什么是证书管理

在自带设备和物联网文化的推动下,数字化使连接到互联网的设备数量空前加速。在企业网络环境中,每个在线运行的设备都需要一个数字证书来证明其合法性和安全运行。这些数字证书(通常称为 X.509 证书)要么来自称为证书颁发机构 (CA) 的受信任第三方,要么在内部生成。组织通常将来自受信任的第三方 CA 的 SSL/TLS 证书部署到提供面向公众的服务(如 Web 服务器)的设备和应用程序,并使用本地生成的自签名证书供内部使用。

无论其用途如何,所有 X.509 证书都有设定的到期日期。未能按时续订它们会导致意外的服务中断,这通常会产生讨厌的浏览器警告,并可能导致客户对您的品牌不信任。此外,在整个 X.509 证书生命周期中要监控的其他变量包括请求和配置、部署、使用情况统计信息、到期和续订。企业 IT 团队需要全面了解其数字证书环境,以简化其生命周期管理,并对任何与证书相关的事件迅速采取行动。

证书生命周期管理是监视和管理企业网络环境中部署的所有 X.509 证书的生命周期(从配置和部署到跟踪续订、使用和过期)的过程。理想的证书管理解决方案可以实时监控整个证书基础架构,而不考虑颁发机构,自动执行证书管理操作,并为 IT 管理员提供对其数字证书生态系统的全面可见性和控制。

为什么企业需要证书管理策略

虽然组织承认数字证书管理问题日益严重,但大多数组织仍然没有自己的企业范围的证书管理策略。以临时方式处理证书事件,或依靠电子表格等自主开发的工具来管理证书,对于克服生命周期管理挑战是徒劳的。以下是组织应投资专用证书生命周期管理解决方案的几个原因:

  • 证书的激增导致可见性差
  • 缺乏专门的证书管理部门通常会导致问责制问题
  • 供应商中立的证书管理效率更高
  • 单个过期的证书可能会导致代价高昂的中断

证书的激增导致可见性差

企业网络中设备的爆炸式增长加速了颁发的证书数量。IT 管理员经常难以跟踪证书的颁发和使用,这最终会导致大量孤立证书,使组织面临意外服务停机和安全漏洞的风险。

缺乏专门的证书管理部门通常会导致问责制问题

虽然公钥基础结构 (PKI) 管理员负责管理证书生命周期,但大多数组织没有专门的内部 PKI 团队。因此,证书管理通常由IT安全团队负责,这增加了IT安全管理员的现有压力,并且通常会导致流程混乱。通过集中式工具自动执行证书管理,减轻了 IT 安全团队的压力,并建立了对证书相关操作的清晰可见性和集中控制。

供应商中立的证书管理效率更高

组织将从受信任的第三方实体(称为证书颁发机构 (CA))购买的证书部署到面向公众的系统和应用程序。这些 CA 中的大多数都提供证书管理工具,但缺点是其管理功能仅限于特定供应商颁发的证书。如果您的组织从多个供应商处获取证书或使用自签名证书,则使用单个供应商的工具可能会在您的整体证书管理策略中留下巨大差距。

单个过期的证书可能会导致代价高昂的中断

自动执行证书的生命周期管理至关重要,尤其是那些部署到面向公众的服务和应用程序的证书。我们一次又一次地看到企业科技巨头因证书过期而陷入大规模中断的例子。组织不能让哪怕是单个证书过期,因为影响的程度可能是巨大的,包括客户流失、品牌信誉损失,有时甚至是安全漏洞。这再次证实了对企业范围的统一证书管理解决方案的需求,该解决方案可以简化和自动化网络中各种 X.509 证书的生命周期管理,而不管颁发机构如何。

所有权困境

尽管对证书管理的重要性有足够的认识,但组织往往难以设计和实施可持续的证书管理计划。一个很大的障碍是所有权困境。哪个部门负责处理证书过期导致的证书相关事件或服务中断?理想情况下,与证书相关的操作由 PKI 团队负责,PKI 团队是 IT 安全部门的一个子集。然而,在实践中,每个组织都负担不起专门的 PKI 团队,因此责任转移到了 DevOps、应用程序或网络团队,从而增加了他们紧张的工作量。对于证书管理,由于缺乏在PKI的技术和政策方面具有专业知识的专门团队,因此很难避免与证书相关的事件,例如服务停机,最终导致客户体验不佳和品牌信誉损失。

