DigiCert Managed PKI for SSL
Використання сертифікатів SSL сьогодні вже не обмежується тільки сторінкою «Купити» і міцно впроваджено в базові операції. Сертифікати SSL використовуються для захисту спілкування віддалених співробітників і партнерів по електронній пошті, в чатах і засобах обміну миттєвими повідомленнями. Для обміну даними між браузером і сервером при роботі з хмарними сервісами також потрібні сертифікати SSL, які дозволяють переглянути інформацію про облікові записи клієнтів, про транзакції бізнес-партнерів, а також підвищити ефективність роботи співробітників. І нарешті, сертифікати SSL дозволяють захистити межсерверне з'єднання при роботі додатків і обміні даними.
Спробуйте уявити собі обробку кожного окремого сертифіката у великій організації з безліччю підрозділів і швидко зростаючим обсягом веб-послуг. Старіння сертифіката SSL не тільки загрожує компанії збитками і втратою довіри клієнтів, але і значно ускладнює роботу співробітників і бізнес-партнерів, не кажучи вже про ризик розкриття конфіденційних даних. Тому для будь-якого підприємства управління сертифікатами SSL в складних багатокомпонентних мережах, що дозволяє захистити дані і запобігти непередбаченому старінню сертифікатів, набуває першочергового значення.
- Managed PKI for SSL - це хмарна послуга, яка не вимагає початкових капіталовкладень і має низьку вартість володіння і обслуговування. По мірі зростання організації зростає і надійна інфраструктура DigiCert.
- У послузі Managed PKI for SSL передбачений модуль пошуку сертифікатів, який дозволяє адміністраторам в реальному часі відстежувати всі сертифікати SSL і підписання коду, що видані різними центрами сертифікації і використовуються в різнорідних бізнес-середовищах.
- Централізоване управління з гнучкими можливостями делегування дозволяє налаштувати систему контролю відповідно до робочих процесів, прийнятих в організації. Уповноважені адміністратори, керуючі заздалегідь затвердженими доменами, можуть видавати сертифікати SSL на кілька серверів, одночасно блокуючи спроби придбання в обхід процесу затвердження.
- Сертифікат DigiCert ™ SSL надає безліч варіантів шифрування, аутентифікації і термінів дії, здатних задовольнити будь-які бізнес-вимоги, і включає в себе печатку DigiCert Secured® Seal.
- Наочне уявлення і повний контроль дозволяють знизити ризик простою при обміні даними і виконанні операцій через непередбаченого старіння сертифікатів і виявити несанкціоновану установку SSL сертифікату.
Керувати сертифікатами SSL на рівні підприємства стає все складніше. Послуга DigiCert Managed PKI for SSL являє собою просту, але потужну платформу для пошуку сертифікатів SSL і управління ними без високих витрат. За допомогою цієї хмарної платформи ІТ-адміністратори зможуть автоматизувати важливі завдання, скоротити витрати і знизити ризики при управлінні сертифікатами SSL на своєму підприємстві.
П'ять кроків до управління сертифікатами SSL і сертифікатами підписання коду
За допомогою цих п'яти дій ІТ-адміністратор зможе контролювати всі сертифікати SSL в своїй організації.
1. Проведіть аудит всіх доменів і сертифікатів.
Чи знаєте ви, де знаходяться ваші сертифікати SSL? Без чіткої картини всіх сертифікатів SSL, встановлених на підприємстві, ефективний захист електронних транзакцій, обміну даними та роботи веб-додатків просто неможлива. Звичайно, і для перевірки вже діючого списку, і для створення нового можна скористатися засобом пошуку сертифікатів, яке дозволить автоматизувати процес, створити каталог розташувань, дат закінчення строків дії і самих термінів дії, а також розмірів ключа для сертифікатів SSL і сертифікатів підписання коду.
