Eine private Zertifizierungsstelle ist unabhängig von der öffentlichen PKI-Vertrauenskette und wird nicht in die Stammzertifikatspeicher von Browsern oder Betriebssystemen aufgenommen. Das bedeutet, dass Sie die gesamte Zertifikathierarchie kontrollieren: Stammzertifizierungsstelle, Zwischenzertifizierungsstellen und Zertifikatrichtlinien.

Technisch gesehen verwenden private Zertifizierungsstellen dieselben kryptografischen Standards (X.509, RSA-/ECC-Schlüsselpaare, Standard-Erweiterungen) wie öffentliche Zertifizierungsstellen. Sie legen jedoch die Validierungsregeln, Namenskonventionen und Gültigkeitszeiträume ohne externe Kontrolle fest. Um Zertifikate von Ihrer privaten Zertifizierungsstelle zu verwenden, müssen Sie das Stammzertifikat auf allen Geräten und Systemen verteilen und dessen Gültigkeit bestätigen. Das gibt Ihnen zwar vollständige Autonomie, erfordert aber eine interne Infrastruktur zur Verteilung des Vertrauens.

Ja, die meisten Unternehmen nutzen hybride PKI-Umgebungen. Öffentliche Zertifikate sichern die Internet-Services (Websites, APIs, Kundenportale), die Browser-Trust erfordern, während S/MIME-Zertifikate für die Sicherung des E-Mail-Verkehrs verwendet werden. Private Zertifikate hingegen sichern interne Ressourcen (interne Anwendungen, Geräte-Authentifizierung, VPN-Zugang für Mitarbeiter, Kommunikation zwischen Services).

Ihre Zertifikatsverwaltung sollte beide Zertifikatstypen unterstützen und Ihnen die Möglichkeit bieten, je nach Anwendungsfall unterschiedliche Richtlinien und Lebenszyklen anzuwenden. Stellen Sie nur sicher, dass Ihre Systeme so konfiguriert sind, dass sie Ihre private Root-CA für interne Zertifikate vertrauen und gleichzeitig die öffentlichen Root-CAs für die externe Kommunikation vertrauen.

Ein Sicherheitsvorfall, der eine private Root-Zertifizierungsstelle betrifft, ist ein kritisches Ereignis, das sofortiges Handeln erfordert. Sie müssen:

• Alle von dieser Zertifizierungsstelle ausgestellten Zertifikate widerrufen (was die Authentifizierung in Ihrer gesamten Infrastruktur unterbricht)

• Eine neue Root-Zertifizierungsstelle mit frischen Schlüsselmaterialien erstellen

• Alle Zertifikate von der neuen Zertifizierungsstelle neu ausstellen

• Das neue Root-Zertifikat an alle Systeme und Geräte verteilen

Der Schutz der privaten CA-Schlüssel ist von höchster Priorität:

• Speichern Sie die Stamm-CA-Schlüssel in Hardware-Sicherheitsmodulen (HSM)

• Setzen Sie strenge Zugriffskontrollen mit Mehrpersonen-Autorisierungen ein

• Erstellen Sie Offline-Backups der Stammschlüssel an sicheren Orten

• Verwenden Sie Zwischen-CAs für die tägliche Ausstellung von Zertifikaten (damit der Stammschlüssel nicht häufig verwendet werden muss)

SwissSigns Managed Private PKI kümmert sich um diese Sicherheitsaspekte und verringert so das Risiko einer Kompromittierung im Vergleich zu einer selbst verwalteten Infrastruktur.

Die Private Managed PKI von SwissSign verwendet dieselben Widerrufsmechanismen wie die öffentliche PKI: Zertifikatswiderrufslisten (CRLs) und das Online Certificate Status Protocol (OCSP). Wenn Sie ein Zertifikat widerrufen, veröffentlicht die Zertifizierungsstelle aktualisierte CRLs und antwortet auf OCSP-Anfragen, die den Widerruf des Zertifikats bestätigen.

Ihre Anwendungen und Systeme müssen so konfiguriert sein, dass sie den Widerrufsstatus überprüfen können - dies ist bei privaten Zertifikaten nicht immer standardmässig aktiviert. Best Practice: Implementieren Sie nach Möglichkeit OCSP-Stapling (Server geben den Widerrufsstatus direkt aus und überwachen, welche Systeme den Widerrufsstatus tatsächlich überprüfen). Bei der SwissSign Managed Private PKI wird die Widerrufinfrastruktur Standard-Bestandteil des Angebots.

Betreiben Sie Ihre eigene interne PKI nur dann, wenn Sie:

• Aufgrund von spezifischen gesetzlichen Vorgaben eine CA-Infrastruktur vor Ort benötigen

• Über genügend IT-Sicherheitsexpertise verfügen, um die CA-Systeme korrekt zu konfigurieren und zu sichern

• Über eigenes Personal für die laufende CA-Verwaltung und Sicherheitsaktualisierungen verfügen

• Die finanziellen Mittel für HSMs, redundante Infrastruktur und Notfallwiederherstellungsmassnahmen aufbringen können

Die meisten Unternehmen unterschätzen diese Anforderungen.

Mit einem gemanagten privaten PKI-System haben Sie die gleiche Kontrolle über die Zertifikatrichtlinien und die Ausstellung, während Sie die operative Last auslagern. Sie behalten die Kontrolle darüber, wer Zertifikate erhält, wie die Zertifikate benannt werden, welche Erweiterungen sie enthalten, wie lange sie gültig sind und wie sie widerrufen werden können. SwissSign hingegen betreibt die Infrastruktur der Zertifizierungsstelle, kümmert sich um Sicherheitsupdates, verwaltet Hardware-Sicherheitsmodule, sorgt für hohe Verfügbarkeit und hält die Compliance-Vorschriften ein. Sofern Sie nicht zwingende Gründe haben, eine eigene Zertifizierungsstelle zu betreiben, reduzieren gemanagte Services sowohl das Risiko als auch die Kosten.

