Use Cases
Der MTG Certificate Lifecycle Manager optimiert alle zertifikatsbezogenen Prozesse über den gesamten Lebenszyklus von Zertifikaten. Prozesse für die Ausstellung, Erneuerung und das Widerrufen von Zertifikaten können für verschiedene Anwendungsfälle zentral automatisiert, verwaltet und gesteuert werden.
Automation im Certificate Lifecycle Management
Automatisierungsprozesse für das Certificate Lifecycle Management sind besonders wichtig, wenn es um eine Vielzahl von Zertifikaten geht, die in komplexen Umgebungen mit mehreren Anbietern für beispielsweise IoT, Server und Clients verwaltet werden müssen.
- Automatisierung des Zertifikats-Supports für alle wichtigen PKI-Schnittstellen wie ACME, EST, CMP
- Unterstützung des ACME Certbot Clients und anderen ACME-Clients
- REST API und REST CLM Client für die Automatisierung von Nicht-Standard-Komponenten
- Automatische Erneuerung und Prüfung der Installation von X.509-Zertifikaten
- Automatischer Revocation-Service unter Verwendung von OSCP und/oder CRLs
Certificate Discovery – volle Transparenz!
Die Certificate Discovery Funktion ermöglicht ein systematisches Scannen nach unbekannten Zertifikaten. Dank netzwerkbasierter Sensoren und Agenten werden alle öffentlichen und privaten TLS/SSL-Zertifikate des Unternehmens identifiziert und dem Zertifikatsverzeichnis hinzugefügt. Gefährliche Ausfälle aufgrund abgelaufener Zertifikate oder deren aufwändige manuelle Bearbeitung werden so vermieden.
- Erstellen eines digitalen Verzeichnisses für alle öffentlichen und privaten TLS/SSL-Zertifikaten im Unternehmen.
- Identifizierung von unbekannten Zertifikaten in einer heterogenen Umgebung.
- Analysieren von eingesetzten kryptografischen Primitiven in Zertifikaten und Identifizieren von potenziellen Risiken.
- Übersichtliche Dashboards für einen vollständigen visuellen Überblick über alle bereitgestellten Zertifikate und zugehörigen Geräte.
- Statusinformationen über demnächst ablaufende Zertifikate.
- Verwendung flexibel gestaltbarer Zertifikats-Policies zur Überwachung, Benachrichtigung und Erneuerung auslaufender Zertifikate.
- Identifikation und automatischer Systemimport einer Vielzahl von Zertifikaten ohne zusätzlichen manuellen Aufwand.
Vollständiges und kostengünstiges Mitarbeiter-Onboarding!
Alle erforderlichen Zertifikate können in einem systematischen und durchgängigen Verfahren ausgestellt werden. Das strukturierte Einrichten von Berechtigungen sorgt für Compliance-konforme Abläufe.
- Automatisierte Einrichtung von Geräten mit Benutzer-, VPN-, SMIME- und CA-Zertifikaten
- Benachrichtigung bei Ablauf von Zertifikaten und deren automatischer Erneuerung
- Automatischer Import von Zertifikaten in LDAP und Active Directory
- Zuordnung bestehender Berechtigungsstrukturen und -prozesse zur Zertifikatsausstellung (z. B. Active Directory-Rollen)
- Integration von Onboarding-Software möglich (z. B. ServiceNow)
Automatisierte Bereitstellung von digitalen Zertifikaten für Server!
Die automatisierte, lückenlose Bereitstellung von digitalen Zertifikaten verhindert Serverausfälle und die daraus resultierenden Kosten und Schäden. Das sichert die Verfügbarkeit interner Dienste, der Produktion oder die Erreichbarkeit von Unternehmenswebseiten.
- Support für Windows und Linux Server
- Bereitstellung von Active Directory gemanagten Servern
- Support für das ACME protocol
- Vollständig automatisierte Zertifikatserneuerung
- Mehr Flexibilität und Konfigurierbarkeit dank CLI-Client
Schnelle und einfache Bereitstellung von digitalen Zertifikaten für Netzwerkgeräte!
Vernetzte Bürohardware (z. B. Drucker) und andere intelligente Geräte (z. B. Kameras) sind wichtige potenzielle Einfallstore für Hackerangriffe. Der Schutz dieser Geräte mit Zertifikaten ist jedoch ein heterogener und komplexer Prozess, der häufig nicht durchgeführt wird. Eine schnelle und einfache Absicherung dieser Geräte ist eine wichtige Aufgabe des MTG CLM.
- Unterstützung aller wichtigen Hersteller von Netzwerkhardware
(Cisco, HP, Palo Alto, etc.)- Support aller SCEP and EST basierter Geräte
- Andere Geräte mit individuellen Clients können ebenfalls unterstützt werden
- Support von Active Directory gemanagten Geräten
Architektur
MTG Certificate Lifecycle Manager ist Bestandteil der MTG ERS® Plattform. Er kann bei Bedarf um weitere wichtige Sicherheitsbausteine, wie die:
- MTG Certificate Authority,
- das MTG Enterprise Key Management System
- und die entsprechenden Hardware Security Module, erweitert werden.