Але більшість інструментів пошуку, пропонованих центрами сертифікації (CA), шукають сертифікати SSL, видані тільки своїм центром, або тільки сертифікати певного типу. В ході перевірки за допомогою такого інструменти не будуть враховуватися сертифікати, придбані в обхід затвердженого процесу - але ж саме цим сертифікатам SSL адміністратор повинен приділити саму пильну увагу. При виборі корпоративної платформи управління SSL шукайте універсальний засіб пошуку сертифікатів, який допоможе заощадити час, знизити ризик і спростити процес аудиту. Цей засіб має також перевіряти, чи правильно були встановлені сертифікати SSL.
Результат: Звіти в реальному часі про всі сертифікати в усіх доменах, що захищаються.
* Загадкове старіння
Сервер електронної комерції відключається з невідомої причини. Поки ІТ-фахівцям вдається виявити проблему, щогодини губляться тисячі потенційних клієнтів. Виявляється, застарів сертифікат SSL, придбаний у незатвердженого постачальника, а адміністратор, який його купував, вже звільнився з організації. Нинішній адміністратор ніколи не отримував ніяких повідомлень про продовження сертифіката, і більш того, ніхто навіть не знав про те, що в мережі є такий сертифікат SSL. За допомогою продукту DigiCert ™ Managed PKI for SSL адміністратор знайшов всі використовувані в організації сертифікати від всіх центрів сертифікації, що дало йому чітку картину ситуації і можливість повного контролю.
2. Об'єднайте всі сертифікати в керованому обліковому запису.
Аудит дає всю необхідну інформацію для оцінки захисту SSL і початку об'єднання сертифікатів в єдиний керований обліковий запис для більш ефективного керування. При перегляді результатів аудиту зверніть увагу на наступне:
• Чи всі сертифікати правильно встановлені?
• Чи достатній рівень шифрування і аутентифікації для сертифікатів?
• Чи відображаються на відповідних сторінках знаки довіри або друку безпеки?
•Чи всі сервери, які необхідно захистити, захищені за допомогою SSL?
• Чи є в організації неавторизовані сертифікати, якими також потрібно управляти?
Сучасні сертифікати SSL пропонують ряд надійних технологій шифрування і рівнів аутентифікації. Але багато інструментів корпоративного управління SSL вимагають для кожного типу сертифіката окремого входу в систему. У міру зростання організації та збільшення штату адміністраторів керувати безліччю облікових записів для різних типів сертифікатів SSL стає все важче, якщо немає єдиного пункту управління. Як тільки підходить дата закінчення терміну дії наявних сертифікатів, замінюйте їх на елементи із головного керованого облікового запису, який підтримує всі типи сертифікатів. Наявність єдиного керованого облікового запису допоможе вам також знизити витрати за рахунок оптових знижок.
Результат:Єдиний керований обліковий запис для всіх сертифікатів в рамках організації.
* Проект об'єднання
Після останнього злиття компаній потрібно об'єднати дві мережеві системи. Вам необхідно купити п'ять сертифікатів SSL класу Преміум, і п'ять - класу Стандарт, а в трьох наявних сертифікатах потрібно оновити контактну інформацію про домен. Придбання сертифікатів окремо займе багато часу, який можна було б витратити на виконання інших завдань, пов'язаних з інтеграцією. Кілька сертифікатів найкраще купувати через послугу DigiCert ™ Managed PKI for SSL, яка дозволяє продовжити вже наявні сертифікати та підтримує миттєву видачу.
Функции | Переваги DigiCert PKI |
Веб-портал управління | Багатофункціональний інтерфейс для управління життєвим циклом сертифікатів значно спрощує їх налаштування та встановлення. |
Автоматизований пошук сертифікатів | Наочне уявлення всіх типів сертифікатів підприємства з усіх центрів сертифікації дозволяє знизити ризик простою і установки фальшивих сертифікатів. |
Централізоване управління | Об'єднання процесів придбання та управління у всіх підрозділах і офісах дозволяє скоротити витрати. |
Налаштований потік операцій і журнали аудиту | Делегування процесів адміністрування та попередньо затверджені домени забезпечують миттєву видачу сертифікатів за запитом і формування докладних журналів аудиту, які дозволяють відстежувати всі операції. |
Повний спектр сертифікатів SSL | Управління всіма типами сертифікатів з однієї консолі: Extended Validation (EV), SGC, SAN for Unified Communications,стандартні сертифікати SSL і сертифікати підписання коду. |
Надійна звітність | Управління доступом на основі ролей дозволяє отримати оперативні, автономні і щомісячні звіти, які допомагають керувати ресурсами та ризиками. |
Налаштовані попередження і повідомлення | Автоматизована розсилка попереджень за кількома адресами дозволяє забезпечити їх гарантовану доставку. |
Підтримка світового рівня | Підтримка користувачів по телефону, через сайт, по електронній пошті і по прямому з'єднанню, безкоштовна протягом 60 днів з додатковими розширеними планами. |
3. Сформуйте адміністративний процес для своєї організації.
