Blog
Schluss mit dem Zertifikats-Chaos
Principal Consultant
Consultant
Warum eine Windows-PKI nicht mehr ausreicht
Wer eine reine Microsoft-Umgebung betreibt, verlässt sich auf die Windows Public Key Infrastructure (PKI). Das ist sicher und effizient, solange man sich innerhalb der Active-Directory-Grenzen bewegt. In der Praxis existiert jedoch selten eine reine Windows-Infrastruktur. Was passiert an den Rändern dieser Infrastrukturen?
Für Linux-Server, Firewalls, Load Balancer oder Container-Plattformen ist es nicht möglich, automatisch an Zertifikate aus der Windows-Welt heranzukommen. Es entsteht eine Sicherheitslücke, die Administrator*innen häufig nur mit erheblichem manuellen Aufwand schließen können.
Warum wir Zertifikate brauchen
In heutigen modernen Sicherheitsarchitekturen gilt das „Zero Trust“-Prinzip. Für eine sichere und verschlüsselte Kommunikation werden an immer mehr Endpunkten Zertifikate benötigt.
Die Zertifikate lassen sich über das Automated Certificate Management Environment (ACME) Protocol von Anbietern wie Actalis SSL oder Let’s Encrypt automatisiert beziehen. Entscheidend ist, dass die Validierung der betreffenden Ressource durch eine externe Instanz, eine Zertifizierungsstelle, aus dem Internet erfolgen kann. Dies setzt voraus, dass der Name der Ressource im Internet auflösbar ist, damit die Überprüfung erfolgreich durchgeführt werden kann.
Und genau darin liegt die eigentliche Herausforderung: Ohne eine öffentlich erreichbare und routbare Domain für interne Endpunkte ist die automatisierte Ausstellung von Zertifikaten über ACME für interne Systeme nicht möglich.
Die Falle der manuellen Verwaltung und kurzlebigen Zertifikate
Die Realität vieler Administrator*innen ist hart: Sie müssen Zertifikate für Systeme, die von außen nicht erreichbar sind, häufig händisch beantragen, kopieren und in die Systeme verteilen.
Die Risiken der manuellen Verteilung
- Menschliches Versagen: Ein Zertifikat läuft ab, weil der Kalendereintrag zur Erinnerung fehlte oder übersehen wurde. Kritische Dienste fallen deshalb aus und die Fehlersuche kann unter Umständen mehrere Stunden dauern.
- Lange Laufzeiten: Um den Verwaltungsaufwand zu minimieren, werden häufig Zertifikate mit Laufzeiten von mehr als einem Jahr ausgestellt. Aus Sicherheitssicht ist das bedenklich: Je länger die Laufzeit, desto größer ist das Zeitfenster für einen möglichen Missbrauch kompromittierter Schlüssel.
Gängige Browser akzeptieren inzwischen nur noch Zertifikate mit einer Laufzeit von ungefähr einem Jahr. Der Trend geht sogar klar in Richtung noch kürzerer Laufzeiten – etwa bei Let’s Encrypt, wo Zertifikate aktuell nur 90 Tage gültig sind. Doch wer Zertifikate alle 90 Tage manuell erneuern muss, lähmt seine IT-Abteilung. Der administrative Aufwand ist enorm.
Die Lösung: Ein Webservice für alle Systeme
Abhilfe schafft ein zentraler ACME-Service, der als Webdienst im internen Netzwerk betrieben wird. Er ermöglicht die Verteilung von Zertifikaten an sämtliche Clients. Die Stärke dieses Webservices ist seine Flexibilität. Da das ACME-Protokoll ein offener Standard ist, gibt es für fast jedes System fertige Clients. Dabei ist es völlig egal, ob es sich um eine KEMP oder Fortinet Firewall, einen Docker-Container oder einen Windows-Server ohne Active-Directory-Anbindung handelt.
Die Vorteile:
- Universelle Kompatibilität über Windows hinaus: Während die Windows-PKI alle Clients ausschließt, die die Kerberos-Authentifizierung nicht unterstützen, ermöglicht dieser Service die vollautomatisierte Versorgung aller Systeme im Netzwerk mit Zertifikaten.
- Erhöhte Sicherheit durch Kurzlebigkeit: Moderne Sicherheitsstandards wie kurzlebige Zertifikate lassen sich intern problemlos umsetzen, da der Erneuerungsprozess automatisiert im Hintergrund läuft.
- Vermeidung von Ausfällen: Das Risiko menschlicher Fehler wird durch den stärkeren Grad der Automatisierung eliminiert. So erhöht sich die Betriebsstabilität der Dienste erheblich.
- Standardisierung: Die Nutzung eines einheitlichen Protokolls über verschiedene Hersteller und Betriebssysteme hinweg erleichtert die Fehlerdiagnose.
Interessiert, wie sich dieser Service nahtlos in Ihre Architektur einfügt?
Unser Onepager zeigt Ihnen die wichtigsten Details und Leistungsmerkmale. Machen Sie Ihre interne Zertifikatsverwaltung zukunftssicher!
Contact
Want to know more about Cloud Infrastructure?
Does your project or organisation meet the right requirements to optimise the cost of your cloud solution? Here are some questions you should address first:
- Do you have the right skills to optimise costs?
- Do you want to move from an operations and development set-up to DevOps?
- How much money could you save on your cloud solutions without increasing time-to-market or compromising your ability to experiment with new solutions that benefit the business?
Whether there is something in it for you can often be determined in a fairly short time after taking a close look at the set-up.
If you need help with this process, we will of course be happy to support you.
