PKI & Certificate Management

Digitale Zertifikate sind allgegenwärtig in modernen IT-Infrastrukturen, aber selten im Blickfeld – bis sie ablaufen. TLS-Zertifikate sichern die Kommunikation zwischen Systemen und Nutzern. S/MIME-Zertifikate signieren und verschlüsseln E-Mails. Code-Signing-Zertifikate authentifizieren Software und Skripte. Gerätezertifikate nach IEEE 802.1X kontrollieren den Netzwerkzugang. Client-Zertifikate ersetzen Passwörter für Benutzerauthentifizierung.

Das Management dieser Zertifikate ist für viele Unternehmen unstrukturiert oder vollständig manuell. Zertifikate werden einzeln beschafft, in Tabellen verwaltet, und die Erneuerung erfolgt reaktiv – wenn das Monitoring-System oder, schlimmer, ein Nutzer einen Fehler meldet. Abgelaufene Zertifikate sind einer der häufigsten Ursachen für ungeplante Serviceausfälle: Sie erzeugen Fehlermeldungen, unterbrechen API-Kommunikation, blockieren E-Mail-Signierung und machen VPN-Verbindungen unzuverlässig.

Für Unternehmen, die regulatorische Anforderungen erfüllen müssen – ISO 27001, NIS2, DORA –, ist das Zertifikatsmanagement explizit adressiert. Kryptographische Schlüssel und Zertifikate müssen inventarisiert, nach Policy verwaltet und regelmäßig erneuert werden. Eine nicht dokumentierte, ad-hoc-verwaltete PKI-Landschaft ist ein Auditrisiko.

Eine sichere PKI-Architektur trennt Root CA und Issuing CA. Die Root CA – die höchste Vertrauensinstanz der Hierarchie – wird offline betrieben: Sie ist ausgeschaltet und in einem physisch gesicherten Bereich, wird nur für Root-CA-Aufgaben (Erneuerung der Issuing-CA-Zertifikate, Widerruf) aktiviert und danach sofort wieder offline genommen. Diese Offline-Root-CA-Architektur verhindert, dass eine Kompromittierung der Betriebsinfrastruktur die gesamte PKI-Vertrauenskette gefährdet.

Die Issuing CAs hingegen sind online und stellen Zertifikate für verschiedene Verwendungszwecke aus: dedizierte CAs für TLS-Zertifikate, für Code Signing, für Gerätezertifikate (jeweils mit unterschiedlichen Policies, Laufzeiten und Zertifikatsprofilen). Diese Trennung ermöglicht eine granulare Verwaltung und begrenzt den Schadenradius bei einer Kompromittierung einer CA.

Wir implementieren sowohl Microsoft Active Directory Certificate Services (ADCS) als auch Open-Source-Lösungen wie EJBCA (Enterprise Java Beans Certificate Authority). Die Wahl hängt von Ihrer Infrastruktur, Ihren Anforderungen und Ihrem Betriebsmodell ab. Für Hochsicherheitsumgebungen integrieren wir Hardware Security Modules (HSMs), die kryptographische Schlüssel in manipulationssicherer Hardware speichern.

CLM (Certificate Lifecycle Management) bezeichnet den vollständigen Prozess von der Zertifikatsanforderung über Ausstellung, Monitoring und rechtzeitige Erneuerung bis zum kontrollierten Widerruf. Ziel ist vollständige Sichtbarkeit: Welche Zertifikate existieren? Wo sind sie eingesetzt? Wann laufen sie ab? Wer ist verantwortlich?

Wir implementieren CLM-Tools, die in Ihre ITSM-Plattform (ServiceNow, Jira) integriert werden: automatisiertes Discovery installierter Zertifikate, kontinuierliches Monitoring des Ablaufdatums mit konfigurierbaren Vorab-Alertings (90, 30, 7 Tage), automatisierter oder halbautomatisierter Renewal-Workflow für interne und externe Zertifikate. Für öffentliche TLS-Zertifikate unterstützen wir die Integration des ACME-Protokolls (Let's Encrypt, ACME-fähige kommerzielle CAs) für vollautomatische Erneuerung.

Die Erfahrung zeigt: Unternehmen, die CLM einführen, entdecken regelmäßig Zertifikate, die bislang unbekannt waren – auf produktiven Systemen, von externen Dienstleistern ausgestellt, mit abgelaufenen Ablaufdaten oder mit schwachen Algorithmen (MD5, SHA-1, RSA 1024). Diese Discovery-Phase allein ist oft schon ein erheblicher Sicherheitsgewinn.