Zum Inhalt springen Zum Menü springen

PKI

MTG Corporate PKI

Die MTG Corporate PKI wurde speziell für Unternehmen entwickelt, um Best Practices im Zer-tifikatsmanagement zu implementieren, sei es SSL/TLS, S/MIME, Code Signing, Client, Device oder IoT.

Gründe für eine Unternehmens-PKI

Eine Unternehmens-PKI ist ein zentralisierter Dienst innerhalb einer Organisation, der starken kryptografischen Schutz für die folgenden Anwendungsfälle bietet:

  • Unternehmensweites Identitätsmanagement
    (Authentifizierung, Autorisierung, Zugriffskontrolle) von Mitarbeitern unter Verwendung personalisierter und zentral verwalteter Zugangsdaten.
  • Unternehmensweiter E-Mail-Schutz
    mittels Ende-zu-Ende-Verschlüsselung und Authentifizierung durch digitale Signaturen.
  • Authentifizierung von Unternehmens-Hardware
    (Webserver, Netzwerk-Router, Netzwerk-Switches, Netzwerk-Drucker, etc.), die Schutz vor schwerwiegenden Angriffen von nicht authentifizierten bösartigen oder infizierten Geräten im Unternehmensnetzwerk bietet.
  • Authentifizierung von mobilen Geräten
    (Smartphones).

 

CPKI

MTG Corporate PKI

MTG Corporate PKI  implementiert und unterstützt eine Certificate Management Operation Policy in Form strenger Zugriffskontrollmechanismen, die nach dem Prinzip des geringsten Privilegs (Principle of Least Priviledge) im Zertifikatsmanagement arbeiten. MTG Corporate PKI bietet ein hochgranulares Berechtigungssystem (nach Benutzer, Rolle, Abteilung, Unternehmen, Niederlassung usw.) an, das selbst sehr spezielle Anwendungsfälle abdeckt.

Architecture MTG Corporate PKI

Architektur der MTG Corporate PKI (© MTG)

MTG Corporate PKI ermöglicht die Automatisierung des gesamten Lebenszyklus von Zertifikaten. Ausstellungs-, Verlängerungs- und Widerrufsprozesse können zentral verwaltet und gesteuert werden. Informationen zur Zertifikatsgültigkeit können einfach über CRLs oder das OCSP-Protokoll abgefragt werden.

Die detaillierten Zertifikatsprotokollierungs- und Auditing-Funktionen ermöglichen es, alle Aktionen des Zertifikatsmanagements jederzeit nachzuvollziehen und zu überwachen.

Optionale Add-Ons können die Funktionalität der MTG Corporate PKI Plattform erweitern. MTG SmartBridge ermöglicht beispielsweise die Integration von Smart Cards in den Lebenszyklus des Zertifikatsmanagements. Zusätzlich bietet sich die Möglichkeit, das MTG Key Management System (MTG KMS) zu integrieren und zu nutzen. Diese Kombination eröffnet vielfältige Möglichkeiten für die zentrale Verwaltung von kryptographischen Schlüsseln und Zertifikaten aus unterschiedlichen Bereichen und Prozessen.

Benutzerfreundliche Oberfläche

Die moderne grafische Web-Benutzeroberfläche (GUI) ermöglicht eine benutzerfreundliche Bedienung – auch für Nicht-PKI-Experten. Interaktive Dashboards geben dem Nutzer einen schnellen Überblick über alle relevanten Informationen.

MTG Corporate PKI Zertifikatsgenerierungs-Wizard

MTG Corporate PKI Zertifikatsgenerierungs-Wizard (© MTG)

Das automatisierte Zertifikatsmanagement für Microsoft Windows-Umgebungen ist mit Unterstützung unseres Premium-Partners Secardeo nahtlos integriert.

MTG Corporate PKI basiert auf MTG-CARA, einer modernen PKI-Plattform, die für eine Fülle unterschiedlicher PKI-Anwendungsfälle (z. B. Public CAs, Card Verifiable-Zertifikate, X.509-Zertifikate, Reisedokumente, Car2x-Zertifikate) eingesetzt wird.

Certification Authority (CA)

Die Certification Authority (CA) ist die zentrale Komponente der PKI-Plattform und ist für die sicherheitskritischen PKI-Operationen wie CA-Erstellung und -Verwaltung, Ausstellung von Verwaltungszertifikaten, HSM-Konfiguration und mehr verantwortlich. Darüber hinaus bietet MTG CARA eine integrierte Benutzerverwaltung mit umfangreicher Rollen- und Rechteverwaltung. Das CA-System setzt sich aus zwei CARA-APIs und dem CARA-Administrations-Frontend zusammen.

