对于许多大型企业而言,每天都有数千台用户设备访问公司网络,其中数百台设备需要访问特权系统才能进行日常运营。为了对这些设备进行安全身份验证,IT 管理员创建并分发安全套接字层 (SSL) 和传输层安全 (TLS) 证书,以验证和验证设备并加密双向通信。
这也意味着 IT 管理员每天必须跟踪数百个证书,不断监控它们的使用情况,掌握证书过期情况,检测和修复配置漏洞等。通常,证书创建是在孤岛中完成的,管理员缺乏对部署模式和证书有效期的可见性。最重要的是,必须建立严格的访问控制机制,只允许选定的人员提出和批准证书请求以防止扩散。
手动编排整个证书生命周期管理工作流程是一种令人生畏且容易出错的方法。企业的理想方法是部署证书管理解决方案,以消除可见性问题、简化请求、自动化工作流程并从单个界面跟踪所有证书的端到端生命周期。
PAM360 带有一个内置的证书管理模块,可提供对企业 SSL 和 TLS 证书生命周期管理的完全可见性和控制。这允许 IT 管理员发现、整合、创建、部署、更新和管理数字密钥和证书以及特权帐户,促进对企业网络内特权访问路径的使用进行严格、主动的控制。
SSL/TLS 证书生命周期管理
PAM360 的内置 SSL 和 TLS 发现工具可帮助 IT 管理员对组织内部署的各种 X.509 证书执行基于网络的发现。这包括自签名证书、Active Directory 用户证书、邮件服务器证书、部署到负载均衡器的证书、托管在 Amazon Web Services (AWS) 中的证书等。
证书发现也可以按需批量执行,也可以通过创建计划任务定期自动执行。新证书可以配置为在生成时自动添加到 PAM360 的证书存储库中。这为管理员提供了对其 SSL 和 TLS 环境的完整可见性,使他们能够快速识别和修复网络中的流氓和无效证书。
企业从多个证书颁发机构 (CA) 为其系统和应用程序提供证书是很常见的。这导致管理员在两个或多个供应商门户之间进行管理,而没有太多可见性。
PAM360 的证书清单包含各种证书,无论颁发给哪个 CA,都可以促进中央证书部署工作流,而无需在多个界面之间导航。管理员还可以出于内部目的从 PAM360 生成和部署自签名证书,从而消除对中间团队的任何不必要的依赖。
部署到系统和应用程序的 SSL 和 TLS 证书具有设定的到期日期,这意味着它们必须不时更新。不可预见的证书到期会导致服务停机,这会影响生产力、损害品牌信誉,甚至在极端情况下成为安全漏洞的起点。
监控组织内所有证书的有效期对 IT 管理员来说是一项艰巨的任务。PAM360 通过电子邮件、SNMP 陷阱和系统日志消息自动发出告警,帮助 IT 管理员跟踪证书到期。管理员甚至可以启动续订、协调部署新获得的证书并跟踪其使用情况——所有这些都可以通过一个统一的界面进行。
企业 IT 团队缺乏对证书使用和有效期的整体可见性,尤其是在证书配置中涉及多个第三方 CA 时。最重要的是,证书供应商提供的管理门户仅促进本地证书的生命周期自动化,不扩展对其他品牌的支持。
PAM360 的证书管理模块提供供应商中立的证书生命周期管理 - 紧密集成的工作流组合,允许 IT 管理员获取、整合、部署、更新和跟踪各种第三方 CA 颁发的证书的生命周期。可以在此处找到与 PAM360 开箱即用集成的 CA 的完整列表。
为了促进内部应用程序和服务器之间的安全通信,企业 IT 团队通常会设置内部 CA,例如 Microsoft 证书颁发机构,并将本地生成的证书部署到网络中的各个节点。同样,需要不断监控和管理这些证书以避免连接中断。
手动管理内部 CA 证书对 IT 管理员来说可能是一个挑战,尤其是在大规模完成时。PAM360 提供专用工作流,帮助企业 IT 团队管理、自动化和编排 Microsoft 证书存储中的证书和 Microsoft 证书颁发机构颁发的证书的管理,无需人工干预。
