Private Zertifizierungsstelle

In der Funktionsweise agieren private Zertifizierungsstellen (Private CA) wie öffentliche vertrauenswürdige CAs (Certificate Authority). Im Wesentlichen erstellt ein Unternehmen sein eigenes privates Stammzertifikat, das weitere private Zertifikate für interne Server und Benutzer ausstellen kann. Von einer privaten Zertifizierungsstelle ausgestellte Zertifikate sind nicht öffentlich vertrauenswürdig und sollten nicht außerhalb der vertrauenswürdigen Mitglieder und Infrastruktur des Unternehmens verwendet werden. Private CA ist auch als Private Public Key Infrastructure (Private PKI) oder interne Zertifizierungsstelle bekannt.

Eine Zertifizierungsstelle bürgt letztlich für die Identität jedes Rechners, Benutzers oder Codeprozesses in der Infrastruktur. Ohne diese Art von starker Identität sind Angriffe möglich, bei denen MitM-Softwareprogramme (Man in the Middle) Informationen stehlen oder falsche Befehle erteilen können, was unter anderem zu Datenverlust, Sicherheitsverletzungen oder Diebstahl von Geldern führen kann. Bei öffentlichen Vertrauensmechanismen, wie zum Beispiel Zertifikaten, die zur Sicherung von Webverkehr, E-Mail und verteiltem Code verwendet werden, folgen die ausgestellten Zertifikate einer kryptografischen Kette bis hin zu öffentlichen Zertifizierungsstellen. Im Falle einer privaten Zertifizierungsstelle stellt das Unternehmen selbst fest, welche Geräte, Benutzer oder Prozesse innerhalb des Netzes vertrauenswürdig sind.

In der Vergangenheit nutzten Unternehmen häufig das Microsoft CA-Tool für Windows-Rechner oder alles, was dem Microsoft-Technologie-Stack angehört. Microsoft CA ist kostenlos und in Active Directory (AD) integriert, so dass es für einen Großteil dieser Nutzung gut geeignet war. In den letzten Jahren haben Trends wie die Unterstützung mobiler Geräte, einschließlich Bring Your Own Device (BYOD), Internet of Things (IoT), Cloud und DevOps die Verwendung von Nicht-Microsoft-Betriebssystemen in großem Umfang für unternehmensbezogene Anwendungen erzwungen. Diese Architekturen haben die Einführung anderer Private-CA-Angebote erforderlich gemacht, einschließlich Private-CA-Anwendungen von IT-Sicherheitsanbietern.

Typische Anwendungsbereiche für private Zertifizierungsstellen

• Intranet-Seiten
• VPNs
• Geräteidentifizierung
• IoT-Projekte (Internet of Things)
• Sichere Kommunikation zwischen internen Diensten und interoperable Kommunikation zwischen Drittanbietern, einschließlich mit Containern oder Anwendungsprogrammschnittstellen (API) verbundenen Cloud-Umgebungen.

Der Bedarf an zertifikatsgesteuerten Identitäten innerhalb des Unternehmens ist groß.  Viele der Anwendungsfälle sind für die üblichen öffentlich vertrauenswürdigen Zertifikate ungeeignet, so dass Unternehmen für diese Fälle Zertifikate aus ihrer eigenen Vertrauensstruktur ausstellen müssen. Werden keine starken Identitätspraktiken für interne Systeme implementiert, stellt dies ein inakzeptables Risiko für Datendiebstahl oder andere folgenreiche Verstöße dar.

Ein kommerzielles privates CA-Angebot kann einem Unternehmen helfen, Risiken zu reduzieren und die Einhaltung von Vorschriften zu unterstützen. Dies, indem es die Best Practices der Public-Key-Infrastruktur (PKI), der Kryptografie und der IT-Sicherheit befolgt. Dazu gehört auch die Nachverfolgung und Automatisierung der Erneuerung von bereitgestellten Zertifikaten. Es kann die Markteinführungszeit verkürzen und die geschäftliche Flexibilität erhöhen, da Netzwerkadministratoren Zertifikate und Verfahren verwalten können, anstatt ihre eigene PKI von Grund auf neu zu erstellen. Durch die Automatisierung eines Großteils der Verwaltungsaufgaben für interne Zertifikate können Mitarbeiter Zeit für andere Aufgaben freischaufeln.

Viele der Architekturen, die die verstärkte Nutzung von Zertifikaten vorantreiben, befinden sich im Aufschwung und kommen immer mehr zum Einsatz. Container, Multi Cloud, IoT und andere moderne Computerarchitekturen treiben die Anzahl der benötigten Zertifikate um Größenordnungen in die Höhe, was in vielen Fällen die Lebensdauer des durchschnittlichen Zertifikats entsprechend verkürzt. In diesen Architekturen ist die Automatisierung eine Voraussetzung für die Bereitstellung und Verwaltung von Zertifikaten.