GITRIX Interní certifikáty: Vlastní firemní PKI bez starostí a bezpečnostních rizik

Interní certifikáty jsou neviditelným motorem vaší firemní bezpečnosti. Umožňují bezpečné přihlašování do počítačů (Smartcard Logon), šifrování dat, digitální podepisování interních dokumentů i bezpečný přístup na VPN. Správa interní certifikační autority (PKI) je ale často složitá a vyžaduje vysoká administrátorská oprávnění, což představuje bezpečnostní riziko.

S modulem Interní certifikáty od systému GITRIX získáte elegantní a vysoce bezpečný nástroj, který složitou infrastrukturu Active Directory Certificate Services (AD CS) obalí do uživatelsky přívětivého a plně automatizovaného prostředí.

Klíčové výhody modulu pro vaši organizaci

• Bezpečná delegace. Operátoři bez přístupu k CA: Povolit běžným pracovníkům IT helpdesku nebo HR oddělení přímý přístup na server certifikační autority je obrovské bezpečnostní riziko. GITRIX tento problém eliminuje. Vaši operátoři vydávají a spravují certifikáty z přehledné aplikace GITRIX, aniž by měli jakákoliv administrátorská práva k samotné certifikační autoritě. Architektura sítě tak zůstává nedotčena a v naprostém bezpečí.
• Vydání certifikátu na jediné kliknutí: Vybavení nového zaměstnance nebylo nikdy snazší. Jakmile operátor v systému přiřadí uživateli čipovou kartu nebo mobilní aplikaci, vydání potřebných interních certifikátů (např. pro přihlášení do Windows) je doslova otázkou jednoho kliknutí. Žádné složité generování žádostí nebo ruční schvalování.
• Podpora pro všechny vaše firemní šablony: Potřebujete jeden certifikát pro přihlášení do Windows, druhý pro šifrování e-mailů a třetí pro firemní VPN? Systém GITRIX plně podporuje využití nejrůznějších uživatelských šablon definovaných ve vašem Active Directory. Přesně tak určíte, jaké certifikáty má který zaměstnanec dostat.
• Blesková reakce: Okamžitá revokace a aktualizace CRL: Když zaměstnanec ztratí čipovou kartu, hraje se o vteřiny. Operátor v systému GITRIX certifikát jedním tlačítkem revokuje (zneplatní). A co je nejdůležitější – GITRIX se postará o automatickou a okamžitou aktualizaci CRL listů (seznamů zneplatněných certifikátů). Vaše síť se tak okamžitě dozví, že daný certifikát už nesmí nikam pustit. Systém navíc automaticky detekuje i revokace provedené mimo GITRIX, takže máte vždy 100% aktuální data.
• Chytrý systém žádostí a obnov (Renewals): Nenechte expirovat certifikáty klíčových zaměstnanců. Systém obsahuje pokročilý mechanismus žádostí o obnovu. Ten může fungovat manuálně (uživatel nebo operátor žádost potvrdí), nebo zcela automatizovaně bez nutnosti lidského zásahu.

Nemáte vlastní PKI? Postavíme vám ho na klíč

Pokud vaše organizace zatím nedisponuje vlastní certifikační autoritou, nebo ta stávající nevyhovuje moderním standardům, náš tým vám ji v rámci implementace navrhne a zprovozní. Standardně budujeme robustní a bezpečnou 2-TIER architekturu (dvouvrstvá certifikační autorita). Vybrat si můžete mezi variantou ONLINE-ONLINE, nebo pro maximální zabezpečení kritické infrastruktury preferovanou variantou OFFLINE-ONLINE (kde je kořenová Root CA bezpečně odpojena od sítě).

Technologické zákulisí: Architektura postavená na bezpečnosti

Řešení GITRIX nevytváří bezpečnostní trhliny, naopak striktně dodržuje nejlepší praxi (best-practice) a využívá nativních funkcí Microsoft prostředí. Jak proces vydávání certifikátů technicky funguje?

• Nenápadný chod na pozadí (Servisní služba): Komunikaci s vaší Active Directory zajišťuje speciální komponenta (AD Konektor), která běží jako nepřetržitá systémová služba (Windows Service) pod vyhrazeným servisním účtem. Nemusí tak docházet k žádnému interaktivnímu přihlašování administrátorů.

• Kryptografická pečeť (Enrollment Agent): Aby autorita (CA) věděla, že žádost o vydání certifikátu je legitimní, nevydá ho jen tak komukoliv. Každá žádost (CSR) vytvořená operátorem je systémem na pozadí bezpečně podepsána speciálním technickým certifikátem Enrollment Certificate Agent. CA tak certifikát vydá pouze na základě této prokazatelné kryptografické autorizace.

• Striktní izolace (AD konektor mimo CA): Zásadním bezpečnostním prvkem architektury je fyzické oddělení rolí. Komunikační AD konektor běží na svém vlastním, samostatném serveru – tedy zcela mimo server, kde se nachází samotná certifikační autorita. Vaše CA tak zůstává bezpečně izolována a chráněna před přímým přístupem zvenčí.

Volitelná synergie pro absolutní jistotu

Modul Interních certifikátů lze přímo propojit s nástrojem GITRIX CA Backup. Získáte tak nejen nástroj na špičkovou správu certifikátů, ale rovnou i plně automatizovanou pojistku pro zálohování a bleskovou obnovu samotné certifikační autority v případě havárie nebo ransomwarového útoku.

Zjednodušte správu svého interního PKI. Zbavte se chyb, ochraňte své administrátorské účty a zrychlete vydávání certifikátů s platformou GITRIX.