Обліковий запис для корпоративного управління сертифікатами дозволяє уповноваженим адміністраторам придбати кілька сертифікатів одночасно, і в міру необхідності видавати їх в своїй організації. Адміністратор формує процес управління відповідно до своїх вимог до ступеня контролю, як то: яких користувачів слід наділити певними повноваженнями, як буде працювати реєстрація, хто буде отримувати повідомлення і якого типу.
Система управління сертифікатами повинна володіти достатньою гнучкістю і можливістю настройки для адаптації до конкретного середовища. Дотримання адміністративного процесу забезпечується за рахунок управління доступом на основі ролей і динамічного призначення повноважень. Коли адміністратори входять в систему зі своїми унікальними ідентифікаційними даними, вони можуть управляти сертифікатами в залежності від своєї ролі і організації. Детальна історія всіх дій адміністратора по відношенню до кожного виданого сертифікату записується в журнали аудиту.
Коли адміністратор запитує сертифікат SSL або сертифікат підписання коду, цей сертифікат може бути відразу ж затверджений, відхилений або поставлений в чергу на очікування - це залежить від заздалегідь визначених правил адміністрування. Блокування доменів не дозволяє передплатникам купувати окремі сертифікати для керованих доменів, перенаправляючи користувачів на сторінку реєстрації в керованому обліковому запису.
В ході процесу реєстрації для більшості сертифікатів SSL покупець надає для контактів з технічних питань свої контактні дані: ім'я, номер телефону та адресу електронної пошти. Стандарти контактної інформації і параметри повідомлень повинні чітко відображати ваш сформований адміністративний процес. Попередження про закінчення терміну дії, відправляються по електронній пошті або у вигляді текстових повідомлень, можуть відправлятися декільком адміністраторам або на псевдонім облікового запису, наприклад ssladmin@yourdomain.com. Для спрощення процесу і своєчасного повідомлення адміністраторів рекомендується налаштувати ці повідомлення заздалегідь. Наприклад:
• Коли кількість доступних сертифікатів знижується нижче вказаного значення, адміністратор отримує попередження про необхідність поповнення запасу і придбання додаткових сертифікатів.
• Очікуючі попередження сповіщають адміністраторів про необхідність входу в
систему і перевірки запитів.
• Листи з підтвердженнями інформують адміністратора про миттєво видані сертифікати.
Результат: У систему управління інтегрований чітко структурований адміністративний процес.
* Недоліки локального контролю.
Вашому офісу потрібно локально видати сертифікат для підключення сервера розробки, але через різницю в часі вони будуть змушені добу чекати вашого затвердження. Така затримка - занадто велика плата за дозвіл використання і так вже затвердженого сертифіката в авторизованому домені аутентифіцируваним користувачем. Послуга DigiCert ™ Managed PKI for SSL дозволяє делегувати адміністрування і реалізувати миттєву видачу сертифіката.
Типи користувачів | Переваги |
Основний адміністратор облікових записів | Призначення ролей, настройка повноважень адміністратора і прав доступу до майстрів для інших адміністраторів. |
Допоміжний адміністратор або адміністратор підрозділу | Управління життєвим циклом сертифіката для конкретного домену, підрозділи або відділи: твердження і відхилення запитів на сертифікат, анулювання сертифікатів, перенаправлення запитів до інших адміністраторів. |
Доступ лише до читання | Перегляд звітів про поточні запити, даних про сертифікати і файли журналів. |
4. Налаштуйте попередження, заплануйте регулярне створення звітів про наявні сертифікати і операції продовження.
