Unleash Microsoft PKI

Die Microsoft PKI ist zusammen mit den true-Xtender Erweiterungen von Keyon eine umfassende Lösung für die Ausgabe und Verwaltung von X.509 Zertifikaten. Wir unterstützen Sie in allen Phasen der organisatorischen und technischen Integration der Microsoft PKI.

Microsoft PKI

Auf Basis der Microsoft PKI werden X.509 Zertifikate für umfassende Identity- und Access Lösungen ausgegeben und verwaltet.

  • Windows Smartcard Logon
  • Zertifikatsbasierte Authentisierung von mobilen Geräten (SCEP, PKCS#12)
  • Zertifikatsbasierte 802.1X Authentifizierung (EAP-TLS)
  • Zertifikatsbasierte Authentifizierung gegenüber Systemen und Web-Applikationen / Services
  • Elektronisches Signieren von Dokumenten, Applikationen und Macros
 

true-Xtender Suite für Microsoft PKI

Die true-Xtender Suite von Keyon ist eine umfassende Sammlung von Modulen, welche die Eigenschaften der Microsoft PKI erweitern. Alle Module werden auf Windows 2008 (R2) und 2012 (R2) unterstützt und bieten volle Enterprise Funktionalität. Eine Schemaerweiterung ist nicht notwendig.

 

true-Xtender Policy Module

Das true-Xtender Policy Module erweitert die Eigenschaften der Microsoft PKI und ermöglicht eine regelbasierte Ausgabe und Verwaltung von X.509 Zertifikaten. Der Zertifikatsinhalt kann umfangreich erweitert oder verändert werden. Folgend ein paar Beispiele:

  • Die einzelnen Komponenten des Subject DN können fest definiert, aus dem ursprünglichen Zertifikatsantrag übernommen oder nach einer beliebigen Regel verändert oder erweitert werden.
  • X.509 Zertifikatserweiterungen können beliebig entfernt, angepasst, erweitert oder hinzugefügt werden. Mit dem true-Xtender von Keyon können auch hostspezifische Erweiterungen wie beispielsweise die RACF ID verwaltet werden.
  • Zusätzliche Benutzer-, oder Systemattribute können aus einem Verzeichnis oder aus einer DB ausgelesen und in das Zertifikat integriert werden.
 

true-Xtender Registration Authority (RA)

Die true-Xtender Registration Authority ermöglicht die nahtlose Integration der Zertifikatsverwaltung in die unternehmensinternen Prozesse und bietet neben einem browserbasierten GUI einen Webservice für automatisierte Prozesse. Sie wird auf einem Microsoft IIS-Webserver installiert.

Über Metadaten, welche zusätzlich in der Datenbank der RA gespeichert werden, können unternehmensspezifische Verwaltungsprozesse umgesetzt werden. Beispielsweise können Zertifikate an Applikationen, Personen oder Gruppen zugeordnet werden, die im Falle eines Erneuerungsprozesses, einer Revokation oder anderen Aktivitäten, benachrichtigt werden.

Ein umfangreiches Audit-Log speichert jede Aktivität der Antragsteller und der Administratoren.

 

Die Keyon / Registration Authority Webapplikation bietet die folgenden Funktionen:

  • Einfache und Erweiterte Suche nach Zertifikaten (Unterstützung mehrerer CAs)
  • Ausstellen von Zertifikaten auf der Basis von PKCS#10-Dateien
  • Ausstellen von Schlüsselpaaren und Zertifikaten als PKCS#12-Dateien
  • Ausstellen von Schlüsselpaaren und Zertifikaten, welche direkt auf Hardwaretoken (HSM, Smartcard, etc.) gespeichert werden. Die Schlüsselgenerierung findet dabei auf den Hardwaretoken statt.
  • Ausliefern von bereits ausgestellten Zertifikaten über unterschiedliche Kanäle (E-Mail, Web-basierter Download, automatisierter Filetransfer, etc.)
  • Sicherheitskritische Funktionen können über ein Workflow Management (4-Augen-Prinzip) abgebildet werden.
  • Wiederrufen (Revozieren) von Zertifikaten
  • Verwalten von Fremdzertifikaten (z.B. von öffentlichen Zertifikaten)
  • Erneuern von Zertifikaten

Die Keyon / Registration Authority ist eine Web Applikation auf der Basis des Microsoft IIS. Die Berechtigungen für die einzelnen Funktionen werden über Active Directory Gruppen gesteuert.

