüssel und sichern somit digitale Identitäten. Damit bilden HSM den Vertrauensanker zum Schutz digitaler Daten.
Ein sicheres Management der verwendeten kryptografischen Schlüssel wird in allen gesetzlichen Bestimmungen verlangt, in denen IT-Sicherheit nach dem Stand der Technik gefordert wird. Dazu gehören Anforderungen aus der DSGVO, DIN ISO 27001 und NIS2. In sensiblen Bereichen, wie etwa Bereichen der kritischen Infrastruktur haben sich dabei HSMs als De Facto Standard etabliert.
Die kundenspezifischen Signing Keys der MTG PKI Software werden über ein nShield Hardware Security Modul der Firma Entrust abgesichert. Es gibt jeweils ein HSM an den Standorten Darmstadt und Frankfurt, die über einen RFS-Server (RFS = Remote File System) geclustert sind. Entrust nShield Connect HSMs sind zertifiziert nach FIPS 140-2 Level 3 und Common Criteria EAL4+ (EN 419 221-5).

Zugriffsrechte – Wie kann ich mit meiner PKI mein Identitäts- und Zugriffsmanagement schützen?

Digitale Zertifikate bieten eine zusätzliche Ebene der Authentifizierung und Sicherheit, die über das einfache Wissen von Passwörtern hinausgeht und zusätzlich den Besitz eines zum Zertifikat gehörigen geheimen Wertes erfordert.

Digitale Zertifikate können zur Authentifizierung und Autorisierung von Benutzern und Geräten in verschiedenen Unternehmensnetzwerken verwendet werden. Typische Beispiele sind Windows Benutzer, Computer, Laptops, Firewalls, Router, Switches und IoT Devices.

Sehr häufig werden zertifikatsbasierte Authentifizierungsverfahren im Microsoft Umgebungen umgesetzt. Das Microsoft Active Directory (AD) bietet hierfür eine zentrale Plattform für die Verwaltung von Benutzeridentitäten, Zugriffsrechten und Richtlinien. Ein AD kann beispielsweise in Verbindung mit einem Authentisierungs-Server (z.B. RADIUS, Remote Authentication Dial-In User Service) eine zertifikatsbasierte Authentifizierung und Autorisierung von Benutzern in lokalen Netzen, etwa einem WLAN, umsetzen.

Netzwerksicherheit – Wie sichere ich mit meiner PKI Netzwerke ab?

In VPNs (Virtual Private Networks) werden PKIs verwendet, um die Identität der kommunizierenden Parteien zu authentifizieren und eine sichere, verschlüsselte Verbindung über öffentliche Netzwerke hinweg zu etablieren. Dies ist entscheidend für den Schutz sensibler Unternehmensdaten bei Fernzugriffen von Mitarbeitern auf Unternehmens-Ressourcen, z.B. im Home Office. Auch die Verbindung von Unternehmensstandorten lässt sich mittels digitaler Zertifikate absichern. Ferner wird durch die Verwendung von Zertifikaten die Skalierbarkeit des VPN-Dienstes verbessert, da sie einfach zu verwalten und zu verteilen sind, selbst wenn die Anzahl der Nutzer oder Geräte wächst.

NAC – Was ist Network Access Control (NAC)?

Mit diesem Sicherheits-Mechanismus werden Zertifikate genutzt, um den Zugriff von Endgeräten in die Netzwerkinfrastruktur von Unternehmen zu kontrollieren. Endgeräte sind unter anderem PC, Laptop, Drucker oder mobile Geräte. Erst nach erfolgreicher Authentifizierung der Geräte mit einem gültigen Zertifikat wird der Zugriff auf die Netzinfrastruktur (LAN/WLAN) des Unternehmens gewährt. Die Zertifikate müssen hierzu bei dem Netzeingangspunkt (Switch oder WIFI-Zugangspunkt) vorgelegt und von einem Radius-Server authentifiziert werden. Der betreffende Netzeingangspunkt wird erst danach freigeschaltet.

E-Mail-Verschlüsselung – Kann ich mit Zertifikaten E-Mails verschlüsseln?

E-Mail-Zertifikate sind ein wichtiges Instrument zur Verbesserung der sicheren E-Mail-Kommunikation in einem Unternehmen oder zwischen Unternehmen. Sie ermöglichen es den Mitarbeitern, ihre E-Mails digital zu signieren und so die Integrität der Nachricht und ihre Authentizität zu garantieren. Außerdem ermöglichen diese Zertifikate die Verschlüsselung von E-Mails und schützen so sensible Informationen vor unbefugtem Zugriff. Häufig werden hierzu öffentliche Zertifikate von Public CA Anbietern eingesetzt. Eine sichere E-Mail-Kommunikation kann dabei Ende-zu-Ende oder über den Einsatz zentraler E-Mail Gateways realisiert werden.

SSL/TLS – Kann ich auch SSL/TLS Webserver-Zertifikate nutzen?

SSL/TLS-Zertifikate sind für die Sicherung von Webanwendungen und -diensten unerlässlich. Dabei kommen Zertifikate einer öffentlichen Zertifizierungsstelle (Public CA) zum Einsatz, deren Gültigkeit von allen Teilnehmern im Internet überprüft werden kann. Bei einer großen Anzahl von Zertifikaten kann ein Certificate Lifecycle Management (CLM) dem Aufwand für die Verwaltung von Zertifikaten und die damit verbundenen Kosten reduzieren.

Mobile Geräte sichern – Wie bekomme ich meine mobilen Geräte abgesichert?

Mobile-Device-Management-Plattformen (MDM) werden für die Verwaltung und Sicherung mobiler Geräte innerhalb eines Unternehmens eingesetzt. Eine PKI spielt eine entscheidende Rolle bei der Sicherung der Kommunikation zwischen mobilen Geräten, Apps, Benutzern und Unternehmensdiensten. Eine PKI mit integriertem CLM kann die Bereitstellung und Verwaltung digitaler Zertifikate auf mobilen Geräten optimieren und so einen sicheren Zugriff auf Unternehmensressourcen gewährleisten.

Digitale Signaturen – Kann ich Digitale Signaturen für meine Dokumente erstellen?

Dokumentensignaturzertifikate werden verwendet, um die Authentizität und Integrität von Dokumenten zu überprüfen. Eine Managed PKI-Lösung kann die Ausstellung und Erneuerung dieser Zertifikate automatisieren und so sicherstellen, dass signierte Dokumente (z.B. PDFs) von Endbenutzern und Interessengruppen als vertrauenswürdig eingestuft werden können. PKIs ermöglichen die Erstellung digitaler Signaturen, die die Authentizität und Integrität von elektronischen Dokumenten bestätigen. Dies wird häufig für rechtliche Dokumente und Vertragsunterzeichnungen verwendet.

Code Signing – Wie Funktioniert Code Signing mit meiner PKI?

Digitale Zertifikate tragen im Rahmen des Code Signing wesentlich zur Sicherheit, Integrität und zum Vertrauen in Softwareprodukte und/oder Firmware bei. Diese bestätigen die Identität des Herausgebers der Software. Benutzer können sicher sein, dass die Software tatsächlich von dem angegebenen Unternehmen stammt und nicht von einem unbekannten oder schädlichen Akteur. Wenn Software signiert ist, können Benutzer sicher sein, dass der Code seit der Signierung nicht verändert wurde. Jegliche Modifikationen am Code nach der Signierung würden die digitale Signatur ungültig machen, wodurch Benutzer vor manipulierter oder infizierter Software geschützt werden.

Anwendungsfälle in Zukunft – Kann ich damit alle meine Anwendungsfälle langfristig umsetzen?

Alle gängigen Anwendungsfälle lassen sich mit dem 360° GSA Angebot umsezten. Hierzu lassen sich die zahlreichen technischen Schnittstellen, Verwaltungsfeatures und auch die umfassenden Beratungsservices nutzen. Da wir unser System ständig weiterentwickeln und aktuell halten, profitieren unser Nutzer auch von vielen Neuerungen oder optionalen Erweiterungen.

Certificate Discovery – Wie kann ich nach (versteckten) Zertifikate in meinem Unternehmen systematisch suchen?

Die Certificate Discovery Funktion ermöglicht ein systematisches Scannen nach unbekannten privaten und öffentlichen Server-Zertifikaten. Der Scanprozess ermöglicht, einen Scan im Netzwerk nach SSL/TLS-Zertifikaten, eine Discovery Funktionalität, die automatisiert LDAP und Active Directory Instanzen auf Zertifikate durchsucht, und eine Recherche in Certificate Transparency Logs. Die gefundenen Zertifikate werden dann in das CLM importiert. Diese Funktionalität wird das Management von Microsoft Zertifikate im CLM erheblich erleichtern.

