COMODO CERTIFICATE MANAGER - Certyfikaty SSL
27
COMODO CERTIFICATE MANAGER Prostsze zarządzanie certyfikatami SSL w przedsiębiorstwie
Transcript of COMODO CERTIFICATE MANAGER - Certyfikaty SSL
COMODO CERTIFICATE MANAGER
Prostsze zarządzanie certyfikatami SSL w przedsiębiorstwie
Comodo Certificate Manager ‐ CCM
Umożliwia wyznaczonym administratorom wystawianie, dystrybucję, odnawianie i odwoływanie certyfikatów SSL dla organizacji, działów i
pojedynczych użytkowników.
Dzisiejsze wyzwania dla biznesu
Wyzwanie Ryzyko
Zarządzanie licznymi certyfikatami SSL od różnych wystawców w strukturze Przedsiębiorstwa.
Systemów i aplikacji wymagających Certyfikatu SSL jest coraz więcej i stają się one coraz bardziej złożone.
QWA
Strony www
SaaS
Cloud
Urządzenia mobilneCERTYFIKATY
Utrudniony dostęp do strony www
Problemy w działaniu kluczowych aplikacji
Narażenie wizerunku firmy
Comodo Certificate Manager zmniejsza ryzyko
Poprzez konsolidację i zautomatyzowanie struktury PKI Comodo Certificate Manager eliminuje konieczność ręcznego zarządzania certyfikatami i tworzy wydajniejsze, efektywniejsze i bezpieczniejsze środowisko.
Proste zarządzanie certyfikatami SSL w przedsiębiorstwieRoczny model abonamentowy bez limitu certyfikatówPełen zakres certyfikatów SSL, SMIME i Code SigningMożliwa jedna data ważności dla wszystkich certyfikatówAutomatyczna instalacja i odnowienie certyfikatówRóżne poziomy administracji pozwalają zarządzać efektywniej
Funkcje CCM
FUNKCJEMENADŻERA
CERTYFIKATÓW
Skaner Certyfikatów
SCEP
Zarządzanie Adminami
Zarządzanie Powiadomieniami
Archiwum Kluczy
Raporty
Narzędzie do skanowania i monitorowania w sieci zainstalowanych certyfikatów SSL.
SCEP może automatycznie wydać i przetworzyć nowy certyfikat w przypadku, gdy poprzedni wygasł lub jest bliski wygaśnięcia.
Pozwala tworzyć administratorów i edytować ich uprawnienia.
Powiadomienia informujące m.in. o statusie certyfikatów SSL i wynikach skanowania wraz z możliwością ich dostosowania.
Przechowuje klucze prywatne użytkowników w celu ich przywrócenia przez uprawnionego administratora.
Stale archiwizuje wszystkie akcje podejmowane na certyfikatach wystawionych i zarządzanych w CCM.
Pełny zakres certyfikatów SSL
OV SSL EV SSL ECC SSL
CERTYFIKATY WERYFIKOWANE ORGANIZACYJNIE
CERTYFIKATY O ROZSZERZONEJ WERYFIKACJI
CERTYFIKATY ECC(ELLIPTIC CURVE)
Multi Domain (SAN)
Pojedynczy certyfikat
Wildcards
Pojedynczy certyfikat
Multi Domain (SAN)
Wildcards
Multi Domain (SAN)
Pojedynczy certyfikat
Opcje dostępne dla certyfikatów w ramach CCM
CERTYFIKATY SSL
CERTYFIKATY CODE SIGNING
CERTYFIKATY KLIENTA
.csv i API.csv i APIWewnętrzny
formularz
Wewnętrzny formularz
Zewnętrzny formularz
Wydanie poprzez zgłoszenie
SCEP
Zewnętrzne zgłoszenie z pomocą Secret ID lub kodu dostępu
Zarządzanie Cyklem Życia Certyfikatu
UPRAWNIONY ADMINISTRATOR
Odwołanie
Ponowne wydanie
Odnowienie
Zatwierdzenie
Wydanie
Rozmieszczenie
3 role administratorów
MRAO
RAO
DRAO
Master Registration Authority Officer (MRAO) – Najwyższy poziom administratora w Menadżerze Certyfikatów (CM). MRAO ma dostęp do wszystkich obszarów funkcjonalnych i może delegować kontrolę nad certyfikatami, domenami i powiadomieniami dowolnej organizacji lub działu. MRAO ma również pełną kontrolę nad tworzeniem i przywilejami pozostałych administratorów (RAO i DRAO) i użytkowników z dowolnej organizacji lub działu.
Registration Authority Office (RAO) – jest administratorem tworzonym przez MRAO w celu zarządzania certyfikatami i użytkownikami końcowymi należącymi do jednej lub więcej organizacji w CM. RAO mają kontrolę nad certyfikatami zamówionymi w imieniu ich organizacji oraz nad domenami przypisanymi przez MRAO do ich organizacji lub działu, a także nad działami i końcowymi użytkownikami tejże organizacji.
