什么是证书管理

在自带设备和物联网文化的推动下,数字化使连接到互联网的设备数量空前加速。在企业网络环境中,每个在线运行的设备都需要一个数字证书来证明其合法性和安全运行。这些数字证书(通常称为 X.509 证书)要么来自称为证书颁发机构 (CA) 的受信任第三方,要么在内部生成。组织通常将来自受信任的第三方 CA 的 SSL/TLS 证书部署到提供面向公众的服务(如 Web 服务器)的设备和应用程序,并使用本地生成的自签名证书供内部使用。

无论其用途如何,所有 X.509 证书都有设定的到期日期。未能按时续订它们会导致意外的服务中断,这通常会产生讨厌的浏览器警告,并可能导致客户对您的品牌不信任。此外,在整个 X.509 证书生命周期中要监控的其他变量包括请求和配置、部署、使用情况统计信息、到期和续订。企业 IT 团队需要全面了解其数字证书环境,以简化其生命周期管理,并对任何与证书相关的事件迅速采取行动。

证书生命周期管理是监视和管理企业网络环境中部署的所有 X.509 证书的生命周期(从配置和部署到跟踪续订、使用和过期)的过程。理想的证书管理解决方案可以实时监控整个证书基础架构,而不考虑颁发机构,自动执行证书管理操作,并为 IT 管理员提供对其数字证书生态系统的全面可见性和控制。

为什么企业需要证书管理策略

虽然组织承认数字证书管理问题日益严重,但大多数组织仍然没有自己的企业范围的证书管理策略。以临时方式处理证书事件,或依靠电子表格等自主开发的工具来管理证书,对于克服生命周期管理挑战是徒劳的。以下是组织应投资专用证书生命周期管理解决方案的几个原因:

  • 证书的激增导致可见性差
  • 缺乏专门的证书管理部门通常会导致问责制问题
  • 供应商中立的证书管理效率更高
  • 单个过期的证书可能会导致代价高昂的中断

证书的激增导致可见性差

企业网络中设备的爆炸式增长加速了颁发的证书数量。IT 管理员经常难以跟踪证书的颁发和使用,这最终会导致大量孤立证书,使组织面临意外服务停机和安全漏洞的风险。

缺乏专门的证书管理部门通常会导致问责制问题

虽然公钥基础结构 (PKI) 管理员负责管理证书生命周期,但大多数组织没有专门的内部 PKI 团队。因此,证书管理通常由IT安全团队负责,这增加了IT安全管理员的现有压力,并且通常会导致流程混乱。通过集中式工具自动执行证书管理,减轻了 IT 安全团队的压力,并建立了对证书相关操作的清晰可见性和集中控制。

供应商中立的证书管理效率更高

组织将从受信任的第三方实体(称为证书颁发机构 (CA))购买的证书部署到面向公众的系统和应用程序。这些 CA 中的大多数都提供证书管理工具,但缺点是其管理功能仅限于特定供应商颁发的证书。如果您的组织从多个供应商处获取证书或使用自签名证书,则使用单个供应商的工具可能会在您的整体证书管理策略中留下巨大差距。

单个过期的证书可能会导致代价高昂的中断

自动执行证书的生命周期管理至关重要,尤其是那些部署到面向公众的服务和应用程序的证书。我们一次又一次地看到企业科技巨头因证书过期而陷入大规模中断的例子。组织不能让哪怕是单个证书过期,因为影响的程度可能是巨大的,包括客户流失、品牌信誉损失,有时甚至是安全漏洞。这再次证实了对企业范围的统一证书管理解决方案的需求,该解决方案可以简化和自动化网络中各种 X.509 证书的生命周期管理,而不管颁发机构如何。

所有权困境

尽管对证书管理的重要性有足够的认识,但组织往往难以设计和实施可持续的证书管理计划。一个很大的障碍是所有权困境。哪个部门负责处理证书过期导致的证书相关事件或服务中断?理想情况下,与证书相关的操作由 PKI 团队负责,PKI 团队是 IT 安全部门的一个子集。然而,在实践中,每个组织都负担不起专门的 PKI 团队,因此责任转移到了 DevOps、应用程序或网络团队,从而增加了他们紧张的工作量。对于证书管理,由于缺乏在PKI的技术和政策方面具有专业知识的专门团队,因此很难避免与证书相关的事件,例如服务停机,最终导致客户体验不佳和品牌信誉损失。