Identifizieren und importieren Sie automatische alle Zertifikate ohne zusätzlichen manuellen Aufwand in Ihr System.
Erstellen Sie schnell und einfach ein digitales Inventar aller öffentlichen und privaten TLS/SSL-Zertifikate des Unternehmens.
Verschaffen Sie sich so einen vollständigen und visuellen Überblick über alle eingesetzten Zertifikate und die zugehörigen Geräte.
Erkennen Sie auch unbekannte Zertifikate in Ihren Umgebungen.
Analysieren Sie potenzielle Risiken durch Identifikation und Auflistung der eingesetzten Zertifikate mit den verwendeten und ggf. problematischen Krypto-Primitiven.

In der Online Dokumentation finden Sie alle notwendigen Schritte, um Ihre Zertifikate im Unternehmen zu scannen.

Sperrung Zertifikate – Wozu brauche ich OCSP und CRL Responder?

Für die zuverlässige und hochleistungsfähige Sperrung von Zertifikaten wird kundenseitig regelmäßig nach bestimmten OCSP und CRL-Funktionalitäten bei einer PKI gefragt. MTG Managed Corporate PKI erfüllt diese Funktionen vollumfänglich:

OCSP Responder gemäß RFC 6960
OCSP Stapling gemäß RFC 6961
LDAP und HTTP CRL Distribution Point Support

Root CA – Habe ich eine eigene Root CA?

Die oberste Vertrauens-Instanz eine PKI ist die sogenannte Root Certification Authority (Root-CA). Diese signiert mit ihrem privaten Schlüssel eine oder mehrere untergeordnete Sub Certification Authorities (kurz: Sub CA’s). Das stellt sicher, dass die Zertifikate ausstellende Instanz, die Sub CA, vertrauenswürdig ist. Eine Root CA enthält sehr sensibles Schlüsselmaterial. Darum ist es wichtig für jeden Kunden eine eigene einzurichten und das Schlüsselmaterial in Hardware Security Modulen besonders zu schützen.

Multiple Root CA – Kann ich mehrere Root CAs einrichten?

Bei Bedarf können auch zwei oder mehrere Root-CAs eingerichtet werden. Das kann in bestimmten Fällen erforderlich sein, z.B. wenn andere Schlüsselalgorithmen zum Einsatz kommen sollen (z.B. einerseits Elliptische Kurven für bestimmte Branchenstandards und andererseits RSA für Standardanwendungen wie S/MIME).

Offline Root CA – Wann benötige ich eine Offline Root CA?

Eine Offline Root CA ist ein ganz spezieller Sonderfall, der zusätzlichen manuellen Aufwand beim Anbieter des Services erfordert. Eine offline Root-CA ist eine spezielle Variante, die in einem speziellen Schutzbereich aufbewahrt werden muss und die nur aktiviert wird, wenn man weitere Sub-CAs einrichten will (was sehr selten vorkommt, wenn überhaupt). Der Offline-Modus schützt extrem stark vor unberechtigten Zugriffen. Eine Offline-Root-CA sollte nur dann eingesetzt werden, wenn besonders hohe Anforderungen an die IT-Sicherheit gestellt werden, die der Kunde z.B. aufgrund regulatorischer Auflagen erfüllen muss.

Sub-CA – Habe ich eine eigene Sub-CA?

Unter einer Root-CA lassen sich bei Bedarf auch mehrere Sub-CAs einrichten. Das kann beispielsweise hilfreich sein, wenn eine stärkere Trennung von Business Units innerhalb eines Unternehmens erforderlich sein sollte.

Multiple Sub-CAs – Wann machen mehrere Sub-CAs Sinn?

Auditlog – Kann ich für meine Sicherheit alles protokollieren?

Die Rückverfolgbarkeit aller CA-Aktivitäten ist ein wichtiges Qualitätsmerkmal auf das im Rahmen von Zertifizierungen und Standards gefordert wird. Auch im Fall eines Sicherheitsvorfalls dienen diese Daten als Nachweis für die Erfüllung der Sorgfaltspflichten. Die 360 Managed PKI & CLM bietet zu diesem Zweck ein detailliertes Audit-Log.

Dokumentation – Gibt es eine (Online-) Dokumentation?

Allen Kunden steht eine umfassende Online Dokumentation zur Verfügung. Diese wird auch im Zuge der erfolgreichen Aktivierung der kostenlosen Online Demo bereitgestellt.

Automatisierung – Was kann ich mit der 360° Managed PKI & CLM automatisieren?

Umfassende Automationsschnittstellen sparen Zeit, Geld und reduzieren die Fehleranfälligkeit.
Mit dem CLM können alle Prozesse für Zertifikate automatisiert werden, die aus angebundenen CAs stammen: Aktuell sind das MTG-, Mircosoft-, GlobalSign- und Telekom-CAs.
Der große Vorteil für Microsoft CA Nutzer ist die Möglichkeit, auch Prozesse außerhalb der Mircosoft-Welt zu automatisieren.

Was kann damit automatisiert werden?

Automatisierung des Zertifikats-Supports für alle wichtigen PKI-Schnittstellen:
Linux-basierte Server mittels ACME
Netzwerk-Geräte mittels SCEP, EST & CMP
Alle anderen Systeme mittels REST & CLI Client
Mobile Geräte mittels SCEP-Protokoll

Autoenrollment – Ist eine Verbindung von meiner Public CA oder meiner PKI zum Microsoft Active Directory möglich?

Mit dem CLM Autoenrollment Connector haben Sie eine Verbindung von ihrer Public CA oder der MTG PKI zum Microsoft Active Directory.
Damit können Sie Ihre Microsoft PKI (AD CS) mit geringem Aufwand ersetzen!

Nutzen Sie ab sofort die zukunftssichere MTG PKI für ein breiteres Spektrum an Anwendungsszenarien innerhalb und außerhalb der Windows Welt.
Behalten sie dabei alle etablierten und automatisierten Windowsprozesse für das Ausstellen, Erneuern und Bereitstellen von Zertifikaten im Microsoft Active Directory bei.
Integrieren Sie zusätzlich eine Public CA für die Nutzung von öffentlichen Zertifikaten im Rahmen Ihrer automatisierten Windowsprozesse.

Für die einfachere Integration kann auf Wunsch ein Test-Simulator bereitgestellt werden, der lokal installiert wird, um alle Optionen zu testen. Der Simulator ist eine Java Anwendung die eine einfache PKI simuliert. Das hilft erheblich, um die MS Integration von dem Autoenrollment Connector autark zu testen.

Angebot & Abrechnung

Professional Paket – Für wen ist es geeignet?

Dieses Paket ist für Kunden geeignet, die Ihre Micorsoft PKI (AD CS) weiter nutzen und mit einem CLM erweitern wollen. Die Verwaltung und Überwachung ihrer Zertifikate soll damit optimieren werden. Interessant ist das Paket auch für Kunden, die viele Public CA Zertifikate mit einem CLM verwalten wollen. Hierzu bieten wir die Anbindung von Public CAs über GlobalSign oder über PSW Group.

Ultimate Paket – Für wen ist es geeignet?

Das Ultimate-Paket ist für alle Kunden geeignet, die Ihre Microsoft PKIs (AD CS) mit wenig Aufwand ablösen wollen, um so die Zertifikatsverwaltung zu vereinfachen und schnell und einfach mehr Use-Cases umzusetzen . Es ist ebenfalls geeignet für Kunden, die noch keine PKI haben, aber mit möglichst wenig Fachwissen ihre Zertifikatsbasierten prozesse etablieren und verwalten wollen. Für Kunden, die nicht selbst im eigenen Rechenzentrum eine private PKI betreiben wollen, ist dieses Angebot ebenfalls geeignet. Das kann für Neukunden gelten, die das erste Mal eine PKI nutzen wollen oder müssen oder solche, die eine eigene haben, aber nicht mehr selbst weiter betreiben wollen.

Abrechnungsmodell – Wie wird abgerechnet?

Es gibt einen monatlichen Grundpreis der bereits 50 Zertifikate enthält. Je nach ausgewähltem Paket variiert der Grundpreis ein wenig. Je nach Bedarf können auch größere Pakete bestellt werden. Der durchschnittliche Zertifikatspreis sinkt um so stärker, je größer das gewählte Zertifikatspaket ist. Die Abrechnung erfolgt monatlich. Werden mehr Zertifikate genutzt als bestellt, wird das Zertifikatspaket entsprechend angepasst.