Department Registration Authority Officer (DRAO) – są tworzeni przez RAO i do nich przypisywani. Sprawują kontrolę nad certyfikatami, domenami i użytkownikami należącymi do działu danej organizacji.
Zarządzanie powiadomieniami (Notification Management)
MRAO
RAO
DRAO
Daje administratorom możliwość MRAO, RAO i DRAO ustawienia i zarządzania powiadomieniami e-mail do różnorodnych odbiorców, włączając w to komunikaty dotyczące statusu certyfikatów SSL, certyfikatów klientów i raportów skanowania. CM powala także administratorom dostosowywać szablony e-maili do ich potrzeb.
Widzi listę wszystkich typów powiadomień ustawionych przez niego oraz administratorów RAO i DRAO. Może tworzyć nowe typy powiadomień i edytować ustawienia powiadomień dla organizacji i działów.
Widzi typy powiadomień ustawione przez niego dla użytkowników, należących do organizacji (i przyporządkowanych działów), które zostały mu przypisane. Mogą tworzyć nowe powiadomienia i edytować ustawienia istniejących tylko w obrębie posiadanych uprawnień i tylko dla organizacji (i przyporządkowanych działów), do której zostali przypisani.
Widzi listę wszystkich typów powiadomień ustawionych przez niego oraz administratorów RAO i DRAO. Może tworzyć nowe typy powiadomień i edytować ustawienia powiadomień dla organizacji I działów.
Dodaj adresy e-mail oddzielone przecinkiem
Powiadom MRAO, RAO i DRAO (Administratorów)
22 dostępne powiadomienia
EDYCJA POWIADOMIEŃ
Archiwum kluczy (KeyEscrow/Archival)
MRAO
RAO
DRAO
Comodo Certificate Manager może magazynować prywatne klucze końcowych użytkowników certyfikatów SSL w celu przywrócenia certyfikatu przez administratora, posiadającego odpowiednie uprawnienia. Z uwagi na wysoką wrażliwość i poufność tego typu informacji są one przechowywane w postaci zaszyfrowanych plików, aby nie mogły zostać skradzione lub skompromitowane.
Jedynie administratorzy MRAO i RAO SMIME są uprawnieni do konfigurowania ustawień odzyskiwania klucza dla organizacji, gdyż tylko oni mogą tworzyć działy.
Na poziomie działu (DRAO)
Archiwum KLUCZY
Na poziomie organizacji (RAO)
Opcja odzyskiwania klucza jest definiowana podczas tworzenia organizacji. Raz wybrana - nie może być zmieniona.
Opcja odzyskiwania klucza jest definiowana podczas tworzenia działu. Raz wybrana - nie może być zmieniona.
Zarządzanie administratorami (Admin Management)
MRAO
RAO
DRAO
Jest najwyższym poziomem administratora i ma pełną kontrolę nad tworzeniem i przywilejami pozostałych administratorów (RAO i DRAO) oraz użytkowników z wszystkich organizacji i działów.
ZARZĄDZANIE ADMINAMI
Tworzenie
Uprawnienia administratorów
Edycja
Usuwanie
Jest administratorem tworzonym przez MRAO lub innego RAO w celu zarządzania certyfikatami i użytkownikami końcowymi, należącymi do jednej lub więcej organizacji w CM. RAO mają kontrolę nad certyfikatami zamówionymi w imieniu ich organizacji oraz nad domenami przypisanymi przez MRAO do ich organizacji lub działu, a także nad działami i końcowymi użytkownikami tejże organizacji.
Są tworzeni przez RAO i do nich przypisywani. Sprawują kontrolę nad certyfikatami, domenami i użytkownikami należącymi do działu danej organizacji. DRAO jest uprawniony do dostępu, zarządzania i żądania certyfikatów dla działów i organizacji przypisanych do siebie przez RAO. DRAO nie posiada uprawnień do tworzenia administratorów. Mogą jedynie edytować siebie lub innych DRAO działu, którym zarządzają.
Skaner certyfikatów (Certificate Discovery)
MRAO
RAO
DRAO
CCM umożliwia skanowanie certyfikatów SSL zainstalowanych w obrębie sieci, łącznie z certyfikatami wystawionymi przez stronę trzecią i certyfikatami “Self Signed”. Zainstalowani w sieci agenci usprawniają ten proces. Po zakończeniu skanowania CCM automatycznie zaktualizuje pole „SSL Certificates” o wyniki. Dodane zostaną nowo odkryte (niezarządzane) certyfikaty, a statusy istniejących zostaną zaktualizowane.
