Mit einer PKI behalten Sie Risiken im Griff

Lesen Sie, warum eine PKI die richtige Lösung für die Sicherung Ihrer Website, Geräte, internen Dienste und für vieles andere ist.

Was ist PKI?

Eine PKI (Public Key Infrastructure) ist ein System aus Prozessen, Technologien und Richtlinien zum Verschlüsseln und Signieren von Daten. Mit einer PKI können Sie digitale Zertifikate ausstellen, die die Identität von Benutzern, Geräten oder Diensten authentifizieren. Diese Zertifikate ermöglichen eine sichere Verbindung sowohl mit öffentlichen Webseiten als auch mit privaten Systemen, beispielsweise Ihrem virtuellen privaten Netz (VPN), Ihrem internen WLAN, Ihren Wiki-Seiten und anderen Diensten, die eine Multifaktor-Authentifizierung unterstützen. Sie haben Fragen?

Was ist eine private PKI?

Mit einer privaten PKI können Sie Ihre eigenen, privaten SSL-Zertifikate aus einem eigenen Zwischenzertifikat ausstellen, das seinerseits von einer vertrauenswürdigen (oftmals öffentlichen) Zertifizierungsstelle ausgegeben wird. So können Sie Zertifikate an besondere Bedürfnisse anpassen und bei Bedarf für interne Zwecke bereitstellen.

Häufige Anwendungsbereiche für PKIs

Sicherung von Webseiten

Dateiverschlüsselung 

Authentifizierung und Verschlüsselung von E‑Mails 

Authentifizierung von Knoten gegenüber WLANs

Authentifizierung von VPN-Verbindungen

PKI: Nicht nur für den Schutz von Websites

Entgegen einer weit verbreiteten Annahme eignen sich PKIs mit ihren starken Authentifizierungsmechanismen ideal für den explosionsartig wachsenden IoT-Markt.

Anpassbar

Digitale Zertifikate können auch für Geräte ausgestellt werden.

Skalierbar

PKIs lassen sich mühelos skalieren, sodass Sie auch riesige Mengen von Zertifikaten effektiv verwalten können.

Wirtschaftlich

IoT-Zertifikate sind auch in großen Stückzahlen kosteneffizient.

   

Ähnliche Ressourcen

Whitepaper

Fünf Schritte zum Aufbau einer skalierbaren PKI

(Englisch)
Blog-Reihe

So bauen Sie eine skalierungsfähige PKI auf

(Englisch)
Whitepaper

PKI – die Sicherheitslösung für das Internet der Dinge

(Englisch)

Sie haben Fragen zum Thema PKI?
Dann wenden Sie sich an unsere PKI-Architekten.

Ich interessiere mich für: (Kreuzen Sie alle zutreffenden Optionen an)
  • 1–5 TLS/SSL-Zertifikate
  • 6–25 TLS/SSL-Zertifikate
  • Enterprise-Optionen für TLS/SSL
  • Managementtools für TLS/SSL
  • PKI für Unternehmen
  • IoT-Gerätemanagement
  • DigiCert-Partnerprogramm
  • Private PKI und S/MIME

Indem Sie auf „Abschicken“ klicken, stimmen Sie der Verarbeitung Ihrer Daten durch DigiCert Inc. oder seine Partnerunternehmen in Übereinstimmung mit der Datenschutzrichtlinie von DigiCert zu.

HÄUFIGE FRAGEN

Was ist PKI?

Eine Public Key Infrastructure (PKI) ist ein System aus Prozessen, Technologien und Richtlinien zum Verschlüsseln bzw. Signieren von Daten. Mit einer PKI können Sie digitale Zertifikate ausstellen, die die Identität von Benutzern, Geräten oder Services authentifizieren. Diese Zertifikate können sowohl für öffentliche Websites als auch für private interne Services genutzt werden und erlauben beispielsweise die Authentifizierung von Geräten bei Ihrem VPN, Wiki, WLAN usw.

Warum sollte mein Unternehmen eine PKI nutzen?

