Zum Inhalt

Certificate Intelligence — Überblick

Blackfort Certificate Intelligence ist ein zentrales Zertifikatsinventar zur Inventarisierung, Bewertung und Steuerung von Zertifikaten und PKI-Abhängigkeiten. Das Produkt arbeitet rein lesend und nicht invasiv — es nimmt keine Änderungen an Produktionssystemen vor und speichert niemals private Schlüssel, sondern ausschließlich die öffentlichen Zertifikatsteile und Metadaten.

Wozu Certificate Intelligence?

Zertifikate laufen unbemerkt ab, liegen verstreut über viele CAs, Systeme und Teams, und niemand hat den vollständigen Überblick, welches Zertifikat welche kritische Funktion trägt. Certificate Intelligence schafft diese Transparenz:

  • Ein Inventar über alle Quellen hinweg — interne CAs, Cloud-Key-Stores, Netz-Scans und öffentliche Certificate-Transparency-Logs in einer Ansicht.
  • Governance je Zertifikat — wer verantwortlich ist, welche kritische oder wichtige Funktion es trägt, ob es aktiv genutzt oder verwaist ist.
  • Compliance-Nachweise — Auswertungen mit Bezug zu DORA (Art. 8/9/28–30), Ablauf- und Sperrstatus-Überwachung, Erkennung schwacher Kryptografie.

Kernfunktionen

Bereich Funktion
Inventar Zentrales Register, Primärschlüssel = SHA-256-Fingerprint; Re-Import als Upsert (Governance-Felder bleiben erhalten)
CA-Connectoren Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault
Aktive Erkennung Eigener schlanker TLS-Scanner (host:port, Portranges), Certificate-Transparency-Log-Monitoring
Air-Gap Datei-Export/-Import (exchange-v1), überwachte Auto-Import-Ordner — für isolierte Segmente ohne Netzweg
Governance Verantwortlich, kritische/wichtige Funktion, aktiv/verwaist, freie Custom-Spalten, Audit-Trail
Compliance DORA-Auswertungen, Ablauf-Eskalation nach Service-Klasse, schwache Krypto, Key-Reuse, Waisen
Sperrstatus CRL- und OCSP-Prüfung je Zertifikat (good/revoked/unknown), auch per manuellem CRL-Upload (Air-Gap)
Ketten/Trust Auflösung der Aussteller-Kette (AKI/SKI), Intermediate-/Root-Zertifikate als eigene Objekte
Benachrichtigung Microsoft-Teams-Tagesdigest (Ablauf, schwache Krypto, Waisen, widerrufen-aber-aktiv)
Export CSV und XLSX aus jeder Ansicht
Sicherheit Web-Login mit Rollen (admin schreibt, viewer liest); Agenten mit API-Token

Architektur in Kürze

   CA-Exporter / Scanner / CT-Log            Zentrales Web-Register
   (rein lesend, pro Plattform)              (Web-UI + Datenbank)
   ────────────────────────────  ──────▶     ─────────────────────
   ADCS   Azure KV   Vault PKI               • Parsen & Anreichern
   step-ca   EJBCA   TLS-Scanner    HTTPS    • Governance-Schicht
                                    ─oder─    • DORA-Auswertungen
                                    Datei     • Sperrstatus, CT, Alerts
                                    (Air-Gap)
  • Schlanke, minimale Exporter je CA-Plattform erzeugen Listen in einem stabilen, versionierten Austauschformat. Die gesamte Logik liegt im Register.
  • Zwei Transportwege: HTTPS-Push mit API-Token (online) oder Datei-Export/-Import (Air-Gap/Offline). Gleiches Format, gleicher Parser.
  • Auslieferung des Registers: als Docker-Compose-Stack oder als VM-Appliance (OVA) — beide vollständig Air-Gap-tauglich.

Weiter zu …

  • Benutzerhandbuch — tägliche Arbeit mit dem Web-Register (Inventar, Governance, Auswertungen, Benachrichtigungen).
  • Installationshandbuch — Einrichtung von Register, Exportern und Scanner (zugangsgeschützt).

Rein lesend, nicht invasiv

Certificate Intelligence stellt Transparenz über die Zertifikatslage her, ohne in Produktionssysteme einzugreifen. Es ist ein Inventar, kein Key-Store — private Schlüssel werden zu keinem Zeitpunkt gelesen, übertragen oder gespeichert.