GlobalSign Blog

09 Mär 2015

3 Gründe, die für den Betrieb einer internen CA sprechen

Digitale Zertifikate können eine überzeugende Option für Ihre IT-Sicherheitsprojekte sein (z.B. Authentifizierungdigitale Signaturensichere E-Mail). Aber sobald Sie sich für eine zertifikatsbasierte Lösung entschieden haben, müssen Sie festlegen, ob Sie mit einer öffentlichen, cloud-basierten Zertifizierungsstelle zum Ausstellen und Verwalten der Zertifikate zusammenarbeiten oder ob Sie Ihre eigenen PKI-Services intern betreiben wollen (beispielsweise unter Verwendung einer Microsoft-CA).

Jedes Szenario hat Vor- und Nachteile. Aber die Zahl der CAs ist gewachsen und die PKI-Landschaft wächst stetig weiter. Damit fallen einige der beliebtesten Gründe, die für den Betrieb einer eigenen CA sprechen längst nicht mehr so ins Gewicht wie früher.

Lassen Sie uns die drei Gründe erörtern, die wir am häufigsten hören wenn es um eine intern betriebene PKI-Lösung geht:

"Es ist kostenlos..."

Dies ist einer der häufigsten Gründe die wir bei der Befragung einer Gruppe von IT-Experten hörten. Satte 70% der Befragten nannten dies als Hauptargument für die Verwendung einer Microsoft-CA. Das ist nicht zuletzt der Tatsache zuzuschreiben, dass Microsoft CA-Services im Windows Enterprise Server enthalten sind. Es trifft zwar zu, dass Sie keine Gebühr für die Nutzung der Dienste oder die ausgestellten Zertifikate zahlen müssen, aber zu sagen, der Betrieb einer Microsoft CA sei "kostenlos" ist eine stark vereinfachte Darstellung und führt möglicherweise in die Irre.

Bedenken Sie:

  • Interne Personalkosten für die Verwaltung der CA
  • Hardware-Kosten (das zur Speicherung Ihrer Root und der privaten Schlüssel für die Signatur benötigte Hardware-Sicherheitsmodul kostet allein 20.000 €).
  • Interne (und möglicherweise externe) SLA sowohl für Zertifikatausstellung als auch Zertifikat-Lifecycle-Management und Validierungs-Services (z.B. Aktualisierung von CRLs (Sperrlisten), Führung von CLRs und Betrieb von OCSP-Diensten)
  • Werden CA Best Practices bei Sicherheit, Richtlinie und Auditing Ihrer CA angewendet?

"Aber ich muss mich mit Active Directory verbinden..."

Für Organisationen, die eine Windows-Umgebung betreiben, kann die Nutzung der bereits in den Microsoft Zertifikatdiensten enthaltenen Zertifikatvorlagedaten das Betreiben einer Microsoft CA äußerst anspruchsvoll machen. Da AD und Microsoft Zertifikatdienste verbunden sind, können Sie Zertifikate für alle mit der Domäne verbundenen Objekte gemäß Gruppenrichtlinien nahtlos registrieren und bereitstellen. Automatische Registrierung und Installation macht den Bereitstellungsprozess für Zertifikate für IT-Administratoren und Endanwender gleichermaßen einfach. Man kann die Vorteile der Integration in AD nicht leugnen, aber zu denken, dass dies nur mit einer Microsoft CA erreicht werden kann, ist einfach nicht mehr richtig.

Was Sie bedenken sollten:

  • Die meisten öffentlichen CAs bieten jetzt eine Active Directory-Integration an, die identische Funktionalitäten bereitstellt. Nur das Ganze mit ihrem eigenen Proxy in AD statt einem Microsoft Proxy.

"Ich verwende meine Zertifikate nur für interne Zwecke..."

Einer der Hauptgründe dafür, mit einer öffentlichen Zertifizierungsstelle zusammenzuarbeiten ist der, dass sie genau das ist - öffentlich. Öffentliche CAs arbeiten fleißig daran, sicherzustellen, dass ihre Roots in den neuesten Browsern und Anwendungen integriert sind, so dass alle von den Roots ausgestellten Zertifikate automatisch als vertrauenswürdig gelten.  Der Vorteil liegt auf der Hand, wie z.B. SSL für öffentliche Websites oder Document Signing. Aber was ist, wenn Sie einfach nur Zertifikate für Ihr privates Netzwerk wollen? Oder wenn Sie nur S/MIME für die interne Kommunikation ermöglichen müssen? In diesen Fällen ist öffentliche Vertrauenswürdigkeit nicht wirklich nötig.

Neben einer öffentlichen Root gibt es viele Gründe, mit einer Web-Trust-geprüften öffentlichen CA zu arbeiten. Bedenken Sie:

  • Wie werden Sie Ihr Root-Schlüssel-Material schützen?
  • Wie können Sie mit ständig wechselnden PKI Best Practices mithalten und interne Compliance aufrechterhalten? Mehr als die Hälfte der Befragten in unserer Umfrage gaben an, dass sie sich nicht selbst damit belasten wollen.
  • Die meisten öffentlichen CAs bieten kosteneffektive Zertifikatsoptionen für interne Zwecke.

Wie schon gesagt, es gibt einige Gründe, die dafür sprechen Ihre eigene CA zu betreiben. Aber wenn Sie Ihre Entscheidung auf einen der oben genannten Gründe stützen, sollten Sie Ihre Haltung vielleicht noch einmal überdenken.

Active Directory Integration: kostenlose Demo

Artikel teilen