Mit einer PKI (Public Key Infrastructure) können Sie das Sicherheitsniveau Ihres Netzwerks erheblich erhöhen. Dies liegt an den folgenden drei Merkmalen:

  • Authentifizierung: Die Identitätsüberprüfung sorgt dafür, dass nur befugte Benutzer und Geräte Zugriff auf einen Server erhalten.
  • Verschlüsselung: Sie erstellen mithilfe eines Zertifikats eine verschlüsselte Sitzung, die die vertrauliche Übermittlung von Informationen erlaubt.
  • Datenintegrität: Mit einer PKI stellen Sie sicher, dass zwischen Geräten und Servern übertragene Nachrichten und Daten unverändert ankommen.

Wie wird eine PKI eingesetzt?

Zu den gängigen Einsatzmöglichkeiten für PKIs gehören:

  • Sicherung von Webseiten
  • Dateiverschlüsselung
  • Authentifizierung und Verschlüsselung von E‑Mails mit S/MIME
  • Authentifizierung von Knoten, die mit einem WLAN verbunden werden
  • Authentifizierung von Verbindungen mit Ihrem VPN
  • Gegenseitige TLS-Authentifizierung von Verbindungen mit Websites und Diensten, die Unternehmensdaten enthalten

Was ist Ende-zu-Ende-Verschlüsselung (E2EE)?

Im Rahmen der Ende-zu-Ende-Verschlüsselung wird eine Nachricht auf Ihrem Gerät verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt. Dadurch wird sichergestellt, dass Ihre sensiblen Daten nicht von Dritten abgefangen werden können.

Was ist eine Zertifizierungsstelle (Certificate Authority, CA)?

Eine Zertifizierungsstelle ist eine vertrauenswürdige Instanz, die die Identität einer Organisation prüft, die ein digitales Zertifikat beantragt. Wenn die Identität der Organisation erfolgreich bestätigt wurde, stellt die CA ein Zertifikat aus und verknüpft die Identität der Organisation mit einem öffentlichen Schlüssel. Ein digitales Zertifikat ist vertrauenswürdig, weil es mit dem Root-Zertifikat der CA verkettet ist.

Was ist ein digitales Zertifikat?

Ein digitales Zertifikat bürgt für die Identität seines Inhabers. Es wurde wie ein Ausweisdokument von einer vertrauenswürdigen Instanz ausgegeben, ist fälschungssicher und enthält Informationen zur Identität des Inhabers.

Was sind öffentliche und private Schlüssel und wie hängen sie zusammen?

Öffentliche und private Schlüssel werden zur Verschlüsselung und Entschlüsselung von Informationen verwendet. Die Informationen, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten Schlüssel entschlüsselt werden. Ein solches Schlüsselpaar wird für die asymmetrische Kryptografie genutzt – asymmetrisch, weil die beiden Schlüssel nicht identisch sind. Die beiden Schlüssel sind mathematisch verwandt, es ist aber nicht möglich, mithilfe des einen Schlüssels Rückschlüsse auf den anderen zu ziehen.

Was sind öffentliche und private Root-Zertifikate?

Ein Root-Zertifikat enthält die Signatur, mit der eine Identität mit dem öffentlichen Schlüssel verknüpft wird. Daran lässt sich feststellen, ob ein Zertifikat gültig ist und ob man ihm vertrauen kann.

Bietet DigiCert Lösungen sowohl für öffentliche als auch für private PKIs?

Kurz gesagt: ja. DigiCert bietet Lösungen sowohl für öffentliche als auch für private PKIs sowie eine Plattform und eine RESTful-API zum Automatisieren der Zertifikatsverwaltung und zum Anpassen der PKI-Workflows. Wenn Sie bisher nur öffentliche SSL-Zertifikate bei einer kommerziellen CA gekauft haben, sind Sie eventuell der Meinung, dass private Zertifikate ähnlich viel kosten wie öffentliche Zertifikate, aber das ist nicht der Fall. Die Ausstellung eines privaten digitalen Zertifikats mit einer DigiCert-Lösung verursacht nur den Bruchteil der Kosten eines öffentlichen Zertifikats.

Sicherheitsfachleute und Admins denken manchmal, dass sie sich mit einer gehosteten privaten PKI auf bestimmte Zertifikatsprofile festlegen, doch das stimmt nicht. Sie haben natürlich nicht nur Zugang zu Zertifikatsprofilen, die vom CA/Browser Forum genehmigt sind. Im Gegenteil: Bei DigiCert erhalten Sie jedes Zertifikatsprofil, das Sie brauchen. Dabei muss es sich nicht um SSL/TLS-Zertifikatsprofile handeln – und sie müssen noch nicht einmal dem Standard X.509 entsprechen.