外包证书管理是解决所有权困境的一种解决方法,但它也有其注意事项。托管服务成本高昂,许多组织更愿意在其场所内包含 PKI 功能。在当今高度互联的 IT 生态系统中,越来越需要证书管理解决方案与其他各种部门(如 ITSM、MDM 和 DevOps)集成,而传统的自行开发工具(如电子表格)通常不提供此功能。

证书管理问题的真正解决方案是一个统一的平台,该平台提供对组织的 SSL/TLS 生态系统的完全可见性和控制。这使 IT 管理员能够简化和自动化整个证书生命周期管理流程,从配置和部署到跟踪整个网络环境中部署的所有 X.509 证书的续订、使用情况和过期。

证书管理中涉及的阶段

  • 发现:发现网络中部署的所有 SSL/TLS 证书。
  • 巩固:将发现的证书整合到一个安全的集中式存储库中。
  • 集中:通过集中创建和部署证书来抑制证书扩散。
  • 自动化:简化和自动化公共证书的完整生命周期管理 — 从 CSR 生成到配置、部署和续订。
  • 扫描:部署证书后,定期扫描并修复 SSL 配置漏洞。
  • 监控:设置正确类型的警报机制,为在到期前主动续订证书铺平道路。

管理证书生命周期工具

Key Manager Plus是基于Web的密钥和证书管理解决方案,为IT管理员提供了对SSL / TLS生态系统急需的可见性和控制,它通过一个易于使用的界面集中、自动化和编排证书生命周期管理操作,并帮助 IT 团队预防由于证书意外过期而导致的模拟攻击、合规性问题和站点中断。以下是Key Manager Plus功能的快速浏览。

  • 发现跨异构环境和端点的 SSL 和 TLS 证书
  • 将证书集中部署到目标系统和应用程序
  • 通过及时的到期警报掌握证书续订情况
  • 利用与第三方 CA 的开箱即用集成,从单个界面跟踪证书生命周期
  • 管理 Microsoft 证书存储中的证书和 Microsoft 证书颁发机构颁发的证书

在这里插入图片描述

发现跨异构环境和端点的 SSL 和 TLS 证书

Key Manager Plus 的内置SSL和TLS发现工具可帮助IT管理员对组织内部署的各种X.509证书执行基于网络的发现。这包括自签名证书、Active Directory 用户证书、邮件服务器证书、部署到负载均衡器的证书、Amazon Web Services 中托管的证书等。

证书发现也可以按需批量执行,也可以通过创建计划任务定期自动执行。新证书可以配置为在生成时自动添加到Key Manager Plus的证书存储库中。这使 IT 管理员能够全面了解其 SSL 和 TLS 环境,使他们能够快速识别和修复网络中的恶意证书和无效证书。

将证书集中部署到目标系统和应用程序

对于企业来说,从多个 CA 为其系统和应用程序获取证书是很常见的。这导致管理员在两个或多个供应商门户之间进行管理,而没有太多的可见性。

Key Manager Plus的证书清单包含各种类型的证书,无论颁发CA如何,都有助于实现无需在多个接口之间导航的中央证书部署工作流程。IT管理员还可以生成和部署自签名证书,用于内部目的,从而消除对中间团队的任何不必要的依赖。

通过及时的到期警报掌握证书续订情况

部署到系统和应用程序的 SSL 和 TLS 证书具有设定的到期日期,这意味着它们必须不时续订。不可预见的证书过期会导致服务停机,这可能会影响生产力,损害品牌信誉,甚至在极端情况下成为安全漏洞的启动点。

监控组织内所有证书的过期是一项艰巨的任务。Key Manager Plus通过电子邮件、SNMP陷阱和系统日志消息自动发出警报,从而跟踪证书过期情况。IT 管理员可以启动续订、部署新证书并跟踪其使用情况,所有这些都来自一个统一的界面。

利用与第三方 CA 的开箱即用集成,从单个界面跟踪证书生命周期

第三方 CA 颁发的证书具有设定的有效期,超过该有效期后,浏览器将不信任这些证书。企业 IT 团队缺乏对证书使用情况和有效期的整体可见性,尤其是当证书配置涉及多个 CA 时。最重要的是,证书供应商提供的管理门户仅促进本机证书的生命周期自动化,而不扩展对其他品牌的支持。