Role bezpieczeństwa
WYNIKI SKANOWANIA
Certyfikat niewystawiony przez CCM “Niezarządzany” Trzecia strona lub Self Signed
Certyfikat wystawiony przez CCM “Zarządzany”
Może skanować wewnętrzne serwery dowolnej organizacji lub działu w poszukiwaniu żądanych, wystawionych, wygasłych, odwołanych lub przeniesionych certyfikatów.
Może skanować wewnętrzne serwery organizacji (oraz podległych jej działów), do której jest przypisany, w poszukiwaniu żądanych, wystawionych, wygasłych, odwołanych lub przeniesionych certyfikatów.
Może skanować wewnętrzne serwery działu, do którego jest przypisany, w poszukiwaniu żądanych, wystawionych, wygasłych, odwołanych lub przeniesionych certyfikatów.
Może skanować wewnętrzne serwery działu, do którego jest przypisany, w poszukiwaniu żądanych, wystawionych, wygasłych, odwołanych lub przeniesionych certyfikatów.
Skaner certyfikatów (Certificate Discovery)
ZARZĄDZANIE ADMINAMI
OPCJE SKANOWANIA
ZARZĄDZANIE
Częstotliwość skanowania
Podgląd wyników i historiiUsunięcie
wyników
HostName
CIDR
IP RangePort
Linux x64
Linux x86Windows
SCEP – zarządzanie urządzeniami mobilnymi
Simple Certificate Enrollment Protocol
Simple Certificate Enrollment Protocol (SCEP) to mechanizm do automatyzacji wydawania certyfikatów Administrator używając SCEP może automatycznie wydać i przetworzyć nowy certyfikat w przypadku, gdy poprzedni wygasł lub jest bliski wygaśnięcia.
Przykładem systemu kompatybilnego ze SCEP-em może być platforma iOS Apple i urządzenia oparte o nią (iPhone, iPad, iPod Touch).
CM wspiera SCEP i jest w pełni zintegrowany z serwerem SCEP.
WAŻNE: SCEP może być używany jedynie poprzez oprogramowanie strony trzeciej, które wymaga certyfikatu używając protokołu SCEP. Jeżeli rozważasz stworzenie własnej aplikacji, lepszym rozwiązaniem może okazać się wybór CCM API, gdyż jest łatwe w użyciu i wspiera dodatkowe funkcjonalności niedostępne poprzez SCEP.
Delegacja domeny (Domain Delegation)
MRAO
RAO
DRAO
DELEGACJA DOMENY
Inicjuj DCV
Deleguj domenę
Dodawaj domeny
Weryfikuj i zatwierdzaj domeny
Może tworzyć, edytować i delegować domenę dla dowolnej organizacji lub działu. Może również żądać, zatwierdzać i zarządzać certyfikatami dla dowolnej domeny. Domeny tworzone przez MRAO są automatycznie zatwierdzane.
Administratorzy mogą tworzyć nowe domeny, inicjować proces Domain Control Validation (DCV) i delegować /redelegować istniejące domeny do wymaganej organizacji lub działu oraz ograniczać typy certyfikatów, które mogą być oferowane dla domeny, w zależności od celu ich użycia.
Żądane i zatwierdzone domeny
Może tworzyć, edytować i delegować domenę dla organizacji (i dowolnego podległego działu), do której jest przypisany. Może również inicjować DCV, żądać, zatwierdzać lub zarządzać certyfikatem dla takiej domeny.
Może tworzyć, edytować i delegować domenę dla działu, do którego jest przypisany. Może również inicjować DCV, żądać, zatwierdzać lub zarządzać certyfikatem dla takiej domeny. Domeny tworzone przez DRAO mogą być weryfikowane i zatwierdzane w pierwszej kolejności przez odpowiedniego RAO, a następnie przez MRAO posiadającego właściwe uprawnienia.
Jeżeli domena *.przyklad.com jest delegowana i zweryfikowana dla określonej organizacji, to wszystkie subdomeny np. poczta.przyklad.com i login.przyklad.com są automatycznie weryfikowane i zatwierdzane dla tej organizacji.
DCV
DNSCNAME
ZARZĄDZANIE ADMINAMI
MRAO
RAO
DRAO
Może zainicjować proces DCV dla każdej zarejestrowanej domeny.
Administratorzy mogą tworzyć nowe domeny, inicjować proces Domain Control Validation (DCV) i delegować /redelegować istniejące domeny do wymaganej organizacji lub działu oraz ograniczać typy certyfikatów, które mogą być oferowane dla domeny, w zależności od celu ich użycia.
Domain Control Validation e-mail
pliki HTTP
Może zainicjować proces DCV dla domen delegowanych dla organizacji lub administrowanych przez nią.
Może zainicjować proces DCV dla domen delegowanych dla działu lub administrowanych przez niego.
