Alternativen zu Microsofts Zertifizierungsstelle

Nutzern ist oft nicht zu trauen. Sie sind in der Regel bequem und wählen Sicherheit eher zugunsten des Komforts. Statistiken zeigen, dass 21 % ihre Passwörter für Arbeitskonten auf Papier notieren, und 50 % verwenden dieselben Passwörter für berufliche und private Dienste.

Die Umgebung ist ebenfalls feindlich. 74 % der Organisationen erlauben es, persönliche Geräte zur Arbeit mitzubringen und sich mit dem Unternehmensnetzwerk zu verbinden. 94 % der Nutzer können echte E-Mails nicht von Phishing-E-Mails unterscheiden, und 11 % haben auf Anhänge geklickt.

All diese Probleme werden durch eine Unternehmensinfrastruktur mit öffentlichem Schlüssel (PKI) gelöst, die Verschlüsselung und Authentifikation von E-Mails bietet und Passwörter durch digitale Zertifikate ersetzt. Diese Infrastruktur kann auf Windows Server eingerichtet werden. Laut Microsofts Beschreibung, ist der Dienst Active Directory Certificate Services (AD CS) ein Server, der es Ihrer Organisation ermöglicht, eine PKI zu erstellen und die Kryptografie mit öffentlichen Schlüsseln, digitale Zertifikate und digitale Signaturen zu nutzen.

Die Lösung von Microsoft ist jedoch recht kostspielig.

Die Gesamtkosten für den Betrieb eines privaten Zertifizierungszentrums von Microsoft

Alternativen zu Microsofts Zertifizierungsstelle
Vergleich der Besitzkosten von Microsoft CA und GlobalSign AEG. Quelle

In vielen Fällen ist es praktischer und kostengünstiger, ein gleichwertiges privates Zertifizierungszentrum mit externer Verwaltung zu schaffen. Genau dieses Problem löst das GlobalSign Auto Enrollment Gateway (AEG). Damit werden mehrere Ausgabenposten aus den Gesamtkosten ausgeschlossen (Beschaffung von Hardware, Supportkosten, Schulung des Personals usw.). Die Einsparungen können übersteigen 50 % der Gesamtkosten.

Was ist AEG

Alternativen zu Microsofts Zertifizierungsstelle

Auto Enrollment Gateway (AEG) ist ein Softwaredienst, der als Gateway zwischen den SaaS-Zertifikatsdiensten von GlobalSign und der Windows-Umgebung eines Unternehmens fungiert.

AEG integriert sich mit Active Directory und ermöglicht es Organisationen, die Registrierung, Bereitstellung und Verwaltung von GlobalSign-Digitalzertifikaten in einer Windows-Umgebung zu automatisieren. Durch den Austausch interner Zertifizierungsstellen gegen die Dienste von GlobalSign erhöhen Unternehmen die Sicherheit und senken die Kosten für die Verwaltung eines komplexen und teuren internen Microsoft-Zertifizierungszentrums.

GlobalSign SaaS-Zertifizierungsdienste bieten eine zuverlässigere Alternative zu schwachen und unmanaged Zertifikaten auf eigener Infrastruktur. Die Eliminierung der Notwendigkeit, ressourcenintensive interne Zertifizierungsstellen zu verwalten, senkt die Gesamtkosten des PKI-Betriebs und minimiert das Risiko von Systemausfällen.

Die Unterstützung von SCEP- und ACME-Protokollen erweitert die Unterstützungsoptionen über Windows hinaus und ermöglicht die automatisierte Ausstellung von Zertifikaten für Linux-Server, mobile Geräte, Netzwerktechnologie sowie Apple OSX-Computer, die im Active Directory registriert sind.

Erhöhte Sicherheit

Neben der Budgeteinsparung verbessert das externe Management der PKI die Systemsicherheit. Laut einer Studie von Aberdeen Group werden Zertifikate zunehmend zum Ziel von Angreifern: Diese nutzen erfolgreich bekannte Schwachstellen, wie unsichere selbstsignierte Zertifikate, schwache Verschlüsselung und unhandliche Widerrufsmechanismen. Darüber hinaus haben Angreifer komplexere Exploits entwickelt, wie betrügerische Zertifikatserteilungen von vertrauenswürdigen Zertifizierungsstellen und das Fälschen von Zertifikaten zur Codeunterzeichnung.