На платформі управління сертифікатами передбачена можливість періодичного створення звітів, яка допомагає системним адміністраторам ефективніше розподіляти час і ресурси. Замість статичних даних в електронній таблиці звіти в реальному часі показують фактичний реєстр сертифікатів на підприємстві в залежності від їх стану: всі запити і сертифікати, які очікують, затверджені, отримані, дійсні, відкликані, деактивовані, прострочені або застарілі. Звіти про операції продовження за 90, 60 і 30 днів допомагають адміністратору планувати продовження сертифікатів SSL і вигідно користуватися оптовими знижками. З хронологічних звітів адміністратори можуть отримати цінні відомості про минулі дії і врахувати їх при подальшому плануванні та управлінні.
Можливість індивідуальної настройки і безліч форматів файлів дозволяють домогтися максимальної інтеграції в адміністративні процеси та інструменти. Адміністратор повинен мати можливість налаштовувати докладні звіти про використанні сертифікатів по організації або адміністратору, а також створювати автоматизовані звіти для періодичної доставки інформації головній контактній особі. Підтримка таких форматів, як pdf, html і CVS дозволяє налаштувати спільне використання інформації і її перегляд з допомогою інших програм і засобів аналізу.
Результат: Можливість планування річного розподілу ресурсів і складання бюджету на SSL.
5. У міру необхідності анулюйте і замінюйте сертифікати.
Об'єднаний реєстр і засоби управління дозволяють значно спростити анулювання та заміну сертифікатів. У разі відключення, переміщення або заміни серверів сертифікати SSL потрібно правильно перемістити за допомогою функцій анулювання та заміни. Скористайтеся утилітою NSLookup, яка прив'язує імена доменів до IP-адрес і таким чином допомагає знайти місце, де відсутні сертифікати. Якщо сертифікат не вдається знайти або він більше не потрібен, то щоб уникнути неправильного використання його необхідно анулювати. Якщо втрачений або розкритий особистий ключ або сертифікат пропав через критичний збій сервера, то адміністратор повинен мати можливість анулювати цей сертифікат і видати замість нього новий.
Результат:Більш ефективний контроль втрати і нестачі сертифікатів.
* Перенесення з місця на місце
В ході злиття центрів обробки даних необхідно перемістити сертифікати з одного фізичного місця в інше. Ви не хочете купувати для нового місця нові сертифікати, не хочете, щоб пропав час дії наявних сертифікатів, що залишився, і в той же час не можете дозволити собі відключення системи. Для перенесення сертифікатів з одного місця в інше скористайтеся функцією «анулювати і замінити», передбаченої в послуги DigiCert ™ Managed PKI for SSL.
Платформа для централізованого управління і повної наочності
Без хорошого інструментарію управління безліччю сертифікатів SSL в складних інфраструктурах може стати трудомістким, тривалим і небезпечним помилками процесом. Більшість центрів сертифікації пропонують не тільки сертифікати, а й інструменти управління ними. Але в цих інструментах немає функцій пошуку серед усіх сертифікатів і ІТ-адміністратори змушені управляти безліччю платформ і облікових записів для різних сертифікатів. Впровадження самопідписанного сертифікатів забезпечує більш ефективний спосіб централізованого управління, але вимагає не тільки початкових вкладень, але і подальшого підключення розширень для управління новими типами сертифікатів SSL (наприклад, засобів розширеної перевірки).
Послуга DigiCert ™ Managed PKI for SSL поєднує в собі кращі функції надійного центру сертифікації і рішення для самостійного підписання: централізоване управління в надійній масштабіруваній інфраструктурі і автоматизований пошук всіх сертифікатів SSL і сертифікатів підписання коду по всьому підприємству. Крім цього, відразу ж після придбання сертифікатів та створення облікового запису адміністратори отримують повний доступ для налаштування цих облікових записів і передачі обов'язків без додаткових витрат часу і грошей.
Детальніше про SSL сертифікати для захисту сайтів >>>