Was ist MPKI?

Eine MPKI (Managed PKI) ist eine Lösung, die von einer CA angeboten wird und Ihnen die Automatisierung von Zertifikatsprozessen und die benutzerdefinierte Anpassung von PKI-Workflows ermöglicht. Wenn in Ihrem Unternehmen große Stückzahlen von Zertifikaten benötigt werden, ist eine MPKI-Lösung sinnvoll, weil sie die Zertifikatsverwaltung vereinfacht.

Sollten wir eine interne CA einrichten oder lohnt sich eine gehostete CA?

Sie können Ihre internen Dienste wie VPN, WLAN, Wiki usw. mit einer internen CA sichern. Viele Unternehmen nutzen hierfür eine Microsoft-CA. Die Einrichtung und Pflege einer internen CA kann jedoch kosten- und zeitaufwendig sein. Bevor Sie sich entscheiden, sollten Sie die Kosten der Alternativen vergleichen. Viele Zertifizierungsstellen bieten gehostete Lösungen an, mit denen Sie einige der Hardware-, Software- und Personalkosten einsparen, die beim Aufbau einer internen PKI anfallen.

Was ist eine Zertifikatsrichtlinie?

Eine Zertifikatsrichtlinie (ZR, auch CP für „Certificate Policy“) ist ein Dokument, in dem die beteiligten Akteure einer PKI sowie ihre Rollen, Rechte und Pflichten geregelt sind. Die ZR gibt an, wie Zertifikate genutzt werden können, wie die Namen der Zertifikate gewählt werden müssen, wie Schlüssel generiert werden und vieles mehr. Die geltende ZR ist in der Regel in einem Feld des X.509-Zertifikats angegeben. Detailliertere Informationen zu Zertifikatsrichtlinien finden Sie im aktuellen Referenzdokument (RFC 3647): https://tools.ietf.org/html/rfc3647

Was ist Schlüsselspeicherung und wie sollten wir sie handhaben?

Schlüsselspeicherung, auch Schlüsselarchivierung genannt, ist die sichere Aufbewahrung des privaten Schlüssels für den Fall, dass er verloren geht. Um den Anforderungen des FIPS-Standards zu genügen und die höchstmögliche Sicherheit zu gewährleisten, empfehlen wir, Ihre Schlüssel mithilfe eines Hardware-Sicherheitsmoduls (HSM) zu speichern.

Was ist ein HSM?

Ein HSM (Hardware-Sicherheitsmodul) ist eine kryptografische, hardwarebasierte Option für die sichere Speicherung von Schlüsseln. In der Regel werden HSMs im Gebäude der jeweiligen Organisation aufgestellt und müssen von internen Ressourcen gepflegt werden. Dies kann kostenintensiv sein. Es gibt aber auch kostengünstigere Alternativen. So bietet beispielsweise der Microsoft Azure Key Vault eine sichere Speicheroption für Schlüssel im cloudbasierten HSM von Microsoft. Für kleinere Unternehmen und Organisationen, die sich nicht mit der Beschaffung und Pflege eines eigenen HSM belasten möchten, ist Microsoft Azure Key Vault eine praktikable Lösung. Einige öffentliche CAs, darunter auch DigiCert, bieten eine Integration mit Microsoft Azure.

Wie beginne ich mit dem Aufbau einer PKI?

Zunächst müssen Sie die Einsatzumgebung analysieren, indem Sie Ihren Bedarf bestimmen und die Technologie, mit der Sie arbeiten, erfassen. Wir empfehlen, nach den folgenden fünf Schritten vorzugehen:

  • Identifizieren Sie die Netzwerk-Sicherheitsrisiken, die Sie auf jeden Fall verhindern möchten.
  • Stellen Sie fest, welche Risiken mithilfe einer PKI minimiert werden können.
  • Identifizieren Sie die für Ihr Unternehmen geeignete Mischung aus öffentlicher und privater PKI.
  • Entscheiden Sie, ob Sie eine interne CA oder eine gehostete CA bevorzugen.
  • Legen Sie fest, wie die Bereitstellung von Zertifikaten an Geräte automatisiert werden soll.

Wenn Sie Hilfe brauchen, wenden Sie sich per E-Mail an unser Team von PKI-Experten: enterprise@digicert.com