Alle MTG CLM-Verbindungen (Server, Clients, IoT-Geräte...) können über Standard- oder MTG-spezifische Automationsclients optimal erreicht und verwaltet werden.
MTG CLM unterstützt eine breite Palette vertrauenswürdiger interner und öffentlicher Cas, z.B. Microsoft CA, LetsEncrypt, Deutsche Telekom (usw.). Sicherheitsverantwortliche müssen somit nicht mehr mühsam auf jede CA einzeln zugreifen, um Einblick und Kontrolle über jedes Zertifikat zu erhalten.
Features
Der MTG Certificate Lifecycle Manager verfügt über umfangreiche Features, die alle Werkzeuge bieten, um zertifikatsbasierte Use Cases schnell und effektiv umzusetzen:
Detailliertes Monitoring & Reporting!
Verfolgen Sie stets den Status Ihrer Zertifikate und vermeiden Sie Überraschungen!
MTG CLM bietet ein umfassendes Benachrichtigungssystem über Änderungen des Zertifikatsstatus. Benutzer werden rechtzeitig und mehrmals vor Ablauf der Gültigkeit von Zertifikaten darüber informiert. Die pünktliche und reibungslose Erneuerung wird damit jederzeit sichergestellt.
- Umfassende, benutzerfreundliche Dashboards bieten Einblicke in den Zertifikatsstatus der einzelnen Geschäftsbereiche und ermöglichen einen schnellen Überblick.
- Erweiterte Filter- und Suchfunktionen ermöglichen eine einfache Identifizierung und Darstellung der Ergebnisse, die dann problemlos im CSV-Format zur weiteren Verarbeitung exportiert werden können.
- Audit-Metadaten werden in allen Anwendungsschritten nachverfolgt und sind für MTG CLM-Administratoren leicht zugänglich.
Einrichtung unterschiedlicher Geschäftsbereiche
Der MTG CLM ermöglicht eine individuelle Organisation der Zugriffsrechte für digitale Zertifikate.
- Die jeweiligen Bereiche (sog. Realms) können z.B. nach Abteilungen, Benutzergruppen oder Hierarchien gegliedert werden.
- Unterschiedliche Benutzer mit Leserechten oder Konfigurationsrechten für Zertifikate können eingerichtet werden.
- Die Benachrichtigungsregeln können individuell angepasst werden.
- Die Benutzeroberfläche passt sich den jeweiligen Einstellungen an.
Certificate Policy Enforcement
Vollständige und fehlerfreie Erstellung von Zertifikaten!
Das Policy Enforcement Formular enthält eine umfassende Sammlung von Regeln, die für die Konfiguration der verschiedenen Zertifikate benötigt werden. Dadurch wird sichergestellt, dass die Einträge vollständig, fehlerfrei und konform sind. Individuelle Vorlagen für E-Mails, Server, vernetzte Hardware oder mobile Geräte können damit erstellt werden.
Für gängige Use Cases steht eine Auswahl an vorkonfigurierten Policies bereit
- Einschränkung der Auswahl auf nur zugelassene Algorithmen
- Einschränkungsmöglichkeiten auf nur zugelassenes Schlüsselmaterial
- Einstellung der Gültigkeitsdauer von Zertifikaten
- Auswahlmöglichkeit für die manuelle oder automatische Genehmigung von Zertifikatsanträgen
- Etablierung eines 4-Augen-Prinzips
Zugangskontrolle & Compliance!
Das Rollen- und Rechtemanagement kann zentral verwaltet werden und bietet detaillierte Einstellmöglichkeiten zur Einrichtung von Zertifikaten und Zertifikatsinhabern.
Hierbei können Einstellungen für jeweilige Benutzer oder auch ganzen Geschäftsbereichen oder Policies vorgenommen werden.
Zentrales Identity Management mit Keycloak!
Keycloak ermöglicht die flexible Nutzung verschiedener Authentifizierungsprotokolle über eine zentrale Sign-In und Sign-Out Funktion für alle MTG ERS ® Anwendungen (CLM, PKI, KMS).
- OpenID Connect und SAML support
- Support für Google reCAPTCHA um die Anmeldung gegen Bots zu schützen
- Multi-Faktor-Authentifizierung mit OTP für zusätzliche Sicherheit (TOTP, HOTP)
- Starke Authentifizierung mit X.509 Zertifikaten
- Konfigurierbare Passwort Policies mit Optionen für Länge, Zeichen, Komplexität usw.
- Konfigurierbare Authentifizierungsabläufe, die eine Feinabstimmung jedes einzelnen Anmeldeprozesses ermöglichen
- LDAP, Active Directory- und and Kerberos-Integrationen verfügbar
- Unterstützung der neuesten W3C-Spezifikation für Web Authentifizierung (WebAuthn)
- Zugriff auf alle MTG ERS ® Anwendungen (CLM, PKI, KMS) über eine zentrale An- und Abmeldefunktion.