«Die meisten Unternehmen verwalten die Risiken im Zusammenhang mit diesen Angriffen unzureichend und sind nicht in der Lage, schnell auf einen Kompromiss zu reagieren, — schrieb Derek E. Brink, Vizepräsident und Forschungsleiter für IT-Sicherheit bei der Aberdeen Group. — Durch die Möglichkeit für Unternehmen, die operativen Aspekte des Zertifikatsmanagements in die Hände von Experten zu legen, während sie die Kontrolle über Gruppenrichtlinien in Active Directory behalten, hat GlobalSign das Ziel, das zukünftige Wachstum des Einsatzes von Zertifikaten zu fördern und gleichzeitig praktische Sicherheits- und Vertrauensfragen in einem effektiven, kostengünstigen Bereitstellungsmodell zu lösen.

Wie AEG funktioniert

Alternativen zu Microsofts Zertifizierungsstelle

Ein typisches System mit AEG umfasst vier zentrale Komponenten, um die Übertragung der richtigen Zertifikate an die richtigen Zugriffspunkte sicherzustellen:

  1. Die AEG-Software auf einem Windows-Server.
  2. Active Directory-Server oder Domänencontroller, die es Administratoren ermöglichen, Informationen über Ressourcen zu verwalten und zu speichern.
  3. Endgeräte: Benutzer, Geräte, Server und Arbeitsstationen – praktisch jedes Objekt, das ein ‚Verbraucher‘ digitaler Zertifikate ist.
  4. Das GlobalSign-Zertifizierungszentrum oder GCC befindet sich auf einer zuverlässigen Plattform zur Ausstellung von Zertifikaten und deren Verwaltung. Hier werden die Zertifikate generiert.

Drei von vier der dargestellten Komponenten befinden sich in der lokalen Umgebung des Kunden, während die vierte in der Cloud ist.

Zunächst werden die Endpunkte mithilfe von Gruppenrichtlinien vorkonfiguriert: beispielsweise durch die Überprüfung des Zertifikats zur Authentifizierung des Benutzers, einer Anfrage für S/MIME-Zertifikate und so weiter – für die anschließende Verbindung zum AEG-Server. Die Verbindung erfolgt sicher über HTTPS.

Der AEG-Server sendet über LDAP eine Anfrage an das Active Directory, um eine Liste der Zertifikatvorlagen für diese Endpunkte zu erhalten, und sendet diesen Kunden die Liste zusammen mit dem Standort des Zertifizierungszentrums. Nach Erhalt dieser Regeln verbinden sich die Endpunkte erneut mit dem AEG-Server, diesmal um die tatsächlichen Zertifikate anzufordern. AEG erstellt seinerseits einen API-Aufruf mit den angegebenen Parametern und sendet ihn an das GlobalSign-Zertifizierungszentrum oder GCC zur Verarbeitung.

Schließlich bearbeitet die Serverkomponente von GCC Anfragen in der Regel innerhalb weniger Sekunden und sendet die API-Antwort zusammen mit dem Zertifikat, das auf Anfrage an den Endpunkten installiert wird.

Der gesamte Prozess dauert nur wenige Sekunden und kann vollständig automatisiert werden, indem die Endpunkte so konfiguriert werden, dass sie Zertifikate automatisch über Gruppenrichtlinien abrufen.

Einzigartige Merkmale von AEG

  • Die Registrierung kann über die MDM-Plattform erfolgen.
  • Entwickelt von ehemaligen Mitarbeitern des Microsoft Crypto-Teams.
  • Clientloses Lösung.
  • Vereinfachte Implementierung und Lebenszyklusverwaltung.

Alternativen zu Microsofts Zertifizierungsstelle
Architekturbeispiele

Somit bedeutet die externe Verwaltung von PKI über das GlobalSign AEG Gateway erhöhte Sicherheit, Kosteneinsparungen und Risikominderung. Ein weiterer Vorteil ist die einfache Skalierbarkeit und verbesserte Leistung. Das richtige PKI-Management gewährleistet eine lange Betriebszeit, verhindert Unterbrechungen kritischer Vorgänge aufgrund ungültiger Zertifikate und bietet Mitarbeitern sicheren, remote Zugang zu den Netzwerken des Unternehmens.

AEG unterstützt eine Vielzahl von Anwendungsfällen, die eine Zwei-Faktor-Authentifizierung erfordern: von Benutzern remote arbeitender Gruppen, die über VPN und WLAN auf das Netzwerk zugreifen, bis hin zu privilegierten Zugriffen auf hochsensible Ressourcen über Smartcards.

GlobalSign – ein weltweit führendes Unternehmen im Bereich Cloud- und Netzwerk-PKI-Lösungen zur Identitäts- und Zugriffsverwaltung. Weitere Informationen zu den Produkten erhalten Sie bei unseren Managern.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster