Abbildung komplexer Organisationshierarchien
Die ECOS CAA ist für das einfache, zentrale und flexible Management von Zertifikaten ausgelegt. Dabei erlaubt die Lösung den Aufbau mehrstufig hierarchisch gegliederter Certificate Authorities (CAs) und Sub-CAs. Unterschiedlichen Geschäftsbereichen oder Mandanten können entsprechende Root-CAs zugeordnet werden. Somit sind auch komplexe Organisationshierarchien in der Zertifikatsverwaltung abbildbar.
Für die Distribution und automatische Verlängerung der erstellten Zertifikate stehen unterschiedliche Mechanismen zur Verfügung. Für alle Geräte, welche dieses Verfahren unterstützen, können die erzeugten Zertifikate in einem LDAP-Server zur Abholung bereitgestellt werden.
Die Verteilung der Zertifikate kann bei Windows-Geräten und -Benutzern per Active Directory (AD) oder über ein eigenständiges, unabhängiges Zertifikats-Distributions-Tool erfolgen. Für VoIP-Telefone und mobile Geräte kann für die Verteilung SCEP (Simple Certificate Enrollment Protocol) genutzt werden.
Nahtlose Integration in bestehende IT-Infrastrukturen
Mitentscheidend für den Erfolg bei der Einführung einer neuen PKI sind die Möglichkeiten der Integration in die vorhandene IT-Infrastruktur. Über die Kopplung mit dem AD oder einem sonstigen Metadirectory kann sich die ECOS CAA die notwendigen Informationen zur Erzeugung der Zertifikate holen – zum Beispiel für eine bestimmte Benutzer-, Server oder Gerätegruppe. Sofern gewünscht, werden die Zertifikate direkt ins AD zurückgeschrieben, um sie auf diesem Weg zu verteilen.
Über die integrierte HTTP-API lassen sich ausnahmslos alle Vorgänge über entsprechende Skripte fernsteuern. So kann beispielsweise aus einem Software Deployment Tool heraus die Erzeugung und Verteilung von Zertifikaten vollständig automatisiert werden.
Erzeugung von Einmalpasswörtern (OTP)
Über ein eigenes Modul bietet die ECOS CAA außerdem die Möglichkeit, One-Time-Passwörter (OTP) zu erzeugen und zu verifzieren. Hierbei werden nicht nur Hardware-Token, sondern auch Soft-Token (App) für iOS, Android und Windows Phone unterstützt. Darüber hinaus ist ein Versand von Einmalpasswörtern per SMS möglich. Dies erfolgt an die für den jeweiligen User – zum Beispiel im AD – hinterlegte Handy-Nummer. Zur Verifikation des eingegebenen Einmalpassworts kommt der integrierte Radius-Server zum Einsatz.
Für den Überblick über alle relevanten Informationen sorgt ein integrierter Report-Editor, über den ein flexibler Zugriff auf sämtliche zur Verfügung stehenden Daten möglich ist. Einmal generierte Reports lassen sich abspeichern und anderen Benutzern zur Verfügung stellen.
Hochverfügbarkeit durch Einsatz im Cluster
Je nach Einsatzszenario kann die ECOS CAA auch hochverfügbar im Cluster betrieben werden. So wird sichergestellt, dass sich die Benutzer auch beim möglichen Ausfall eines Systems – und dem damit verbundenen Ausfall des Radius- oder OCSP-Servers – weiterhin anmelden können. Über den im HA-Modul integrierten Load-Balancer lassen sich mehrere CAAs standortübergreifend betreiben und kurze Antwortzeiten der Server sicherstellen.
„Bei unseren USB-Stick-basierten Lösungen für den hochsicheren Fernzugriff wie ECOS MOBILE OFFICE STICK und ECOS SECURE BOOT STICK setzen wir schon lange auf PKI-Funktionen im Rahmen der zugehörigen Management-Appliance", erklärt Paul Marx, Geschäftsführer der ECOS Technology GmbH. "Kompetenzen, die wir mit der ECOS CAA in einem eigenständigen, kontinuierlich weiterentwickelten Produkt gebündelt haben, um die Anforderungen an eine moderne PKI innerhalb einer kompakten Appliance umzusetzen. Als Standalone-Lösung eignet sich die Appliance für den Einsatz in Unternehmen und Behörden und ermöglicht es Administratoren und IT-Verantwortlichen, selbst in sehr komplexen PKI-Infrastrukturen den Überblick zu behalten.“
Weitere Einzelheiten und technische Daten zur ECOS CERTIFICATE AUTHORITY APPLIANCE finden sich unter https://www.ecos.de/....
ECOS Technology auf der it-sa 2016: Halle 12.0 / 12.0-622
Verfügbarkeit:
Die ECOS CERTIFICATE AUTHORITY APPLIANCE (CAA) ist über die ECOS Technology GmbH und deren Fachhandelspartner erhältlich.