Kostenplanung – Welche Kosten kommen auf mich zu?

Die Preise für die Zertifikatspakete übermitteln wir sehr gerne auf Anfrage. Im Zertifikatspaketpreis sind alle wichtigen Kostenkomponenten enthalten. Je nach Vorkenntnissen und verfügbaren PKI-Know-How muss noch ein Budget für die Analyse und Umsetzung der Anwendungsfälle eingeplant werden. Damit das auch ohne PKI-Erfahrung planbar ist, bieten wir die Möglichkeit für einen kostenlosen zweimonatigen Proof-of-Concept an. Hierfür wird zusätzlich ein kostenloser Kick-off Termin mit unseren PKI-Experten veranstaltet. Hier können alle Fragen geklärt und der konkrete externe Beratungsbedarf in allen Phasen des Projektes ermittelt werden. Auf dieser Basis erhalten Sie dann ein Angebot und können das Budget für die Analyse, Umsetzung und sogar für den späteren operativen Betrieb einplanen. Nach der kostenlosen Testphase können alle zertifikatsbasierten Prozesse, die Implementiert wurden, mit in den operativen Betrieb übernommen werden.

Microsoft PKI (AD CS)

AD CS – Reicht meine kostenlose MS PKI nicht völlig aus?

Wenn Sie eine moderne PKI nutzen möchten, sollten Sie unbedingt Alternativen zur Microsoft PKI (AD CS) in Betracht ziehen. Unsere Erfahrung zeigt, dass es zwei Hauptmotivationen gibt, die Unternehmen dazu bewegen, von einer kostenlosen Microsoft PKI zu einer moderneren Lösung zu wechseln:

Besseres Certificate Lifecycle Management: Moderne PKI-Lösungen bieten umfassendere und automatisierte Tools für die Verwaltung des Lebenszyklus von Zertifikaten. Dies umfasst die Ausstellung, Erneuerung, Sperrung und Überwachung von Zertifikaten, was den Verwaltungsaufwand erheblich reduziert und die Sicherheit erhöht.
Mehr Use-Cases mit weniger Aufwand: Eine modernere PKI kann vielfältigere Anwendungsfälle unterstützen, oft mit deutlich geringerem Aufwand. Dazu gehören unter anderem erweiterte Integrationen, Unterstützung für mobile Geräte, IoT-Sicherheit und Cloud-Umgebungen. Dies ermöglicht es Ihrem Unternehmen, flexibel auf neue Anforderungen und technologische Entwicklungen zu reagieren.

Weitere Details und fundierte Antworten zu diesem Thema finden Sie in dem verlinkten Artikel, der auch in die Erstellung dieser FAQs eingeflossen ist. Es ist wichtig, dass Sie Ihre spezifischen Bedürfnisse und die zukünftigen Anforderungen Ihres Unternehmens sorgfältig prüfen, um die beste PKI-Lösung zu wählen.Grenzen der Microsoft Active Directory Zertifikatsdienste – Uwe Gradenegger

Certificate Lifecycle Manager – Kann ich meine MS PKI (AD CS) an das CLM anbinden?

Ja, es ist problemlos möglich, die Microsoft CA (AD CS) an das CLM anzubinden. Dadurch können Sie Ihre bestehende Microsoft CA auch für weitere, nicht-Windows-spezifische Use Cases nutzen, wie zum Beispiel die Ausstellung von Linux-Server-Zertifikaten über ACME.

Für Kunden, die eine Microsoft PKI (AD CS) im Einsatz haben, bieten sich zwei Optionen:
Professional Paket: Ihre Microsoft PKI wird weiterhin betrieben. Das CLM verwaltet ebenfalls die zertifikatsbasierten Prozesse. Dies ermöglicht eine zentrale Verwaltung und Automatisierung von Zertifikaten, was die Effizienz und Sicherheit erhöht.
Ultimate Paket: Wenn der CLM Autoenrollment Connector mit dem Ultimate Paket genutzt wird, kann die Microsoft PKI (AD CS) vollständig durch die MTG PKI ersetzt werden, ohne dass die Active Directory-basierten Prozesse geändert werden müssen. Dies bietet eine nahtlose Integration und ermöglicht es Ihnen, von den erweiterten Funktionen und der höheren Flexibilität der modernen PKI zu profitieren.

Diese Optionen bieten Ihnen die Möglichkeit, die Vorteile einer modernen PKI zu nutzen, während Sie Ihre bestehende Infrastruktur weiterhin verwenden oder schrittweise ablösen können.

Microsoft AD CS Migrationschart

Migration – Kann ich meine MSPKI mit der 360° Managed PKI & CLM ohne Reibungsverluste ersetzen?

Mit dem CLM Autoenrollment Connector haben Sie eine Verbindung von ihrer Public CA oder der MTG PKI zum Microsoft Active Directory. Damit können Sie Ihre Microsoft PKI (AD CS) ersetzen!

Nutzen Sie ab sofort die zukunftssichere MTG PKI für ein breiteres Spektrum an Anwendungsszenarien innerhalb und außerhalb der Windows Welt.
Behalten sie dabei alle etablierten und automatisierten Windowsprozesse für das Ausstellen, Erneuern und Bereitstellen von Zertifikaten im Microsoft Active Directory bei.
Integrieren Sie zusätzlich eine Public CA für die Nutzung von öffentlichen Zertifikaten im Rahmen Ihrer automatisierten Windowsprozesse.

Die Einführung der Autoenrollment Komponente hängt stark davon ab, welches Anwendungsszenario beim Kunden vorliegt. Darum sind vor Nutzung zahlreiche Beistellleistungen auf Kundenseite notwendig. 360° GSA unterstützt bei Bedarf bei der Integration der Microsoft PKI (AD CS) zur MTG PKI.Für die einfachere Integration kann auf Wunsch ein Test-Simulator bereitgestellt werden, der lokal installiert wird, um alle Optionen zu testen. Der Simulator ist eine Java Anwendung die eine einfache PKI simuliert. Das hilft erheblich, um die MS Integration von dem Autoenrollment Connector autark zu testen.

Microsoft AD CS Migrationschart

Certificate Lifecycle Management – Haben die MS AD CS ein CLM?

Die Microsoft CA (AD CS) kann bestimmte Zertifikate verwalten, jedoch ist der Umfang der weiteren Möglichkeiten begrenzt. Wer ein umfassendes Certificate Lifecycle Management (CLM) benötigt, sollte nach passenden Erweiterungen suchen, wie zum Beispiel unser Angebot.
Ein modernes CLM bietet zahlreiche Vorteile, darunter:

Webbasierte User Self Services: Diese ermöglichen es Benutzern, Zertifikate selbstständig zu verwalten, was den Verwaltungsaufwand erheblich reduziert.
Flexibel gestaltbare Certificate Policies: Diese erlauben eine präzise Anpassung der Zertifikatsrichtlinien an die spezifischen Anforderungen Ihres Unternehmens.
Detaillierte Konfigurationsmöglichkeiten: Mit diesen können Rollen- und Rechteverteilungen exakt definiert werden, um den Sicherheitsanforderungen und Compliance-Vorgaben gerecht zu werden.

Mit einem modernen CLM können Sie also nicht nur den Lebenszyklus Ihrer Zertifikate effizienter verwalten, sondern auch die Sicherheit und Flexibilität Ihrer IT-Infrastruktur erheblich verbessern.

Use Cases mit AD CS – Kann ich mit der MS-PKI alle Use Cases umsetzen?

Das können wir nicht pauschal beantworten. Nach unserem Kenntnisstand unterstützen die AD CS (Active Directory Certificate Services) derzeit nicht die folgenden Schnittstellen:

Enrollment over Secure Transport (EST)
Automatic Certificate Management Environment (ACME) (es gibt jedoch Lösungen von Drittanbietern)
Certificate Management Protocol (CMP)
REST- oder SOAP-basierte Schnittstellen zur Zertifikatbeantragung sind ebenfalls nicht verfügbar

Es gibt auf dem Markt spezialisierte Anbieter, die diese Lücken mit zu lizenzierenden Bausteinen schließen können. Unser aktuelles 360° Managed PKI & CLM Angebot deckt jedoch alle oben genannten Bausteine ohne zusätzliche Mehrkosten in den beiden Paketen Professional und Ultimate ab.
Das bedeutet, dass Sie mit unserer Lösung eine umfassende Unterstützung für verschiedene Use-Cases erhalten, ohne sich um zusätzliche Kosten oder Kompatibilitätsprobleme kümmern zu müssen. So können Sie sicherstellen, dass Ihre PKI alle aktuellen und zukünftigen Anforderungen erfüllt.

