Umgang mit der Zertifikatverwaltung in Windows-Shops

Die Zertifikatsverwaltung ist eine Sache, die IT-Experten häufig vergessen, bis eine Anwendung ausfällt oder keine Ressourcen verfügbar sind, da ein Zertifikat nicht vor seinem Ablaufdatum erneuert wurde.

Zertifikate werden normalerweise verwendet, um eine Webseite als bekannte Site zu identifizieren und eine verschlüsselte HTTPS-Sitzung zu erstellen. Die meisten statischen Webseiten verwenden sie nicht. Bei bekannten sicheren Seiten erfolgt die Zertifikatsverarbeitung häufig hinter den Kulissen.

Zertifikate verwalten auch die Authentifizierung und Kommunikation zwischen Systemen im Netzwerk eines Unternehmens. Ein abgelaufenes Zertifikat in Ihrem Rechenzentrum kann schwerwiegende Folgen haben, z. B. die Verhinderung, dass sich Benutzer bei Microsoft Exchange anmelden, um auf E-Mails und Kalender zuzugreifen.

Als Administrator kann der Prozess zum Überprüfen von Zertifikaten in Windows problemlos ausgeführt werden certmgr.msc an der Eingabeaufforderung zum Öffnen des MMC-Snap-In-Tools (Certificates Microsoft Management Console).

An der Oberfläche sieht es nicht allzu schwierig aus, Zertifikate zu verwalten, aber Probleme mit ihnen haben dazu geführt, dass einige der größten Anwendungen der Welt offline gegangen sind.

Zertifikate MMC-Snap-In-Tool
Das MMC-Snap-In-Tool “Zertifikate” zeigt die auf dem aktuellen Windows-Computer installierten Zertifikate an.

Die häufigste Verwendung von Zertifikaten besteht darin, einen sicheren Kommunikationstunnel mit einer Website einzurichten, sodass sowohl Ihre Anmeldeinformationen als auch Ihre Aktivitäten vor dem Rest des Internets verborgen bleiben. Wenn Sie beispielsweise LinkedIn laden, verwendet die Site ein Zertifikat, um die Kommunikation mithilfe des Secure Sockets Layer zwischen Ihrem Computer und der Site zu verschlüsseln.

Wenn Sie sich die von Ihnen besuchten Websites ansehen, werden Sie wahrscheinlich feststellen, dass viele, die Anmeldeinformationen verwenden, über Zertifikate verfügen, um Ihre Privatsphäre zu schützen. Diese Zertifikate sind nicht dauerhaft und verfallen. Wenn ich das überprüft habe, läuft das LinkedIn-Zertifikat im September ab. Ein abgelaufenes Zertifikat verursacht Probleme. Sobald Sie keine sichere Verbindung herstellen können, kann eine Website einfach dunkel werden, bis das Zertifikat erneuert wird.

LinkedIn Zertifikat
Wie viele Websites im Internet verwendet LinkedIn ein Zertifikat, um den Datenverkehr zwischen der Website und ihren Benutzern zu sichern.

Der Verlust von LinkedIn ist zwar nicht drastisch, aber was wäre, wenn es sich um das Zertifikat einer von Ihnen verwendeten Cloud-basierten Anwendung handeln würde? Oder noch schlimmer: Was wäre, wenn es die Anwendung Ihres Unternehmens wäre und Ihre Kunden jetzt nicht mehr auf ihre Daten zugreifen können? Ein ablaufendes Zertifikat ist leicht zu übersehen und Probleme mit der Zertifikatsverwaltung treten selbst bei den größten Unternehmen auf. einschließlich Microsoft. Die Erneuerung dieser Zertifikate kostet so gut wie nichts, aber sobald sie ihr Ablaufdatum überschritten haben, kann das daraus resultierende Chaos Geld kosten und die IT-Mitarbeiter in Verlegenheit bringen.