Im Gegensatz zu öffentlichen Zertifikaten (die für TLS auf 398 Tage beschränkt sind und bald noch kürzer werden), können private Zertifikate eine beliebige Gültigkeitsdauer aufweisen. Häufig angewandte Ansätze:

• 1-2 Jahre für Benutzerzertifikate, um Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen

• 3-5 Jahre für Gerätezertifikate, bei denen ein Ersatz schwierig ist

• 10 Jahre oder mehr für Stamm- und Zwischenzertifizierungsstellen

• 90 Tage oder weniger für automatisierte Hochsicherheitsumgebungen, in denen Zertifikate mit kurzer Gültigkeitsdauer die Komplexität der Widerrufung reduzieren

Die Gültigkeitsdauer sollte mit den betrieblichen Möglichkeiten übereinstimmen. Wenn Sie Gerätezertifikate nicht jährlich erneuern können, sollten Sie 5-Jahres-Zertifikate ausstellen. Wenn Sie über eine automatisierte Zertifikat-Lebenszyklus-Verwaltung verfügen, sind 90-Tage-Zertifikate besser geeignet, da sie eine höhere Sicherheit bieten. Die SwissSign Private PKI unterstützt flexible Gültigkeitsdauern, sodass Sie für jeden Anwendungsfall die optimale Lösung finden können, anstatt eine einheitliche Richtlinie für alle Zertifikatstypen anzuwenden.

Die Private PKI kann über verschiedene Mechanismen in IAM-Systeme integriert werden. Bei Benutzerzertifikaten wird die Integration mit Active Directory oder LDAP genutzt, um die automatische Zertifikatsregistrierung an Benutzerkonten zu binden. Wenn sich ein Benutzer bei Active Directory authentifiziert, kann er automatisch ein Zertifikat für die E-Mail-Signierung oder den VPN-Zugang erhalten. Bei Gerätezertifikaten wird die Integration mit MDM (Mobile Device Management) oder Gerätebereitstellungssystemen genutzt, um die automatische Zertifikatsverteilung während der Geräteregistrierung zu ermöglichen.

Über eine API-basierte Integration kann Ihr IAM-System Zertifikate programmatisch anfordern, wenn sich die Rolle des Benutzers ändert oder er Zugriffsanfragen stellt. Das SCEP (Simple Certificate Enrollment Protocol) ermöglicht die standardisierte Registrierung von Geräten. Die Private PKI von SwissSign stellt die Zertifikatsausstellungsfunktionen bereit, während Ihr IAM-System die Richtlinien für die Vergabe von Zertifikaten an Benutzer oder Geräte festlegt.

Das hängt davon ab, wie Ihre private PKI aufgebaut ist. Best Practice: Behalten Sie die Kontrolle über Ihr Root-CA-Zertifikat und den privaten Schlüssel, auch wenn Sie ein Managed-Service-Modell nutzen. SwissSign kann für Sie ein Zwischen-CA-Zertifikat unter Ihrem Root-Zertifikat erstellen und sichern, sodass die Zertifikatekette bis zu Ihrer Root-CA reicht. Wenn Sie den Anbieter wechseln, nehmen Sie Ihr Root-CA-Zertifikat mit und erstellen Sie bei dem neuen Anbieter neue Zwischen-CA-Zertifikate - die bestehenden Zertifikate bleiben bis zum Ablaufdatum gültig.

Alternative: SwissSign betreibt die gesamte CA-Hierarchie als Dienstleistung. In diesem Modell müssen Sie bei einem Wechsel des Anbieters alle Zertifikate neu ausstellen lassen, entweder bei einem neuen Managed Service oder in Ihrer eigenen Infrastruktur. Bevor Sie sich für eine Managed Private PKI entscheiden, sollten Sie das Eigentumsmodell für die Root-CA klären und sicherstellen, dass Sie eine Ausstiegsstrategie haben, die nicht zwingend eine sofortige Neu-Ausstellung aller Zertifikate erfordert.

Ja, die umfassende Protokollierung von Audits ist bei privaten PKI-Diensten Standard. Die SwissSign Private PKI bietet Audit-Trails, die Folgendes aufzeigen:

• Jede Zertifikatsanfrage und die Person, die sie genehmigt hat

• Die Ausstellung von Zertifikaten mit Zeitstempel und Angabe der Identität des Antragstellers

• Die Widerrufung von Zertifikaten und die entsprechenden Begründungen

• Administrative Aktionen wie Richtlinienänderungen oder Aktualisierungen der Konfiguration der Zertifizierungsstelle

• Protokolle des API-Zugangs für die programmatische Verwaltung von Zertifikaten

Diese Protokolle unterstützen die Einhaltung von Vorschriften wie DORA, NIS2 und branchenspezifischen Standards, die die Nachverfolgbarkeit von Zertifikaten erfordern. Sie können die Audit-Protokolle exportieren und in Ihr SIEM-System (Security Information and Event Management) integrieren. In regulierten Branchen ist diese Audit-Funktion häufig der Hauptgrund für die Nutzung einer verwalteten PKI anstelle von Selbstbedienungs-Zertifikats-Tools, die keine umfassende Protokollierung bieten.