外包证书管理是解决所有权困境的一种解决方法,但它也有其注意事项。托管服务成本高昂,许多组织更愿意在其场所内包含 PKI 功能。在当今高度互联的 IT 生态系统中,越来越需要证书管理解决方案与其他各种部门(如 ITSM、MDM 和 DevOps)集成,而传统的自行开发工具(如电子表格)通常不提供此功能。

证书管理问题的真正解决方案是一个统一的平台,该平台提供对组织的 SSL/TLS 生态系统的完全可见性和控制。这使 IT 管理员能够简化和自动化整个证书生命周期管理流程,从配置和部署到跟踪整个网络环境中部署的所有 X.509 证书的续订、使用情况和过期。

证书管理中涉及的阶段

  • 发现:发现网络中部署的所有 SSL/TLS 证书。
  • 巩固:将发现的证书整合到一个安全的集中式存储库中。
  • 集中:通过集中创建和部署证书来抑制证书扩散。
  • 自动化:简化和自动化公共证书的完整生命周期管理 — 从 CSR 生成到配置、部署和续订。
  • 扫描:部署证书后,定期扫描并修复 SSL 配置漏洞。
  • 监控:设置正确类型的警报机制,为在到期前主动续订证书铺平道路。

管理证书生命周期工具

Key Manager Plus是基于Web的密钥和证书管理解决方案,为IT管理员提供了对SSL / TLS生态系统急需的可见性和控制,它通过一个易于使用的界面集中、自动化和编排证书生命周期管理操作,并帮助 IT 团队预防由于证书意外过期而导致的模拟攻击、合规性问题和站点中断。以下是Key Manager Plus功能的快速浏览。

  • 发现跨异构环境和端点的 SSL 和 TLS 证书
  • 将证书集中部署到目标系统和应用程序
  • 通过及时的到期警报掌握证书续订情况
  • 利用与第三方 CA 的开箱即用集成,从单个界面跟踪证书生命周期
  • 管理 Microsoft 证书存储中的证书和 Microsoft 证书颁发机构颁发的证书

在这里插入图片描述

发现跨异构环境和端点的 SSL 和 TLS 证书

Key Manager Plus 的内置SSL和TLS发现工具可帮助IT管理员对组织内部署的各种X.509证书执行基于网络的发现。这包括自签名证书、Active Directory 用户证书、邮件服务器证书、部署到负载均衡器的证书、Amazon Web Services 中托管的证书等。

证书发现也可以按需批量执行,也可以通过创建计划任务定期自动执行。新证书可以配置为在生成时自动添加到Key Manager Plus的证书存储库中。这使 IT 管理员能够全面了解其 SSL 和 TLS 环境,使他们能够快速识别和修复网络中的恶意证书和无效证书。

将证书集中部署到目标系统和应用程序

对于企业来说,从多个 CA 为其系统和应用程序获取证书是很常见的。这导致管理员在两个或多个供应商门户之间进行管理,而没有太多的可见性。

Key Manager Plus的证书清单包含各种类型的证书,无论颁发CA如何,都有助于实现无需在多个接口之间导航的中央证书部署工作流程。IT管理员还可以生成和部署自签名证书,用于内部目的,从而消除对中间团队的任何不必要的依赖。

通过及时的到期警报掌握证书续订情况

部署到系统和应用程序的 SSL 和 TLS 证书具有设定的到期日期,这意味着它们必须不时续订。不可预见的证书过期会导致服务停机,这可能会影响生产力,损害品牌信誉,甚至在极端情况下成为安全漏洞的启动点。

监控组织内所有证书的过期是一项艰巨的任务。Key Manager Plus通过电子邮件、SNMP陷阱和系统日志消息自动发出警报,从而跟踪证书过期情况。IT 管理员可以启动续订、部署新证书并跟踪其使用情况,所有这些都来自一个统一的界面。

利用与第三方 CA 的开箱即用集成,从单个界面跟踪证书生命周期

第三方 CA 颁发的证书具有设定的有效期,超过该有效期后,浏览器将不信任这些证书。企业 IT 团队缺乏对证书使用情况和有效期的整体可见性,尤其是当证书配置涉及多个 CA 时。最重要的是,证书供应商提供的管理门户仅促进本机证书的生命周期自动化,而不扩展对其他品牌的支持。

Key Manager Plus的证书管理模块提供供应商中立的证书生命周期管理,这是紧密集成的工作流程的组合,允许IT管理员获取、整合、部署、续订和跟踪由各种第三方CA颁发的证书的生命周期。

管理 Microsoft 证书存储中的证书和 Microsoft 证书颁发机构颁发的证书

为了促进内部应用程序和服务器之间的安全通信,企业 IT 团队通常会设置内部 CA(如 Microsoft 证书颁发机构),并将本地生成的证书部署到网络中的各个节点。同样,需要持续监控和管理这些证书,以避免连接中断。