Zertifikate bleiben oft außer Sicht und Verstand

Eine der größten Herausforderungen bei Zertifikaten besteht darin, dass sie nicht sichtbar sind. Sie sind nicht komplex zu handhaben und dauern oft mehrere Jahre.
Ihre IT-Administratoren sind an die Hektik und den kritischen Bedarf vieler IT-Services gewöhnt, die im Vordergrund stehen. Da Zertifikate lange – oft mehrere Jahre – gültig sind, tritt ihre Bedeutung in den Hintergrund. Sie fallen von der täglichen Liste der Aufgaben ab, die erledigt werden müssen.
Es ist einfach genug, den Status Ihrer Zertifikate in Windows zu überprüfen, aber es gibt keinen Mechanismus, der Sie über einen bevorstehenden Ablauf informiert. Bei einigen Websites ist es möglich, über die Warnung hinaus zu klicken, die möglicherweise angezeigt wird, wenn ein Zertifikat abgelaufen ist. Wir schulen unsere Benutzer, um diese Art von potenziellen Sicherheitsrisiken zu vermeiden. Warum ist es also eine Option, fortzufahren? Diese Vorgehensweise funktioniert nicht für andere Schlüsselfunktionen, z. B. Single Sign-On. Andere stärker automatisierte Funktionen funktionieren einfach nicht mehr, wenn das Zertifikat abläuft.

Probleme bei der Zertifikatsverwaltung treten aus mehreren Gründen auf

Die Erneuerung von Zertifikaten ist nicht schwierig und kann selbst von der jüngsten Person in Ihrem Team durchgeführt werden, mit Ausnahme eines kritischen Teils: Sie benötigen eine Firmenkreditkarte, um die Erneuerung zu belasten, und diese wird normalerweise nicht an Junior-Administratoren vergeben. Das Stigma, die Erlaubnis zur Verwendung einer Unternehmenskreditkarte einholen zu müssen oder den Aufwand einer Erstattung vermeiden zu wollen, kann IT-Mitarbeiter daran hindern, fortzufahren.
Oft fällt diese Zertifikatsaufgabe außerhalb des Bereichs der IT und in die Buchhaltungsabteilung. Dies bedeutet auch, dass sie die Erneuerungsbenachrichtigungen erhalten und möglicherweise nicht verstehen, wie kritisch sie sind, bis es zu spät ist.
Wenn sowohl die Kommunikation im Zusammenhang mit als auch die Zahlung der Zertifikate außerhalb der Haupt-IT-Abteilung erfolgt, liegt es an der IT, proaktiv zu sein und den Überblick über die Zertifikatsverwaltung zu behalten. Sie sollten sich nicht auf eine E-Mail oder eine Tabelle verlassen, um diese Ablaufdaten zu verfolgen. Ein Gruppenkalendertermin, auch nach Jahren, hilft auch dann noch, wenn Umsatz entsteht. Es gibt auch mehrere Anbieter, die Add-Ons zur Zertifikatsverwaltung für gängige Überwachungstools wie SolarWinds und Quest Software anbieten.
Sie möchten keine umfangreichen Lösungen für die Zertifikatsverwaltung neu erfinden oder bereitstellen, sollten diese jedoch nicht ignorieren. Sie können die Wurzel vieler weitreichender Probleme sein. Ein ablaufendes Zertifikat ist normalerweise für keine Art von Notfallwiederherstellung oder Sicherungsplan vorgesehen, da sie so einzigartig sind. Versuchen Sie, die Zertifikatüberwachung in vorhandene Tool-Sets zu integrieren, damit Ihre Mitarbeiter ausreichend Zeit haben, diese zu erneuern und bereitzustellen, bevor Ihre sicheren Verbindungen zusammen mit Ihren Kunden und Ihrem Ruf offline gehen.
Das Überprüfen eines Zertifikats ist nicht schwer und das Erneuerungsprozess ist nicht schwierig, aber daran zu denken, immer auf dem Laufenden zu bleiben, entzieht sich weiterhin vielen IT-Shops. Eine weitere Komplikation ist die Anzahl der Zertifikate, die nachverfolgt werden müssen. Möglicherweise verfügen Sie über mehrere Standorte mit jeweils einem eigenen Zertifikat, die alle erforderlich sind, damit eine Anwendung funktioniert. Es kann sehr leicht sein, den Überblick zu verlieren, was dann zu einer Kaskade von Ereignissen führen kann, die zu einem Anwendungsfehler führen. Die gemeinsame Bezeichnung von Zertifikaten zur Festlegung der Ablaufdaten ist zwar am sinnvollsten, manchmal ist dies jedoch nicht in jeder Umgebung möglich.

Similar Posts

Leave a Reply