Pflege & Updates – Wie aktuell ist die MS-PKI (AD CS)?

Die Active Directory Certificate Services (AD CS) existieren im Wesentlichen (wenn auch unter anderem Namen) seit Windows NT 4.0. Die heute genutzte, auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt.

Die AD CS sind entsprechend gut in das Windows-Ökosystem integriert und genießen weiterhin weltweit große Beliebtheit in Unternehmen und Behörden jeder Größenordnung. Diese langjährige Integration und weit verbreitete Nutzung spricht für die Zuverlässigkeit und Stabilität der Microsoft PKI (AD CS).

Allerdings bedeutet dies auch, dass die grundlegende Technologie und einige der implementierten Protokolle nicht die neuesten Innovationen und Sicherheitsstandards reflektieren. Um modernen Sicherheitsanforderungen gerecht zu werden und von den neuesten Entwicklungen in der Kryptographie und PKI-Technologie zu profitieren, kann die Ergänzung oder der Ersatz durch eine modernere PKI-Lösung sinnvoll sein.

Eine moderne PKI bietet nicht nur höhere Sicherheit und bessere Automatisierungsfunktionen, sondern auch umfassendere Unterstützung für aktuelle und zukünftige Anwendungsfälle in hybriden und cloudbasierten Umgebungen.

Windowsserver & Zertifikatsstelle – Kann ich mit der MS-PKI (AD CS) mehrere Zertifikatsstellen auf einem Server betreiben?

Nein. Bei den Active Directory Certificate Services (AD CS) ist es erforderlich, pro logischer Zertifizierungsstelle eine komplette Windows Server Instanz zu betreiben. Je nach Unternehmensgröße kann es durchaus sinnvoll sein, Zertifizierungsstellen nach Einsatzzweck zu trennen und zu begrenzen.
Außerdem gibt es häufig mehrere Active Directory-Umgebungen und Zertifizierungsstellen-Hierarchien. Dies führt zwangsläufig zu einer höheren Anzahl von Zertifizierungsstellen-Servern, die alle verwaltet, gehärtet, aktualisiert, gepflegt und finanziert werden müssen.
Aus Sicht der PKI-Technologie ist es jedoch problemlos möglich, mehrere Zertifizierungsstellen auf dem gleichen Server zu betreiben und so Kosten zu sparen. Führende PKI-Spezialisten ermöglichen dies heutzutage problemlos. Durch den Einsatz moderner PKI-Lösungen können Sie die Anzahl der benötigten Serverinstanzen reduzieren, die Verwaltung vereinfachen und die Betriebskosten senken.

Hochverfügbarkeit – Wird eine echte Hochverfügbarkeit unterstützt?

Die Zertifizierungsstellen-Datenbank bei den Active Directory Certificate Services (AD CS) ist monolithisch pro Server implementiert. Dies bedeutet, dass sie nicht über mehrere Zertifizierungsstellen konsolidiert werden kann und direkt auf den jeweiligen Zertifizierungsstellen-Servern betrieben werden muss. Die Zertifizierungsstellen-Datenbank unterstützt keine Datenbankreplikation für echtes Clustering. In der aktuellen Cluster-Implementierung kann und darf immer nur ein Cluster-Knoten über das Dateisystem auf die Datenbankdateien zugreifen. Dies schränkt die Möglichkeiten zur Implementierung einer echten Hochverfügbarkeit erheblich ein. Moderne PKI-Lösungen bieten jedoch fortschrittliche Optionen für Hochverfügbarkeit, einschließlich Datenbankreplikation und Unterstützung für echte Cluster-Umgebungen. Dadurch wird sichergestellt, dass Ihre PKI-Infrastruktur auch bei Ausfällen einzelner Komponenten weiterhin verfügbar bleibt und zuverlässig funktioniert. Durch den Einsatz einer modernen PKI-Lösung können Sie daher die Verfügbarkeit und Ausfallsicherheit Ihrer Zertifizierungsdienste erheblich verbessern.

Zertifikatsvorlagen – Gibt es eine Active Directory Integration und Zerifikatsvorlagen?

Ja, die Zertifikatvorlagen werden im Active Directory gespeichert. Allerdings gibt es einige Einschränkungen:

Automatische Erstellung und Bearbeitung: Es existiert keine offizielle Methode zur automatischen Erstellung und Bearbeitung von Zertifikatvorlagen. Dies bedeutet, dass Änderungen manuell durchgeführt werden müssen, was zeitaufwendig und fehleranfällig sein kann.
Globale Konfiguration: Die Konfiguration der Zertifikatvorlagen wirkt sich global auf alle ausgestellten Zertifikate einer bestimmten Zertifizierungsstelle aus. Wenn eine differenzierte Handhabung erforderlich ist, muss eine zusätzliche Zertifizierungsstelle eingerichtet werden.
Zusätzliche Ressourcen: Die Einrichtung zusätzlicher Zertifizierungsstellen erfordert die Bereitstellung weiterer Windows-Server, was zusätzliche Kosten und administrativen Aufwand verursacht.

Moderne PKI-Lösungen bieten hier deutlich mehr Flexibilität und Automatisierungsmöglichkeiten. Sie ermöglichen eine feinere Granularität bei der Verwaltung von Zertifikatsrichtlinien und -vorlagen und unterstützen automatische Prozesse zur Erstellung und Verwaltung. Dies reduziert den Verwaltungsaufwand erheblich und minimiert das Risiko von Fehlern. Durch den Einsatz einer modernen PKI können Sie somit nicht nur die Integration und Verwaltung von Zertifikaten optimieren, sondern auch die Betriebskosten senken und die Effizienz Ihrer IT-Infrastruktur steigern.

Verfügbarkeit – Was passiert bei Änderungen an der Konfiguration mit der Verfügbarkeit?

Wenn Änderungen an der Konfiguration einer Zertifizierungsstelle vorgenommen werden, erfordert dies einen Neustart des Dienstes. Dies hat zur Folge, dass die Verfügbarkeit der Zertifizierungsstelle vorübergehend unterbrochen wird.

Diese Unterbrechung kann kritisch sein, insbesondere wenn die Zertifizierungsstelle häufig verwendet wird oder wenn die Änderungen während wichtiger Betriebszeiten vorgenommen werden müssen. Moderne PKI-Lösungen bieten hier Vorteile durch Features wie:

Keine Neustarts erforderlich: Viele moderne PKI-Systeme ermöglichen es, Konfigurationsänderungen vorzunehmen, ohne dass ein Neustart des Dienstes erforderlich ist. Dies minimiert Ausfallzeiten und gewährleistet eine kontinuierliche Verfügbarkeit.
Redundante Konfiguration: Einige Lösungen bieten die Möglichkeit, Änderungen auf einer redundanten Instanz vorzunehmen und zu testen, bevor sie live geschaltet werden. Dies gewährleistet, dass die Hauptinstanz weiterhin verfügbar bleibt.
Automatisierte Rollbacks: Im Falle eines Fehlers können moderne PKI-Systeme automatische Rollbacks auf die vorherige Konfiguration durchführen, um schnell zur vollen Funktionalität zurückzukehren.

Durch den Einsatz einer modernen PKI-Lösung können Sie somit die Verfügbarkeit Ihrer Zertifizierungsdienste maximieren und gleichzeitig die Flexibilität und Effizienz bei der Verwaltung und Konfiguration Ihrer PKI-Infrastruktur erhöhen.

Certificate Policies – Kann ich mit der AD CS Policy Module erstellen?

Ja, aber das Standard-Policy-Modul von Windows erlaubt keine Erstellung von Regeln für manuelle Zertifikatanforderungen. Dadurch entstehen häufig Fehler bei der Zertifikatausstellung, wie vergessene Attribute, nicht erkannte Syntaxfehler, die Möglichkeit mehrerer CNs und fehlerhafte Ausstellungen, die sicherheitsrelevante Auswirkungen haben können.

PKI-Wechsel – Kann ich alle meine Active Directory Einstellungen beim PKI-Wechsel behalten?