手动管理内部 CA 证书对 IT 管理员来说可能是一项挑战,尤其是在大规模执行时。Key Manager Plus提供专用的工作流程,帮助企业IT团队管理、自动化和编排Microsoft证书存储中的证书和Microsoft证书颁发机构颁发的证书的管理,而无需手动干预。

通过防篡改的审计跟踪和全面的报告获得更深入的见解。

Key Manager Plus提供了一个完善的审计机制,围绕SSH密钥和SSL/TLS证书的使用捕获和分类了操作跟踪。此外,组织可以利用一流的会话记录机制,该机制可以记录用户在启动的特权会话期间执行的操作。该解决方案还提供有关企业内所有密钥和证书管理活动的直观报告,使管理员能够做出更明智的业务决策。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/187764.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Android---MVP 中 presenter 声明周期的管理

我们经常在 Android MVP 架构中的 Presenter 层做一些耗时操作,比如请求网络数据,然后根据请求后的结果刷新 View。但是,如果按返回结束 Activity,而 Presenter 依然在执行耗时操作。那么就有可能造成内存泄漏,严重时甚…

RustRover里使用AI通义灵码来写代码

AI通义灵码我选择RustRover里的 plugin进行下载使用 然后我们就提问好了&#xff1a;让他用c语言写一个冒泡排序程序 #include <stdio.h>void bubble_sort(int arr[], int size) {int i, j, temp;for (i 0; i < size - 1; i) {for (j 0; j < size - i - 1; j) {i…

Hololens开发笔记

1、关闭阴影 2、将相机渲染改为后向。因为默认是Forward&#xff0c;当在场景里面想使用点光源时&#xff0c;运行起来三角面会翻倍&#xff0c;影响软件运行流畅度。 3、第三人称同步相关。开启Host/Sever/Client前&#xff0c;需要将所有挂有NetworkObject/NetworkTransfor…

VINS-Mono-后端优化 (三:视觉雅可比推导)

用逆深度是因为这样可以在优化中从优化3个变量降低到1个&#xff0c;降低优化的维度加快求解速度 用逆深度是因为当距离很远的时候&#xff0c; 1 x \frac{1}{x} x1​ x x x 就会无穷大&#xff0c;而3D点很近的情况也一般不会有&#xff0c;这也是为了数值稳定性 用逆深度的…

Android 图层列表 、 LayerDrawable 、 layer-list \ 改变 seekbar thumb 滑块 的颜色

android 官网 &#xff1a; 图层列表 LayerDrawable / layer-list LayerDrawable 是管理其他可绘制对象数组的可绘制对象。列表中的每个可绘制对象均按照列表顺序绘制。列表中的最后一个可绘制对象绘于顶部。 每个可绘制对象均由单个 <layer-list> 元素内的 <item>…

树之二叉排序树(二叉搜索树)

什么是排序树 说一下普通二叉树可不是左小右大的 插入的新节点是以叶子形式进行插入的 二叉排序树的中序遍历结果是一个升序的序列 下面是两个典型的二叉排序树 二叉排序树的操作 构造树的过程即是对无序序列进行排序的过程。 存储结构 通常采用二叉链表作为存储结构 不能 …

内网如何使用Python第三方库包(举例JustinScorecardPy)

内网如何使用Python第三方库包 一、下载python whl文件(官网有的) 1、第一种方法 要直接下载whl文件&#xff0c;你可以按照以下步骤操作&#xff1a; 首先&#xff0c;访问 https://pypi.org/ 或 https://www.lfd.uci.edu/~gohlke/pythonlibs/ 网站。这两个都是Python的官方…

光刻掩膜版怎么制作的?

光掩膜版基本上是 IC 设计的“主模板”。掩模版有不同的尺寸。常见尺寸为 6 x 6 英寸一般的掩膜版由石英或玻璃基板组成。光掩膜版涂有不透明薄膜。更复杂的掩模版使用其他材料。 一般来说&#xff0c;术语“photo mask”用于描述与 1X 步进机或光刻系统一起使用的“主模板”。…

希尔排序原理

目录&#xff1a; 一、希尔排序与插入排序 1&#xff09;希尔排序的概念 2&#xff09;插入排序实现 二、希尔排序实现 一、希尔排序与插入排序 1&#xff09;希尔排序的概念 希尔排序(Shells Sort)是插入排序的一种又称“缩小增量排序”&#xff08;Diminishing Incremen…