Key Manager Plus的证书管理模块提供供应商中立的证书生命周期管理,这是紧密集成的工作流程的组合,允许IT管理员获取、整合、部署、续订和跟踪由各种第三方CA颁发的证书的生命周期。

管理 Microsoft 证书存储中的证书和 Microsoft 证书颁发机构颁发的证书

为了促进内部应用程序和服务器之间的安全通信,企业 IT 团队通常会设置内部 CA(如 Microsoft 证书颁发机构),并将本地生成的证书部署到网络中的各个节点。同样,需要持续监控和管理这些证书,以避免连接中断。

手动管理内部 CA 证书对 IT 管理员来说可能是一项挑战,尤其是在大规模执行时。Key Manager Plus提供专用的工作流程,帮助企业IT团队管理、自动化和编排Microsoft证书存储中的证书和Microsoft证书颁发机构颁发的证书的管理,而无需手动干预。

通过防篡改的审计跟踪和全面的报告获得更深入的见解。

Key Manager Plus提供了一个完善的审计机制,围绕SSH密钥和SSL/TLS证书的使用捕获和分类了操作跟踪。此外,组织可以利用一流的会话记录机制,该机制可以记录用户在启动的特权会话期间执行的操作。该解决方案还提供有关企业内所有密钥和证书管理活动的直观报告,使管理员能够做出更明智的业务决策。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/129322.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

长虹智能电视使用123

1、开机 在接通电源的情况下,长虹智能电视开机有两种方式。 方式1: 按电视右下角开机按钮 方式2: 按电视遥控器开机按钮 长虹智能电视开机后会进入其操作系统(安卓)。 屏幕左右双箭头图表,手指点击会…

力扣876:链表的中间结点

力扣876:链表的中间结点 题目描述: 给你单链表的头结点 head ,请你找出并返回链表的中间结点。 如果有两个中间结点,则返回第二个中间结点。 示例 1: 输入:head [1,2,3,4,5] 输出:[3,4,5]…

无线优化之RRM模板

一、简介 RRM即,Radio Resource Management,射频资源管理 WLAN技术是以射频信号(如2.4G/5G的无线电磁波)作为传输介质,无线电磁波在传输过程中因周围环境导致无线信号衰减,从而影响无线用户上网的服务质量。 RRM模板主要用于保持最优的频射资源状态,自动检查周围无线…

二十四、城市建成区提取结果制图——建成区出图

一、前言 其实制图这一系列文章主要是为了照顾初学者,因为很多初学者并不是特别熟悉GIS平台一些操作,可能对于初步的制图有一定了解,但是对于一些稍微看起来高级并且复杂一点的图如何制作?例如下面这种多景的制作,其实吧万变不离其宗,这种仅仅只是拼接多幅数据框在一起,…

关于css 推荐几个超好看渐变色!

1.多彩糖果渐变 background: linear-gradient(135deg, #ff00cc, #ffcc00, #00ffcc, #ff0066);这个渐变色使用了多个鲜艳的颜色,从紫红色 (#ff00cc) 渐变到橙色 (#ffcc00),然后到青色 (#00ffcc),最后到鲜艳的粉红色 (#ff0066)。它给人一种快乐…

为啥$p(w|D)=p(y|X,w)$?

为啥 p ( w ∣ D ) p ( y ∣ X , w ) p(w|D)p(y|X,w) p(w∣D)p(y∣X,w)? p ( w ∣ X , y ) p ( w ∣ D ) p(w|X,y)p(w|D) p(w∣X,y)p(w∣D), p ( w ∣ D ) p ( D , w ) / p ( D ) p(w|D)p(D,w)/p(D) p(w∣D)p(D,w)/p(D)为啥 p ( D ∣ w ) p ( y ∣ X , w ) p(D|…

kubernetes istio

目录 一、部署 二、部署示例应用 三、部署遥测组件 四、流量管理 五、熔断 官网:https://istio.io/latest/zh/about/service-mesh/ 一、部署 提前准备好文件 tar zxf 15t10-1.19.3-linux-amd64.tar.gz cd 15t10-1.19.3/ export PATH$PWD/bin:$PATHistioctl install …

强化学习 - DQN及进化过程(Double DQN,Dueling DQN)