Mit dem CLM Autoenrollment Connector haben Sie eine Verbindung von ihrer 360° Managed PKI & CLM zum Microsoft Active Directory. Damit können Sie mit wenig Aufwand Ihre Microsoft PKI (ADCS) ersetzen!

Nutzen Sie ab sofort die zukunftssichere MTG PKI für ein breiteres Spektrum an Anwendungsszenarien innerhalb und außerhalb der Windows Welt.
Behalten sie dabei alle etablierten und automatisierten Windowsprozesse für das Ausstellen, Erneuern und Bereitstellen von Zertifikaten im Microsoft Active Directory bei.
Integrieren Sie zusätzlich eine Public CA für die Nutzung von öffentlichen Zertifikaten im Rahmen Ihrer automatisierten Windowsprozesse.

AD CS Schnittstellen-Support – Unterstützt AD CS gängige Schnittstellen, die für den modernen PKI Betrieb erforderlich sind?

Eine wesentliche Schnittstelle zur Zertifikatbeantragung bei ADCS ist die RPC/DCOM bzw. MS-WCCE, die jedoch proprietär ist und eher für On-Premise-Umgebungen sowie kaum für die Cloud-native Welt optimiert ist. Diese Schnittstelle ist auf Active Directory Authentisierungsverfahren beschränkt. Als wesentliche Schnittstelle steht SCEP zur Verfügung, die jedoch in vielen Fällen zu erhöhtem Aufwand führt, um bestimmte Automatisierungsprozesse umzusetzen.
Nach unserem Kenntnisstand unterstützen die ADCS derzeit nicht die folgenden wichtigen Schnittstellen:

Enrollment over Secure Transport (EST)
Automatic Certificate Management Environment (ACME) (es gibt jedoch Lösungen von Drittanbietern)
Certificate Management Protocol (CMP)
REST- oder SOAP-basierte Schnittstellen zur Zertifikatbeantragung sind ebenfalls nicht verfügbar

Es gibt spezialisierte Anbieter auf dem Markt, die diese Lücken mit lizenzierbaren Bausteinen schließen können. Unser aktuelles 360° Managed PKI & CLM Angebot deckt alle oben genannten Schnittstellen und Funktionen ohne zusätzliche Mehrkosten in den Paketen Professional und Ultimate ab.
Diese moderne PKI-Lösung ermöglicht Ihnen die Nutzung gängiger Schnittstellen und unterstützt die Automatisierung und Integration in verschiedene IT-Umgebungen, einschließlich Cloud-Services, was Ihre Flexibilität und Effizienz erheblich steigern kann.

NDES – Was muss ich beim Registrierungsdienst für Netzwerkgeräte (NDES) beachten, gibt es Probleme oder Einschränkungen?

Der Registrierungsdienst für Netzwerkgeräte (NDES) weist mehrere Einschränkungen auf, die bei der Implementierung und Nutzung berücksichtigt werden sollten:

Fehlende Richtliniendefinition: NDES erlaubt keine Definition von spezifischen Richtlinien für Zertifikatbeantragungen. Dies bedeutet, dass jede Kombination aus Zertifizierungsstelle, Zertifikatvorlage und Passwortrichtlinie individuell konfiguriert werden muss.
Separate Server-Instanzen: Jede Kombination aus Zertifizierungsstelle, Zertifikatvorlage und Passwortrichtlinie erfordert eine eigene, kostenpflichtige Windows-Server-Instanz. Dies kann zu erheblichen zusätzlichen Kosten und administrativem Aufwand führen.
Keine Hochverfügbarkeit: Hochverfügbarkeit ist mit NDES nicht möglich, da es keinen Replikationsmechanismus für Einmalkennwörter gibt. Ein Ausfall des Servers würde daher zu einer Unterbrechung der Zertifikatdienste führen.
Veraltete CSP-Schnittstellen: NDES verwendet veraltete Cryptographic Service Provider (CSP)-Schnittstellen, was die Nutzung moderner kryptografischer Verfahren und Technologien einschränkt.
Keine Unterstützung für elliptische Kurven: NDES unterstützt keine elliptischen Kurven, die in vielen modernen kryptografischen Anwendungen verwendet werden. Dies kann die Sicherheit und Effizienz Ihrer PKI beeinträchtigen.

Für eine moderne und zukunftssichere PKI-Implementierung sollten Sie daher in Erwägung ziehen, alternative Lösungen zu prüfen, die diese Einschränkungen nicht aufweisen. Moderne PKI-Lösungen bieten umfangreichere Funktionen, bessere Skalierbarkeit, Hochverfügbarkeitsoptionen und Unterstützung für aktuelle kryptografische Standards, einschließlich elliptischer Kurven.

OCSP – Kann ich einen Online Responder ohne Probleme nutzen? (OCSP)

Da die Zertifizierungsstellen-Server Mitglieder des Active Directory sind, können sie auf vielfältige Weise kompromittiert werden, etwa durch Gruppenrichtlinien, Anmeldung von unberechtigten Konten mit Administrator-Rechten oder kompromittierte Dienstkonten.

Das Gleiche gilt für die Sperrlistenveröffentlichung und die Beantragung der OCSP-Antwortsignaturzertifikate. Diese werden mit den Active Directory-Mechanismen authentifiziert. Sicherheitskritische Sperrlisten- und OCSP-Server, die oft mit dem Internet verbunden sind, befinden sich daher in der Regel in derselben Active Directory-Gesamtstruktur wie die Zertifizierungsstellen und werden häufig auch mit denselben Konten administriert. Dadurch besteht ein erhöhtes Risiko, dass eine Kompromittierung eines Sperrlisten- oder OCSP-Servers auch die Zertifizierungsstellen gefährdet.

Moderne PKI-Lösungen bieten hier erweiterte Sicherheitsmechanismen, um diese Risiken zu minimieren. Dazu gehören:

Isolierte Umgebungen: OCSP-Responder und Sperrlistenserver können in isolierten Umgebungen betrieben werden, die von den Zertifizierungsstellen getrennt sind, um die Ausbreitung von Kompromittierungen zu verhindern.
Stärkere Authentifizierungsmechanismen: Der Einsatz von Multi-Faktor-Authentifizierung und rollenbasierter Zugriffskontrolle reduziert das Risiko unberechtigter Zugriffe.
Regelmäßige Sicherheitsüberprüfungen: Regelmäßige Audits und Sicherheitsüberprüfungen können helfen, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.

Durch den Einsatz moderner PKI-Technologien und Best Practices können Sie die Sicherheit und Zuverlässigkeit Ihrer OCSP-Responder und Zertifizierungsstellen deutlich erhöhen.

Zugang AD – Wie kann ich den Zugang auf das AD schützen, wenn ich die MPKI nutzen?

Der Schutz des Zugangs zu Ihrem Active Directory (AD) ist besonders wichtig, wenn Sie die MTG PKI zusammen mit dem MS AD Gateway nutzen. Hier sind einige Maßnahmen, die Sie ergreifen können, um die Sicherheit zu erhöhen:

VPN (Virtual Private Network): Nutzen Sie ein VPN, um eine sichere und verschlüsselte Verbindung für den Zugang zu Ihrem Netzwerk und Ihrem AD zu gewährleisten. Dies ist eine grundlegende Maßnahme, um unbefugten Zugriff zu verhindern.
Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA für alle Benutzer, die auf das AD zugreifen. Dies stellt sicher, dass zusätzlich zum Passwort ein weiterer Identitätsnachweis erforderlich ist, was die Sicherheit erheblich erhöht.
Network Access Control (NAC): Setzen Sie NAC ein, um den Zugang zum Netzwerk basierend auf Benutzerrollen, Gerätetypen und anderen Kriterien zu kontrollieren. NAC hilft dabei, nur autorisierten Geräten und Benutzern Zugang zu gewähren.
Segmentierung und Mikrosegmentierung: Teilen Sie Ihr Netzwerk in kleinere, isolierte Segmente auf. Dadurch wird der Zugriff auf das AD auf bestimmte Netzwerksegmente beschränkt und die Ausbreitung potenzieller Bedrohungen minimiert.
Least Privilege Prinzip: Stellen Sie sicher, dass Benutzer nur die minimal erforderlichen Rechte haben, die sie für ihre Aufgaben benötigen. Dies verringert das Risiko von Insider-Bedrohungen und unbeabsichtigten Fehlern.
Überwachung und Protokollierung: Implementieren Sie umfassende Überwachungs- und Protokollierungsmechanismen, um ungewöhnliche Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können. Nutzen Sie SIEM (Security Information and Event Management)-Lösungen zur Analyse und Verwaltung von Protokollen.
Hardened AD Servers: Sichern Sie Ihre AD-Server durch spezielle Härtungsmaßnahmen. Dazu gehört das Entfernen unnötiger Dienste, regelmäßige Sicherheitsupdates, und die Verwendung sicherer Konfigurationsstandards.

