GlobalSign Blog

10 Sep 2015

Zertifikate für interne Server

Lange Zeit mussten Unternehmen Zertifikate für interne Server mit Benennungskonventionen nutzen, die sich nicht zur Verwendung von registrierten Top-Level-Domains eignen. Das CA/Browser Forum verwaltet die Baseline Requirements (BRs) und hat den Industriestandard für die Verwendung von SSL-Zertifikaten defniert. Jetzt hat es eine Frist gesetzt, nach der ab dem 1. November 2015 SSL-Zertifikate mit internen Servernamen oder reservierten IP-Adressen auslaufen.

Unternehmen, die interne Servernamen verwenden, stehen mehrere Optionen zur Verfügung, wie z.B.:

  • Verlagerung zu registrierten Domainnamen. Das ist eine gute langfristige Option. Sie erfordert aber unter Umständen eine Menge Arbeit, da alle Systeme und die Infrastruktur aktualisiert werden müssen. Außerdem können Sicherheitsbedenken gegen eine Verwendung von nicht öffentlich registrierten Domainnamen sprechen.
  • Aufbau und Betrieb Ihrer eigenen Unternehmens-CA. Eine Option, die definitiv mit Kosten für Beschaffung, Konfiguration und Betrieb einer eigenen CA- und OCSP-Diensten verbunden ist.
  • Verwendung von selbstsignierten SSL-Zertifikaten. Das setzt voraus, dass das Unternehmen jedes SSL-Zertifikat für jeden Benutzer als vertrauenswürdig einstuft, verteilt und diese Zertifikate entsprechend jedes Mal erneuert.
  • SSL-Zertifikate über eine unternehmensspezifische private CA von einem vertrauenswürdigen CA-Anbieter. Diese Option erfordert Zeit um die Lösung im Unternehmen einzuführen und ist mit Einrichtungs- und/oder Hostinggebühren verbunden.
  • Bezug von kommerziell verfügbaren SSL-Zertifikaten über eine freigegebene nicht öffentliche Hierarchie von Ihrem CA-Anbieter.

Am besten ist es wenn Sie weiterhin Ihr aktuelles CA-Portal nutzen um alle SSL-Zertifikate an einem Ort zu verwenden -  Extended Validation (EV), Organisation Validation (OV) und die Zertifikate, die unter nicht öffentlichen Roots für den internen Gebrauch ausgestellt worden sind. So profitieren Unternehmen von allen Vorteilen einer gehosteten CA-Lösung.  Das sind beispielsweise Erinnerungen, dass Zertifikate erneuert werden müssen, zentralisierte Berichterstattung und Bestandsverwaltung, APIs zur vollautomatischen Zertifikatausstellung oder einer delegierte Benutzerverwaltung. Dazu kommt die flexible Unterstützung interner Server und Anwendungen auch weiterhin.

Deshalb freuen wir uns Ihnen IntranetSSL vorstellen zu können. IntranetSSL ist ein neues Produkt innerhalb unseres Cloud-basierten Zertifikatverwaltungsportals. Über IntranetSSL können Sie sofort unternehmensüberprüfte Zertifikate ausstellen, die auf vorüberprüften Unternehmensprofilen und Domains sowie internen Servernamen basieren. Das Produkt verwendet nicht öffentlich vertrauenswürdige Stammzertifikate (Roots, die nicht von Browser- und Betriebssystemherstellern verteilt werden). Daher sind die Zertifikate von den Einschränkungen durch die Baseline Requirements ausgenommen.

Unternehmen können die erforderlichen IntranetSSL-Roots über Group Policy Object (GPO) oder andere zentralisierte Managementsysteme an die Nutzer verteilen, sodass die IntranetSSL-Zertifikate entsprechend vertrauenswürdig sind.

Drei Hauptkennzeichen von IntranetSSL

1 Interne Servernamen und reservierte IP-Adressen:
IntranetSSL unterstützt die Ausstellung von SSL-Zertifikaten mit internen Servernamen und reservierten IP-Adressen in den CN- und SAN-Werten. Darüber hinaus bietet IntranetSSL volle Flexibilität bei der Verwendung dieser Werte mit vorüberprüften Domains, damit Kunden interne, FQDNs, Unterdomains, Platzhalter und globale IP-Adressen in einem Zertifikat beliebig kombinieren können. Alle Zertifikate sind an den Namen des Unternehmens/der jeweiligen Organisation gebunden.
2 Flexible Schlüsselarten/Hash-Algorithmen:
IntranetSSL unterstützt ältere, aktuelle und künftige Anwendungen mit verschiedenen Schlüsseltypen und Hash-Algorithmen. IntranetSSL wird unter drei unterschiedlichen Hierarchien angeboten. Die RSA 2048/SHA-1-Hierarchie unterstützt ältere Anwendungen mit nur SHA-1, die nicht einfach aktualisiert werden können, sodass sie SHA-256 entsprechend dem BR-SHA-1-Ablaufzeitplan unterstützen. Die RSA 2048/SHA-256-Hierarchie wird für die heute meist verwendeten Server und Browser eingesetzt und die SHA256ECDSA-Hierarchie mit ECC-P-256-Schlüsseln kommt für zukünftige Unternehmensanforderungen mit höchstmöglicher Sicherheit zum Tragen. Alle drei Optionen stehen IntranetSSL-Kunden zur Verfügung.
3 Längere Laufzeiten
IntranetSSL unterstützt Zertifikate mit längerer Laufzeit als gemäß BR erlaubt, sodass Kunden Zertifikate bekommen können, die bis zu 5 Jahre gültig sind.

Weitere Informationen finden Sie auf https://www.globalsign.com/de-de/ssl/intranetssl/

Artikel teilen

Jetzt Blog abonnieren