CARA Admin-API

Die CARA Admin-API enthält Funktionalitäten, die für Administration der Plattform zuständig sind, wie beispielweise die folgenden:

  • Definition von Rollen und Superrollen
  • Verwaltung von Zertifikats- und CRL-Vorlagen und Profilen
  • Verwaltung und Erstellung von Virtuellen CAs
  • Verwaltung, Steuerung und Überwachung von HSM-Verbindungen
  • Generierung von Zertifikaten für CA-Administratoren
  • Generierung von CA-Zertifikaten (selfsigned oder unter einer anderen CA)
  • Signer-Import aus einer anderen CA-Instanz
  • Verwaltung von Sperrlisten
  • Verwaltung von optionalen CA-Modulen

CARA-API

Die CARA-API stellt die Kernfunktionalität der MTG Corporate PKI bereit:

  • Authentifizierung und Autorisierung von Registrierungsstellen (Frontends)
  • Prozesse im Life-Cycle des Zertifikatsmanagements (z.B. Beantragen, Genehmigen, Ablehnen, Abrufen, Erneuern)
  • Unterstützung verschiedener Zertifikatsformate (z. B. X.509, Attribut-Zertifikat (AC), Card Verifiable Certificate (CVC) "Generation 1" (RSA), Card Verifiable Certificate (CVC) "Generation 2" (ECDSA)
  • Backup und Export der Schlüssel (z. B. PKCS#12, PKCS#8)
  • Zertifikatsbündelung: Verwaltung von mehreren gemeinsam beantragten Zertifikaten als Zertifikatsbündel
  • Sperrlistenverwaltung: automatische und manuelle Generierung, CRL-Abfragen
  • OCSP-Responder-Funktion
  • Virtuelle CAs und Domänen

CARA Administrations-Frontend

Das CARA-Administrations-Frontend nutzt die CARA Admin-API und die CARA-API und bietet die folgenden Funktionen:

  • Verwaltung von VCAs
  • Verwaltung von Zertifikatsvorlagen
  • Verwaltung von Sperrlistenvorlagen
  • Verwaltung von Sperrlisten
  • Verwaltung von Rollen
  • Zuweisung/Entzug von administrativen Rechten
  • Verwaltung der verschiedenen CARA-Module
  • Verwaltung von Key Encryption Keys (Schlüssel, die zum Schutz anderer Schlüssel verwendet werden)
  • Aufbau und Kontrolle von HSM-Verbindungen
  • Erstellung von CA-Signer (HSM, Software) und CA-Zertifikaten

Registration Authority (RA)

Eine Registration Authority (RA) empfängt Zertifizierungsanfragen über verschiedene Kanäle, bewertet jede Anfrage anhand einer Reihe von vordefinierten, hoch konfigurierbaren Richtlinien und weist die CA an, das Zertifikat auszustellen. Die MTG Registration Authority (MTG RA) bietet eine einfache, leicht zu bedienende grafische Benutzeroberfläche in Form einer Webanwendung, mit der Kunden digitale Zertifikate erstellen, sperren, genehmigen und verwalten können.

Zusätzlich können weit verbreitete PKI-Protokolle wie ACME, EST und CMP mit MTG RA kombiniert und integriert werden, um die Zertifikatsregistrierung über standardisierte Schnittstellen zu ermöglichen.

Der MTG RA befindet sich in der Regel auf einer anderen Instanz als die CA. Die CA soll dadurch nicht dem Internet / Intranet ausgesetzt werden. Daher wir sie in einer Hochsicherheitszone hinter einer Firewall abgesichert, die nur ausgehende Verbindungen über TLS zulässt. Die RA sitzt dagegen in einer Niedrigsicherheitszone (d. h. einer DMZ), die, je nach Anwendungsfall, eingehende Verbindungen entweder aus dem Netzwerk oder sogar darüber hinaus zulässt. Auf diese Weise können sogar mehrere RAs hinter einem Load Balancer mit der CA verbunden werden.

MTG Enterprise Resource Security (ERS)

MTG ERS®  vereinfacht und zentralisiert das Management von kryptographischen Schlüsseln und Identitäten in Unternehmen und öffentlichen Einrichtungen. MTG ERS setzt sich aus drei aufeinander abgestimmten IT Security Bausteinen zusammen: MTG Corporate PKI, MTG Key Management System und die passenden Hardware Security Module. Damit sorgen wir für die branchenspezifische Umsetzung und einfache Integration eines vollständigen Key Management Lifecycles in ausgewählten Unternehmensprozessen.

Download & Links

Was können wir für Sie tun?

Wir freuen uns, von Ihnen zu hören.

Loading …