Durch die Kombination dieser Maßnahmen können Sie den Zugang zu Ihrem Active Directory wirksam schützen und die Sicherheit Ihrer gesamten IT-Infrastruktur erheblich verbessern.

Kann ich mein MS AD CS behalten und nur das CLM nutzen?

Ja, das ist ohne Probleme möglich.

Kann ich den Key Storage Provider ohne Einschränkungen an ein Netzwerk Hardware Security Modul (HSM) anschließen?

Die „Key Storage Provider“ Schnittstelle ist nicht dafür ausgelegt, mit Netzwerk-Appliances zu arbeiten. Wenn beispielsweise ein Netzwerk-Hardware-Sicherheitsmodul (HSM) verwendet wird und die Verbindung zu diesem kurzzeitig unterbrochen wird, kann der Zertifizierungsstellen-Dienst den privaten Schlüssel der Zertifizierungsstelle nicht mehr nutzen. Dies führt zu mehreren Problemen:

Fehlgeschlagene Zertifikatanträge: Da der Zertifizierungsstellen-Dienst den privaten Schlüssel nicht mehr nutzen kann, schlagen alle Zertifikatanträge fehl, bis die Verbindung wiederhergestellt und der Dienst neu gestartet wird.
Sperrlisten-Erstellung: Sperrlisten können ebenfalls nicht mehr erstellt werden, was die Verwaltung und Durchsetzung der Zertifikatsperrungen beeinträchtigt.

Microsoft Cloud PKI Intune

Was ist die Microsoft Cloud PKI für Microsoft Intune?

Stand heute ist die Microsoft Cloud PKI eine Lösung, die einen einzigen Use-Case bedienen soll, nämlich die Zuweisung bzw. Erneuerung und Verteilung von Zertifikaten an über Intune verwaltete Geräte. Diese müssen SCEP und PKCS#7 unterstützen, über das die Zertifikate verteilt werden. Die Spanne an Gerätetypen, die man über Intune verwalten kann, ist also begrenzt (z. B. keine Server oder Netzwerkgeräte). Ob in Zukunft eine Erweiterung der Möglichkeiten geplant ist, ist uns aktuell nicht bekannt.

Wo läuft dieser Dienst und gibt es eventuelle Einschränkungen?

Der gesamte Dienst mit all seinen Komponenten und Funktionen läuft in der Cloud. Es gibt keinerlei Komponenten, die On-Premise laufen müssen oder vorausgesetzt werden. Damit ist es eine geeignete Lösung für native Cloud-Kunden, die selbst keinerlei IT mehr im Hause haben und begrenzte Funktionen in Sachen Zertifikate erwarten. So können beispielsweise keine SSL/TLS oder SMIME Zertifikate ausgestellt werden, oder Zertifikate für nicht in Intune verwaltete Systeme. Es ist zudem nicht möglich, Zertifikate zu exportieren, um sie an anderen Systemen zu verwenden.

Gibt es bei der Konfiguration Einschränkungen?

Man kann maximal zwei Stufen der PKI erzeugen, z. B. eine Root-CA und eine Ebene für Issuing-CAs. Es wäre aber möglich, die Root-CA im eigenen Hause zu haben (BYOCA) und die Issuing-CA bei Microsoft zu erzeugen. Aktuell ist eine weitere Begrenzung, dass maximal 6 CAs erstellt werden können, eine vorhandene zudem nicht mehr selbst gelöscht werden kann. Müsste man das tun, müsste man einen Support-Call bei Microsoft öffnen. Auch in Hinsicht auf die Richtlinien ist die aktuelle Lösung limitiert. Es kann nur eine Richtlinie für die Zertifikate erzeugt werden und diese gilt für alle auszustellenden Zertifikate. Sobald hier Änderungen vorgenommen werden (z. B. Verschlüsselungs- oder Hash-Algorithmen, oder Schlüssellängen), würden alle Zertifikate neu erzeugt und ausgerollt.

Welche Schlüssellängen stehen zur Verfügung?

Die CA kann aktuell RSA Key mit einer Länge von 2048, 3072 oder 4096 erstellen. Die Hash-Algorithmen umfassen SHA-256, SHA-384 und SHA-512. Das ist aktuell ausreichend. Technologien wie Elliptic curve sind nicht verfügbar.

Verfügt die Microsoft Cloud PKI (AD CS) ein Certificate Lifecycle Management?

Ja, aber eingeschränkt auf den einzigen Use-Case: die Zuweisung bzw. Erneuerung und Verteilung von Zertifikaten an über Intune verwaltete Geräte. Da Microsoft mit der Cloud PKI (AD CS) nichts anderes bedienen kann als über Intune verwaltete Geräte, die das SCEP Profil unterstützen, ist ein CLM in gewisser Weise automatisch gegeben. Zertifikate werden automatisch erstellt, verteilt und erneuert. Eine Benutzeraktion ist nicht erforderlich und es kann keine abgelaufenen (und vergessenen) Zertifikate geben. Über den in der Cloud PKI definierten Use-Case hinaus können keine Zertifikate erstellt oder verteilt werden, deshalb ist auch für diesen Anwendungsfall kein weiteres CLM notwendig.

Ist die Anbindung von eigenen Keys / HSM möglich?

Aktuell werden die Schlüssel über Azure HSM abgebildet, für die man kein Azure-Abo benötigt. Eine Nutzung von Drittanbieter HSM ist aktuell nicht möglich.

Gibt es einen Migrationspfad von AD CS zu Microsoft Cloud PKI?

Nein, weil es sich bei der Cloud PKI nicht um einen Nachfolger von AD CS handelt, es ist ein Dienst für die Erstellung und Verteilung von Zertifikaten für exakt einen Use-Case, nämlich Geräte, die über Intune verwaltet werden.

Beratung & Support

Beratungsumfang – Habe ich Support bei der Planung, im Betrieb und bei der Weiterentwicklung?

Unsere PKI-Experten sind für Sie erreichbar und können Sie in jeder Phase der Planung, Umsetzung, Betrieb und Weiterentwicklung Ihres Systems unterstützen. Je nach Vorkenntnissen im benötigten Umfang.

Weiterentwicklungen – Kann ich meine PKI flexibel weiterentwickeln?

Unsere System wird regelmäßig weiterentwickelt und mit neuen Funktionen erweitert. Das CLM wurde so konzipiert, dass man damit alle wesentlichen PKI-Prozesse im Unternehmen umsetzen kann. Selbst wenn die mit einer bestimmten Konfiguration und Anwendungsfällen und erteilten Berechtigungen beginnen, können Sie jederzeit selbst neue Prozesse und Anwendungsfälle einführen. Selbstverständlich unterstützen Sie auch unsere PKI-Experten bei Bedarf bei der Umsetzung.

PKI Planung – Um welche Fragen muss ich mich nicht mehr kümmern bei der 360° MPKI & CLM?