IT-Securty & Software Engineering
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
IT-Securty & Software Engineering
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
IT-Securty & Software Engineering
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
IT-Securty & Software Engineering
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
 
 
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
1
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
2
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
3
IT-Securty & Software Engineering
Microsoft PKI, SafeNet HSM, true-Sign, DLP, IRM, AD-RMS
4
 

true-Xtender Autoenroll PKI

True-Xtender Autoenroll PKI verbindet die Microsoft Autoenrollment Funktion mit einem öffentlichen PKI Service Ihrer Wahl. Dadurch haben Sie die Möglichkeit, firmeninterne Zertifikate gewohnt automatisiert auszugeben und zu verwalten, ohne dafür eine eigene Microsoft CA betreiben zu müssen.

Mit dem "true-Xtender Autoenroll PKI" kann die Autoenrollment-Funktion der Microsoft PKI entscheidend erweitert werden.

  • Autoenrollment von öffentlichen Zertifikaten. Jede öffentliche CA, die eine Webservice-Schnittstelle anbietet, kann integriert werden.
  • Autoenrollment basierte Erneuerung von Zertifikaten im Falle einer Änderung von Benutzer- oder Serverattributen.
  • Flexibles lifecycle management von Benutzer- und Serverzertifikaten.

Ein umfassendes und intuitives Web-GUI sowie umfangreiche Reporting Services bilden das Cockpit für alle im Unternehmen verwendeten Zertifikate.

Autoenrollment Reports
 

true-Xtender Enrollment Webservices

Die true-Xtender Enrollment Webservices bieten umfangreiche SOAP Schnittstellen für die Ausgabe und Verwaltung von X.509 Zertifikaten. Ein SOAP-Client authentisiert sich gegenüber dem Webservice und erhält somit die entsprechenden Berechtigungen für die einzelnen Funktionen.

  • Ausstellen von Zertifikaten auf der Basis von PKCS#10-Dateien
  • Ausstellen von Schlüsselpaaren und Zertifikaten als PKCS#12-Dateien
  • Beziehen von ausgestellten Zertifikaten
  • Wiederrufen (Revozieren) von Zertifikaten
  • Erneuern von Zertifikaten
 

true-Xtender PKI Services

true-Xtender Auto-Revocation Service

Der Auto-Revocation Service ist das Pendant zu der von Microsoft angebotenen Auto Enrollment-Funktion. Der Auto-Revocation Service revoziert ein Zertifikat, sobald dessen zugeordnetes Computer- oder Benutzer-Objekt im Active Directory entfernt wird. Alle Aktionen des Services werden im Windows Event Log aufgezeichnet. 


true-Xtender Certificate Expiration Service

Der Certificate Expiration Service prüft periodisch, ob Zertifikate innerhalb einer bestimmten Zeit ablaufen. Falls Zertifikate ablaufen, sammelt der Service Metadaten zu den ablaufenden Zertifikaten und verschickt Erinnerungsemails an Zertifikatsverantwortliche oder Administratoren. Nebst dem Versenden von E-Mails schreibt der Service Informationen in das Windows Event Log.