ElasticSearch7.x - HTTP 操作 - 索引操作

创建索引 对比关系型数据库,创建索引就等同于创建数据库 在 Postman 中,向 ES 服务器发 PUT 请求 :http://192.168.254.101:9200/shopping 说明 {"acknowledged"【响应结果】: true, # true 操作成功"shards_acknowledged"【分片结果】: true, # 分片操…

紧急事件,停电导致安森美韩国厂全线停工 | 百能云芯

11月9日的消息报道&#xff0c;全球半导体公司安森美遭遇了一场意外的停电事故&#xff0c;发生在位于韩国的富川晶圆厂&#xff0c;导致整个工厂陷入停工状态&#xff01; 停电事件发生在11月5日&#xff0c;导致富川晶圆厂的产线暂时停工&#xff0c;停电持续了大约20分钟。由…

Mac电脑Visio文件编辑查看软件推荐Visio Viewer for Mac

mac版Visio Viewer功能特色 在Mac OS X上查看Visio绘图和图表 在Mac OS X上轻松查看MS Visio文件 在Mac上快速方便地打开并阅读Visio文件&#xff08;.vsd&#xff0c;.vsdx&#xff09;。 支持通过放大&#xff0c;缩小&#xff0c;旋转&#xff0c;文本选择和复制&#xff0…

DSP开发例程(4): logbuf_print_to_uart

目录 DSP开发例程: logbuf_print_to_uart新建工程源码编辑app.cfgos.cmain.c 调试说明 DSP开发例程: logbuf_print_to_uart SYS/BIOS 提供了 xdc.runtime.Log, xdc.runtime.LoggerBuf 和 xdc.runtime.LoggerSys 这几个模块用于日志记录. 日志信息在 应用程序调试和状态监控中非…

第二十九章 目标检测中的测试模型评价指标(车道线感知)

前言 近期参与到了手写AI的车道线检测的学习中去&#xff0c;以此系列笔记记录学习与思考的全过程。车道线检测系列会持续更新&#xff0c;力求完整精炼&#xff0c;引人启示。所需前期知识&#xff0c;可以结合手写AI进行系统的学习。 介绍 自动驾驶的一大前提是保证人的安全…

中国智能驾驶的“突围赛”打响,这家本土厂商为何能成为“先行者”?

中国本土厂商正在成为全球智能汽车产业链的“核心力量”。 根据《高工智能汽车研究院》数据显示&#xff0c;今年1-6月&#xff0c;自主品牌标配L2&#xff08;含L2&#xff09;级辅助驾驶交付新车155.34万辆。其中&#xff0c;搭载中国本土智能驾驶解决方案提供商&#xff08…

Nacos使用指南

Nacos使用指南 1.认识Nacos Nacos是SpringCloudAlibaba的一个组件&#xff0c;遵循SpringCloud规范 2.Nacos的优势 1.支持服务端主动检测服务提供者状态。临时实例采用心跳检测&#xff0c;非临时实例采用主动检测 2.Nacos支持服务列表变更消息推送&#xff0c;消息更加及…

C++入门篇3(类和对象【重点】)

文章目录 C入门篇3&#xff08;类和对象【重点】&#xff09;1、面向过程和面向对象2、类的引入3、类的定义4、类的访问限定符及封装4.1、访问限定符4.2、封装 5、类的作用域6、类的实例化&#xff08;对象&#xff09;7、类对象模型7.1、类对象的存储方式7.2、结构体&#xff…

mysql索引下推

文章目录 什么是索引下推索引下推优化的原理索引下推的具体实践没有使用ICP使用ICP 总结索引下推使用条件相关系统参数 什么是索引下推 索引下推(Index Condition Pushdown&#xff0c;简称ICP)&#xff0c;是MySQL5.6版本的新特性&#xff0c;它能减少回表查询次数&#xff0…

【Proteus仿真】【51单片机】汽车尾灯控制设计

文章目录 一、功能简介二、软件设计三、实验现象联系作者 一、功能简介 本项目使用Proteus8仿真51单片机控制器&#xff0c;使用按键、LED模块等。 主要功能&#xff1a; 系统运行后&#xff0c;系统运行后&#xff0c;系统开始运行&#xff0c;K1键控制左转向灯&#xff1b;…

C# .NET Core API 注入Swagger

C# .NET Core API 注入Swagger 环境 Windows 10Visual Studio 2019(2017就有可以集中发布到publish目录的功能了吧)C#.NET Core 可跨平台发布代码,超级奈斯NuGet 套件管理dll将方法封装(据说可以提高效率,就像是我们用的dll那种感觉)Swagger 让接口可视化编写时间2020-12-09 …