Die Einführung einer PKI und insbesondere der Betrieb im eigenen Rechenzentrum ist eine anspruchsvolle, komplexe Aufgabe. Er empfiehlt sich, wenn spezielle Anwendungsfälle und Anforderungen mit individuellen Anpassungen umzusetzen sind. Je nach Einsatzzweck ist jedoch der Eigenbetrieb einer PKI aus regulatorischen Gründen nicht statthaft. Als Alternative steht unsere 360° Managed PKI & CLM bereit, die geringeren Aufwand bei Planung, Vorbereitung und operativem Betrieb benötigt. Unsere 360° Managed PKI & CLM steht schneller bereit und Anwender werden von der Verantwortung entlastet, Konfigurationen, Backup-Konzepte, Ausfallsicherheit, Zugangskontrollen und Zugriffsrechte zu regeln und sicherzustellen. All dies übernehmen wir als Ihr Dienstleister. Wir stellen die Infrastruktur bereit und bieten Flexibilität bei neuen Anforderungen. Darüber hinaus werden Software- und Security-Updates sowie Anpassungen an wachsende Verschlüsselungsvorgaben von uns übernommen und eine geschützte, zertifizierte Umgebung gewährleistet. Know-how zu PKI und IT-Security muss in der Abteilung nicht extra aufgebaut werden. Ihre 360° Managed PKI & CLM wird exklusiv für Sie eingerichtet und bildet die komplette Vertrauenskette von Root-CA über Sub-CA bis zu den Anwenderzertifikaten ab. Skalierbarkeit und Schutz der Schlüssel nach dem aktuellen Stand der Technik sind ebenfalls Teil unserer Leistungen. Bei Bedarf können öffentliche Zertifikate über eine oder mehrere angebundene Public-CAs eingezogen werden, etwa für öffentliche E-Mail-Zertifikate, damit diese extern überprüfbar sind. CLM ist wesentlicher Bestandteil unseres Angebotes und sollte bei keiner PKI mehr fehlen. Vor allem bei der Auswahl eines Managed-PKI-Anbieters entscheiden Speicherort und Nachweis der Einhaltung aller relevanten Vorgaben zum Schutz der Daten. Bei einem Drittland außerhalb der EU muss die Übermittlung und Speicherung den Vorgaben zum Schutz der Daten, der DSGVO, entsprechen. Hier steht gerade die öffentliche Hand unter besonderer Beobachtung. Ihre 360° Managed PKI & CLM stammt von einem Dienstleister aus Deutschland und garantiert Anwendern die bewährten rechtlichen Rahmenbedingungen.
Leitfaden zur Einführung einer PKI-Lösung – eGovernment.de

Vor-Ort-Service – Beratung für Probleme und Themen die vor Ort beim Kunden auftreten

Mit unserem Allianz-Partner Xelaned besteht immer auch die Möglichkeit eine Vor-Ort-Betreuung anzufragen.

Projektablauf & Onboarding

Kostenlose Testmöglichkeiten – Was ist der Unterschied zwischen der Online Demo und dem Proof-of-Concept.

Die Online Demo können Sie zu Testzwecken mit wenigen Klicks beantragen, aktivieren und 2 Monate lang testen. Die Online Demo bildet den vollen Funktionsumfang der kommerziellen Version ab. Damit lassen sich also testweise alle geplanten Anwendungsfälle umsetzen. Nach 2 Monaten verfällt jedoch die Gültigkeit der Zertifikate. Der Proof-of-Concept unterscheidet sich von der Online-Demo darin, dass alle Konfigurationen und Anwendungsfälle nach dem zweimonatigen Testzeitraum nahtlos in den operativen Betrieb übernommen werden können. Die Aktivierzung des Testzeitraums erfolgt nach Kontaktaufnahme mit unserem Vertrieb und einen kostenlosen Vorbereitungsworkshop mit unseren PKI-Experten.

Projektablauf – Wie sieht ein typischer Projektablauf aus mit welchen Meilensteinen?

(1) Kostenlose Demo: Sie haben eventuell schon die kostenlose Online Demo getestet oder uns direkt kontaktiert. (2) Erstgespräch: Wir klären in einem ersten Gespräch ab, wo Sie stehen. Wollen Sie beispielsweise Ihre Microsoft PKI ersetzen oder ggf. diese um ein CLM erweitern? Hatten Sie noch keine PKI und wollen in Zukunft eine nutzen? Welche Anzahl an privaten und öffentlichen Zertifikaten ist geplant? Für welchen Zweck soll die PKI genutzt werden, wie sehen die ersten Anwendungsfälle aus? Gibt es Anforderungen aus der Regulatorik (z.B. NIS2, DORA…), Gibt es die Notwendigkeit für Beratung, Service & Betriebssupport? etc. (3) Nach dem Erstgespräch planen wir mit Ihnen gemeinsam einen Folgetermin für einen kostenlosen Kick-Off Workshop mit unseren PKI-Experten. Hier erfolgt die Vorbereitung deskostenlosen Proof-of-Concept (4) Kostenlos testen: Sie haben 2 monate Zeit, in Ruhe selbst zu testen oder können unsere Berater für die Analyse, Konzeption und Umsetzung auf Anfrage hinzuziehen. (5) Übergang operativer Betrieb: Wenn Sie sich für unser Angebot entscheiden, wird der Test-betrieb nahtlos in den operativen Betrieb übergehen. (6) Wir stehen Ihnen für weitere Fragen, Weiterentwicklungen und Unterstützung im operativen Betrieb zur Verfügung.

Onboarding – Wie erfolgt das?

Haben Sie sich für unser 360° Managed PKI & CLM entschieden, steht diese kurzfristig nach Beauftragung für Sie bereit. Normalerweise erfolgt die Freischaltung innerhab von 1-5 Werktagen.

Inbetriebnahme – Komplexität & Installationsaufwand

Unsere Kunden müssen sich um relativ wenig kümmern. Die Einrichtung der Managed PKI erfolgt durch unsere erfahrene PKI-Experten, die die Umgebung kundenindividuell aufbauen und installieren und anschließend die PKI nach Vorgaben des Kunden einrichten und konfigurieren. Mittels Onboardingformular werden die wesentlichen Information hierzu abgefragt. Unsere Kunden machen Angaben zur gewünschten PKI-Hierarchie, auf deren Basis anschließend die CA-Zertifikate erstellt werden und die PKI eingerichtet wird. Bei der Beantwortung beider Fragebögen stehen unsere PKI-Experten beratend und unterstützend zur Seite. Die Umsetzung der zertifikatsbasierten Prozesse kann der Kunde selbst übernehmen oder unsere Unterstützung anfragen. Schulungsvideos und eine ausführliche Onlinedokumentation unterstützen Sie dabei.
Managed PKI oder On Premise Strategie – Security-Insider.de

On Premise PKI vs. Managed Cloud PKI – Welche Vorteile hat eine MPKI ggü. einer On Premise PKI?

Eine private Managed PKI lässt sich mit deutlich geringerem Aufwand und Vorbereitungszeit umsetzen als die On-Premise Lösung. Die vertrauenswürdige Authentifizierung, Verifizierung, Integrität und Verschlüsselung für kritische und sensible Unternehmensprozesse und -anwendungen steht direkt bereit. Unternehmen können sich schneller auf die Absicherung ihrer Unternehmensprozesse konzentrieren und die aufgebaute PKI zügiger nutzen. Denn bei einer Managed PKI entfällt beim Anwender der Aufwand für sichere Konfiguration, Backupkonzepte und Ausfallsicherheit. Zugangskontrollen und Zugriffsrechte sind geregelt, die erforderliche Infrastruktur steht bereit und skaliert mit wachsenden Anforderungen. Darüber hinaus muss kein umfangreiches PKI- und IT Security Know-How oder das entsprechende Fachpersonal aufgebaut werden. Regelmäßige Software- und Security-Updates, sowie Anpassungen an stetig wachsende Krypto-Vorgaben übernimmt der Dienstleister. Der Umgang mit Hardware Security Modulen und das erforderliche Spezialwissen ebenso.

Die Gesamtkosten für eine On-Premise PKI sind wegen der Personal-, Infrastruktur- und Betriebskosten meist deutlich höher als die im Vergleich dazu geringeren Kosten für Softwarelizenzen. Selbst Open Source PKI-Lösungen leisten daher keinen wesentlichen Beitrag zur Reduktion der Gesamtkosten. Ob On-Premise oder Managed PKI – beide haben ihre Existenzberechtigung. Für spezielle Anforderungen und je nach Szenario bleibt Unternehmen oder Betreibern kritischer Infrastrukturen und Behörden keine andere Wahl als die Entscheidung für eine On-Premise PKI. Aber gerade im Mittelstand, wo Standardanwendungen umgesetzt und abgesichert werden, bieten Managed PKI Angebote die Chance, Einstiegshürden erheblich zu senken und die Sicherheit im Unternehmen deutlich zu verbessern, und das bei deutlich niedrigeren Kosten.

On Premise Angebot – Kann ich das Angebot auch On Premise nutzen?

Auf Anfrage kann die MTG AG Ihnen sehr gerne auch hierzu ein Angebot machen und dabei Ihre ggf. individuellen Anforderungen mit berücksichtigen. Die Installation erfolgt dann, nach gemeinsamer Planung und Vorbereitung, in dem Rechenzentrum Ihrer Wahl. Wir empfehlen im Vorfeld zu prüfen, ob ein Managed Cloud Betrieb unter bestimmten Bedingungen doch möglich ist.

Migration & Integration

Migration – Kann ich meine MS-PKI (AD CS) migrieren?