Jeżeli domena wildcard jest utworzona i delegowana do organizacji lub działu po udanej weryfikacji, wszystkie subdomeny w obrębie tej samej nazwy wyższego poziomu zostaną skutecznie zweryfikowane.
7 typów administratorów
Certyfikaty SSL (DRAO)SMIME
(DRAO)
Code Signing(DRAO)
Certyfikaty SSL (RAO)
SMIME(RAO)
Code Signing(RAO)
Hierarchia wewnątrz CCM
Przykład nr 1
MRAO
RAO
DRAO
Wnioskodawca
Wnioskodawca
Wnioskodawca
Przedsiębiorstwo, które chciałoby przekazać codzienne utrzymanie certyfikatów SSL podległym jednostkom lub markom.
Ustanowione dla każdego oddziału lokalnego i/lub marki.
Poszczególne działy odpowiedzialne za utrzymanie własnych certyfikatów SSL.
Duże przedsiębiorstwa z licznymi markami lub oddziałami z dużą liczbą działów.
Zastosowanie
Hierarchia wewnątrz CCM
Przykład nr 2
MRAO
RAO
DRAO
Wnioskodawca
Wnioskodawca
Wnioskodawca
Przedsiębiorstwo, które chciałoby przekazać codzienne utrzymanie certyfikatów SSL podległym działom.
Brak podległych podmiotów.
Nieograniczona liczba działów zarządzających wszystkimi certyfikatami SSL wydanymi dla przedsiębiorstwa.
Przedsiębiorstwa z licznymi działami, które dystrybuuje certyfikaty po uprzednim wydelegowaniu właściwej domeny.
Zastosowanie
Hierarchia wewnątrz CCM
Przykład nr 3
MRAO
RAO
DRAO
Zewnętrzny formularz
Zewnętrzny formularz certyfikatów SMIME z użyciem Secret ID
Zewnętrzny formularz certyfikatów SMIME z użyciem kodu dostępu
Przedsiębiorstwo, które chciałoby, aby pracownicy zamawiali certyfikaty przez zewnętrzne formularze.
Brak podległych podmiotów.
Brak podległych podmiotów.
Przedsiębiorstwa, które nie chce delegować kontroli nad posiadanymi certyfikatami SSL podległym jednostkom.
Zastosowanie
Hierarchia wewnątrz CCM
Przykład nr 4
MRAO
RAO
DRAO
Zewnętrzny formularz
Wnioskodawca
Przedsiębiorstwo, które chce korzystać z wszystkich hierarchicznych funkcji CCM.
Ustanowione dla każdego oddziału lokalnego i/lub marki.
Poszczególne działy odpowiedzialne za utrzymanie własnych certyfikatów SSL.
Duże przedsiębiorstwa z licznymi markami lub oddziałami z dużą liczbą działów, korzystające również z zewnętrznych formularzy wydawania certyfikatów SSL.
Zastosowanie
Wnioskodawca
Wnioskodawca
Wnioskodawca
Hierarchia przepływu pracy w CCM
DRAO
RAOMRAO
MENADŻER CERTYFIKATÓW
Uznanie
Wydanie
Zewnętrzne formularze
Cykl pracy MRAO
STWORZENIE ORGANIZACJI
STWORZENIE ADMINA
ORGANIZACJI
USTAWIENIE UPRAWNIEŃ
RAO
LOGOWANIE RAO
WŁĄCZENIE SSL, SMIME,
CODE SIGNING
DODANIE ADRESU
STWORZENIE DZIAŁU
LOGOWANIE DRAO
USTAWIENIE UPRAWNIEŃ
DRAO
Ustanowienie RAO Ustanowienie DRAO
WŁĄCZENIE SSL, SMIME,
CODE SIGNING
STWORZENIE ADMINA DZIAŁU
DODANIE ADRESU
Cykl pracy ‐ nowy SSL, nowa domena
POCZĄTEK DODANIE DOMENY
PRZYJĘCIE DOMENY WERYFIKACJA
DOMENY
EMAILHTTP/SCNAME
DELEGACJA DOMENY
SSL,SMIME,CODE
SIGNINGGENEROWANIE
CSR
WYSŁANIECSR
WYDANIE CERTYFIKATU
POBRANIESSL
INSTALACJA SSL
ODNOWIENIE,ODWOŁANIE, PONOWNE WYDANIE
KONIEC
PRZYJĘCIE DCV
Cykl pracy ‐ nowy SSL, istniejąca domena
KONIECWYDANIE CERTYFIKATU
WYSŁANIECSR
POCZĄTEK
COMODO CERTIFICATE MANAGER
Skontaktuj się zoficjalnym partnerem
marki Comodo:
Jeżeli chcesz wiedzieć więcej o:
[email protected] 801 030