1.DQN 1.1概念 DQN相对于Q-Learning进行了三处改进: 1.引入神经网络:如下图所示希望能从状态S中提取Q(s,a) 2.经验回放机制:连续动作空间采样时,前后数据具有强关联性,而神经网络训练时要求数据之间具有独立同分布特性…

数据结构:AVL树的旋转(高度平衡树)

1、AVL树简介 AVL树是最先发明的自平衡二叉查找树。在AVL树中任何节点的两个子树的高度最大差别为1,所以它也被称为高度平衡树。增加和删除可能需要通过一次或多次树旋转来重新平衡这个树。AVL树得名于它的发明者G. M. Adelson-Velsky和E. M. Landis,他们…

CSS3渐变颜色

CSS3 渐变可以让你在两个或多个指定的颜色之间显示平稳的过渡。 CSS3渐变有两种类型:线性渐变(Linear Gradients)和径向渐变(Radial Gradients)。 线性渐变(Linear Gradients): 线性…

MSVCP140_CODECVT_IDS.dll丢失怎么办?推荐三个解决方法帮你解决

MSVCP140_CODECVT_IDS.dll是Microsoft Visual C 2015 Redistributable的一个组件,它包含了一些运行时库文件。当您在运行某些程序时,可能会遇到“msvcp140_codecvt_ids.dll丢失”的错误提示。为了解决这个问题,您可以尝试以下三种方法&#x…

CH11_重构API

将查询函数和修改函数分离(Separate Query from Modifier) function getTotalOutstandingAndSendBill() {const result customer.invoices.reduce((total, each) > each.amount total, 0);sendBill();return result; }function totalOutstanding() …

Adobe ME下载、Media Encoder下载

Media Encoder 2021 是一款可以帮助Adobepremiere pro和Adobe After Effects的用户使用集成视频编码器进行创作的视频和音频编码软件。Media Encoder 2021 mac新版本中针对上一个版本进行了多方面的改进与优化,提升了软件的性能与支持文件格式提升,有需要…

CSS3图片反射box-reflect属性

CSS3中有一个box-reflect属性,也就是图片反射,主要的效果是将一张图片反射到对应面并且可以设置想要的一些效果(如:渐变)等 语法 box-reflect:包括三个值 direction 定义方向 above 反射到对象的上面below…

MySQL | 查询接口性能调优、编码方式不一致导致索引失效

背景 最近业务反馈,列表查询速度过慢,需要优化。 到正式环境系统去验证,发现没筛选任何条件的情况下,查询需要三十多秒,而筛选了条件之后需要13秒。急需优化。 先说结论:连表用的字段编码方式不一致导致索…

基于SSM的水果网上商城设计与实现

末尾获取源码 开发语言:Java Java开发工具:JDK1.8 后端框架:SSM 前端:Vue 数据库:MySQL5.7和Navicat管理工具结合 服务器:Tomcat8.5 开发软件:IDEA / Eclipse 是否Maven项目:是 目录…

Netty入门指南之NIO 网络编程

作者简介:☕️大家好,我是Aomsir,一个爱折腾的开发者! 个人主页:Aomsir_Spring5应用专栏,Netty应用专栏,RPC应用专栏-CSDN博客 当前专栏:Netty应用专栏_Aomsir的博客-CSDN博客 文章目录 参考文献前言基础扫…

Netty入门指南之NIO Buffer详解

作者简介:☕️大家好,我是Aomsir,一个爱折腾的开发者! 个人主页:Aomsir_Spring5应用专栏,Netty应用专栏,RPC应用专栏-CSDN博客 当前专栏:Netty应用专栏_Aomsir的博客-CSDN博客 文章目录 参考文献前言ByteBu…

kubernetes prometheus监控

目录 一、部署prometheus 二、 部署nginx监控实例 三、部署prometheus-adapter 一、部署prometheus 清理镜像方便后面一次性上传 docker rmi docker images | grep -v REPOSITORY | awk {print $1":"$2} 删除 docker load -i kube-prometheus-stack-0.58.0.tar…

盘点U-Mail邮件系统安全设计

在当今社会,电子邮件已经成企业沟通和信息传递重要的手段之一,是企业办公中不可或缺的一部分。但是由于企业邮件服务器端口对外开放、企业邮件安全管理能力不足、邮件内容敏感性高等特点,电子邮件也成为了网络攻击者进行网络钓鱼、恶意软件传…