Aktuell können Sie die Microsoft PKI (AD CS) mit der 360° Managed PKI & CLM ersetzen. Sie können aber auch ihre Microsoft PKI erst mal weiter betreiben, aber binden nur das CLM an. Dadurch ist die Nutzung von einer bestehenden Microsoft CA auch für weitere nicht-Windows Use Cases möglich, wie zum Beispiel die Ausstellung von Linux Server Zertifikaten über ACME.
Für Kunden die eine Microsoft PKI (AD CS) im Einsatz haben, ergeben sich also zwei Angebots-Optionen:

Professional Paket: Microsoft PKI wird weiterbetrieben, aber alle zertifikatsbasierten Prozesse werden über das CLM verwaltet.
Ultimate Paket: Sofern der CLM Autoenrollment Connector mit dem Ultimate Paket zum Einsatz kommt, kann die Microsoft PKI vollständig durch die MTG PKI ersetzt werden, ohne dass die Active Directory-basierten Prozesse geändert werden müssen.

Nur CLM nutzen – Kann ich meine MS-PKI (AD CS) behalten und nur das CLM nutzen?

Ja, können Sie. Die Anbindung ist kein Problem.

Anbindung Private CAs – Kann ich andere PKIs anbinden?

Grundsätzlich können auch externe private CAs an das CLM angebunden werden. Aktuell ist das aber nur mit der Microsoft CA (AD CS) möglich.

Anbindung Public CAs – Kann ich Public CAs anbinden?

Öffentliche Zertifikate werden für die gesicherte Kommunikation mit externen Entitäten benötigt. Man kann grundsätzlich alle vorhandenen Public Zertifikate in das CLM importieren. Möchte man die Beantragung, den Import und den Betrieb mit dem CLM vereinfachen ist die technische Anbindung an das CLM empfehlenswert. Aktuell ist das mit der Public CA von GlobalSign möglich. Es ist geplant, einen zentralen Zugang für alle wichtigen Public CA Anbieter in Kooperation mit PSW Group anzubieten. Auf Anfrage können wir Ihnen mitteilen, welche weiteren Public-CA Anbieter in Zukunft angebunden werden.

Anbindung Kundenumgebung – Wie erfolgt die Anbindung an die Kundenumgebung?

Die Anbindung an die Kundenumgebung erfolgt über sichere Zugriffsmechanismen, die mit dem Kunden in einem Kick-off Meeting abgeklärt werden. Bei der Verwendung bestimmter Automatisierungsschnittstellen, wie etwa ACME oder dem Autoenrollment Connector, ist ein Site-2-Site VPN zwischen der Kundenumgebung und der kundenindividuellen MPKI-Instanz erforderlich. Die GUI sowie die Komponenten und Automatisierungsschnittstellen sind per http erreichbar. Die Verbindungen sind dabei grundsätzlich über TLS abgesichert. Eine Einschränkung des Zugriffs auf die URLs ist möglich und wird im Rahmen des Kick-Off Meetings abgestimmt.

Schnittstellen & Automatisierung

ACME – Was ist ACME?

Automatic Certificate Management Environment – Protokoll zur automatischen Prüfung der Inhaberschaft einer Internet-Domain und Ausstellung von Zertifikaten für Web Server.
MTG Doku: ACME

SCEP – Was ist SCEP?

Simple Certificate Enrollment Protocol – Protokoll zur Bereitstellung digitaler Zertifikate, hauptsächlich für Netzwerkgeräte.
MTG Doku: SCEP

EST – Was ist EST?

Enrollment over Secure Transport – Zertifikatsmanagementprotokoll.
MTG Doku: EST

CMP – Was ist CMP?

Certificate Management Protocol – Protokoll zum Management von X.509 Zertifikaten.
MTG Doku: CMP

REST – Was ist REST?

REST API des Certificate Lifecycle Managers.
MTG Doku: REST API

CLI – Was ist CLI?

Mehr Flexibilität und Konfigurierbarkeit bei der automatischen Ausstellung von Zertifikaten wird durch den CLI-Client ermöglicht.
MTG Doku: ERS CLI

Zertifizierungen

ISO27001 – Verfügt das DARZ-Rechenzentrum über eine entsprechende Zertifizierung?

Das gesamte modulare Serviceportfolio von DARZ ist seit 2015 nach ISO 27001 zertifiziert. Die Besonderheit dieser Zertifizierung liegt in der Beurteilung des Gesamtunternehmens. Neben dem RZ-Bereich wurden Cloud Leistungen, Managed Services und Projekt-Management bis zu den eigenen Mitarbeitern sowie Lieferanten, also die gesamten Geschäftsbereiche, ausgezeichnet. Damit lässt DARZ keinen Bereich offen für Ausnahmen. Eindeutig definierte, effiziente und trotzdem flexible Prozesse wurden in Verfahrensanweisungen festgehalten und sind damit unternehmensweit gültig und nachvollziehbar dokumentiert. Dadurch erfüllt die DARZ auch sämtliche GxP Richtlinien.
DARZ Zertifikat: ISO/IEC 27001:2013

ISO27001 – Hat der Hersteller der Software MTG eine ISO 27001 Zertifizierung?

MTG entwickelt und vertreibt innovative IT Security-Softwarelösungen mit hohem Anspruch an Vertraulichkeit, Integrität und Verfügbarkeit. Die Erfüllung dieser Schutzziele der Informationssicherheit ist unser selbstverständlicher Qualitätsanspruch. Seit März 2017 ist das gesamte Unternehmen nach ISO/IEC 27001 zertifiziert.
MTG Zertifikat: ISO/IEC 27001

BSI C5 – Erfüllt das DARZ Rechenzentrum die Anforderungen des BSI Cloud Computing Compliance Criteria Catalogue

BSI C5 ist ein vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichter Kriterienkatalog mit Mindestanforderungen an sicheres Cloud-Computing. DARZ erfüllt seit 2024 diese Anforderungen.

BSI TR-03145 – Verfügt das DARZ-Rechenzentrum über eine entsprechende Zertifizierung?

Die Zertifizierung nach der Technischen Richtlinie TR-03145 ist die rechtliche Grundlage für den Betrieb von Smart Metering Lösungen (SM-PKI), TSE Cloud Lösungen (TSE-PKI) und Unternehmens PKI. Die DARZ hat dieses Zertifikat seit 2018 inne.
DARZ Zertifikat: BSI-K-TR-0635-2024

DIN EN50600 Cat lll – Verfügt das DARZ-Rechenzentrum über eine entsprechende Zertifizierung?

Das Rechenzentrum der DARZ am Standort Darmstadt ist seit 2016 durch die TÜV Rheinland Cert GmbH als „Reliable Data Center Cat lll“ zertifiziert. In 2021 haben wir diese Zertifizierung durch die höhere Zertifizierung nach DIN EN50600 Cat lll ersetzt. Die DIN EN 50600 stellt die erste europaweit länderübergreifende Norm dar, die mit einem ganzheitlichen Ansatz umfassende Vorgaben für die Planung, den Neubau und den Betrieb eines Rechenzentrums macht. Sie definiert Anforderungen für die Planung der Gewerke Baukonstruktion, Elektroversorgung, Klimatisierung, Verkabelung, Sicherheitssysteme und legt Kriterien für den Betrieb von Rechenzentren fest.

DARZ Zertifikat: DIN EN 50600

Veeam ProPartner – Verfügt das DARZ-Rechenzentrum über eine entsprechende Zertifizierung?

Die DARZ GmbH ist seit vielen Jahren Partner von Veeam und hat auch in 2023 erneut die offizielle ProPartner Zertifizierung, welche bis zum 31. Dezember 2023 gültig ist, erhalten.
DARZ Zertifikat: Veeam-Partner

Ökostrom – Bezieht das DARZ-Rechenzentrum seinen Strom ökologisch?

Die DARZ GmbH bezieht seit mehreren Jahren Ökostrom und möchte damit ihren Teil zur Nachhaltigkeit und Klimawende Deutschlands beitragen.
DARZ Zertifikat: Ökostrom

HSM Zertifizierung – Welche Sicherheitszertifizierung haben die eingesetzten HSM?

Die kundenspezifischen Signing Keys der MTG CA werden über ein nShield Hardware Security Modul der Firma Entrust abgesichert. Es gibt jeweils ein HSM an den Standorten Darmstadt und Frankfurt, die über einen RFS-Server (RFS = Remote File System) geclustert sind. Entrust nShield Connect HSMs sind zertifiziert nach FIPS 140-2 Level 3 und Common Criteria EAL4+ (EN 419 221-5).