Der Service verarbeitet unterschiedliche Metadaten aus unterschiedlichen Quellen. Wird beispielsweise die true-Xtender Registration Authority eingesetzt, über welche die Metadaten erfasst wurden, wird auf deren Datenbank zugegriffen. Zudem können andere Datenbanken oder LDAP Verzeichnisse integriert werden. 


true-Xtender CRL Management Service 

Der Keyon / CRL (Certificate Revocation List) Management Service wird eingesetzt im Zusammenhang mit der Verteilung von Sperrlisten an unterschiedliche CRL Distribution Points (CDPs) und der Überwachung von CRL Distribution Points. Der Service überwacht, ob die konfigurierten CRL Distribution Points die jeweils aktuellen Sperrlisten bereitstellt. Im Fehlerfall versendet der CRL Distribution Service eine E-Mail an Administratoren und aktualisiert das Windows Event Log entsprechend. Er unterstützt unterschiedliche Quellen von CRLs und kann diese über LDAP, http, File shares oder Script-Aufruf an die CDPs verteilen.


true-Xtender CRL Publication Service
Der „CRL Publication Service“ publiziert die CRL unmittelbar nach dem Eingang eines sogenannten Revokations-Antrages auf der Microsoft CA. Im Weiteren wird in einem regelmässigen Intervall (z.B. einmal täglich) eine Sperrliste publiziert, auch wenn kein neuer Sperreintrag vorhanden ist.

Durch die Verwendung des „CRL Publishing Service“ entfällt die regelmässige Publikation der Sperrlisten wodurch diese beispielsweise vom einem Online-Responder nicht unnötig neu eingelesen werden muss. Die Sperrliste wird nur dann neu eingelesen, wenn diese aufgrund eines neuen Sperreintrages aktualisiert wurde.

Der „CRL Publication Service“ wird als Windows-Service installiert und als sogenanntes Exit-Modul auf der Microsoft CA registriert. Die Publizierungsintervalle sowie weitere Applikationsspezifische Parameter können in einer XML-Datei konfiguriert werden.

 

true-Xtender Revocation Provider

Keyon Caching Resync Revocation Provider
Die Prüfung auf Sperrung erfolgt im Windows CryptoAPI über installierbare Revocation Provider, wobei Microsoft Standardmässig einen Revocation Provider zur Verfügung stellt, der die Sperrinformationen über OCSP und Sperrlisten ermitteln kann.

Bei der Verwendung von Sperrlisten durch den Standard Microsoft Revocation Provider kann jedoch nicht davon ausgegangen werden, dass eine Sperrung eines Zertifikats zeitnah festgestellt werden kann, da die Sperrlisten und auch OCSP Antworten aufgrund verschiedener Parameter lokaI gecached werden.

Die Keyon Revocation Provider stellen sicher, dass CRLs und OCSP Antworten einer CA nach einer konfigurierbaren Zeit neu geladen statt nur aus dem Cache gelesen werden.

Anwendungsbeispiel:

Bei der Ausstellung von temporären Smartcards wird die aktive Smartcard suspendiert und temporär auf der Sperrliste aufgeführt. Damit ein Mitarbeiter nach Rückgabe der temporären Smartcard seine alte Smartcard möglichst bald wiederverwenden kann, müssen die Domänencontroller nach Aufhebung der Suspendierung die aktuellste Sperrliste verwenden.


Keyon Fallback und BCM Revocation Provider
Durch die Verwendung des Keyon Fallback und BCM Revocation Provider kann der Windows Logon mittels Smartcard auch bei einem längeren Totalausfall einer PKI garantiert werden.

Kann ein Domänencontroller beim Start sein eigenes Zertifikat nicht mittels einer gültigen Sperrliste oder OCSP Anfrage überprüfen, dann deaktiviert er die Funktion für den Smartcard Logon.

Falls keiner der installierten Revocation Provider eine gültige Sperrinformation abrufen kann, liefert der Fallback und BCM Revocation Provider für Domänencontroller den Status ,,nicht gesperrt" zurück.

Kann keiner der installierten Revocation Provider bei einem Smartcard Logon Event das Zertifikat des Clients überprüfen, liefert der Fallback und BCM Provider den Status ,,nicht gesperrt" zurück und erstellt einen Eintrag im Eventlog des Domain Controllers.