Certificate Intelligence — Überblick¶
Blackfort Certificate Intelligence ist ein zentrales Zertifikatsinventar zur Inventarisierung, Bewertung und Steuerung von Zertifikaten und PKI-Abhängigkeiten. Das Produkt arbeitet rein lesend und nicht invasiv — es nimmt keine Änderungen an Produktionssystemen vor und speichert niemals private Schlüssel, sondern ausschließlich die öffentlichen Zertifikatsteile und Metadaten.
Wozu Certificate Intelligence?¶
Zertifikate laufen unbemerkt ab, liegen verstreut über viele CAs, Systeme und Teams, und niemand hat den vollständigen Überblick, welches Zertifikat welche kritische Funktion trägt. Certificate Intelligence schafft diese Transparenz:
- Ein Inventar über alle Quellen hinweg — interne CAs, Cloud-Key-Stores, Netz-Scans und öffentliche Certificate-Transparency-Logs in einer Ansicht.
- Governance je Zertifikat — wer verantwortlich ist, welche kritische oder wichtige Funktion es trägt, ob es aktiv genutzt oder verwaist ist.
- Compliance-Nachweise — Auswertungen mit Bezug zu DORA (Art. 8/9/28–30), Ablauf- und Sperrstatus-Überwachung, Erkennung schwacher Kryptografie.
Kernfunktionen¶
| Bereich | Funktion |
|---|---|
| Inventar | Zentrales Register, Primärschlüssel = SHA-256-Fingerprint; Re-Import als Upsert (Governance-Felder bleiben erhalten) |
| CA-Connectoren | Microsoft ADCS, EJBCA, HashiCorp Vault PKI, smallstep step-ca, Azure Key Vault |
| Aktive Erkennung | Eigener schlanker TLS-Scanner (host:port, Portranges), Certificate-Transparency-Log-Monitoring |
| Air-Gap | Datei-Export/-Import (exchange-v1), überwachte Auto-Import-Ordner — für isolierte Segmente ohne Netzweg |
| Governance | Verantwortlich, kritische/wichtige Funktion, aktiv/verwaist, freie Custom-Spalten, Audit-Trail |
| Compliance | DORA-Auswertungen, Ablauf-Eskalation nach Service-Klasse, schwache Krypto, Key-Reuse, Waisen |
| Sperrstatus | CRL- und OCSP-Prüfung je Zertifikat (good/revoked/unknown), auch per manuellem CRL-Upload (Air-Gap) |
| Ketten/Trust | Auflösung der Aussteller-Kette (AKI/SKI), Intermediate-/Root-Zertifikate als eigene Objekte |
| Benachrichtigung | Microsoft-Teams-Tagesdigest (Ablauf, schwache Krypto, Waisen, widerrufen-aber-aktiv) |
| Export | CSV und XLSX aus jeder Ansicht |
| Sicherheit | Web-Login mit Rollen (admin schreibt, viewer liest); Agenten mit API-Token |
Architektur in Kürze¶
CA-Exporter / Scanner / CT-Log Zentrales Web-Register
(rein lesend, pro Plattform) (Web-UI + Datenbank)
──────────────────────────── ──────▶ ─────────────────────
ADCS Azure KV Vault PKI • Parsen & Anreichern
step-ca EJBCA TLS-Scanner HTTPS • Governance-Schicht
─oder─ • DORA-Auswertungen
Datei • Sperrstatus, CT, Alerts
(Air-Gap)
- Schlanke, minimale Exporter je CA-Plattform erzeugen Listen in einem stabilen, versionierten Austauschformat. Die gesamte Logik liegt im Register.
- Zwei Transportwege: HTTPS-Push mit API-Token (online) oder Datei-Export/-Import (Air-Gap/Offline). Gleiches Format, gleicher Parser.
- Auslieferung des Registers: als Docker-Compose-Stack oder als VM-Appliance (OVA) — beide vollständig Air-Gap-tauglich.
Weiter zu …¶
- Benutzerhandbuch — tägliche Arbeit mit dem Web-Register (Inventar, Governance, Auswertungen, Benachrichtigungen).
- Installationshandbuch — Einrichtung von Register, Exportern und Scanner (zugangsgeschützt).
Rein lesend, nicht invasiv
Certificate Intelligence stellt Transparenz über die Zertifikatslage her, ohne in Produktionssysteme einzugreifen. Es ist ein Inventar, kein Key-Store — private Schlüssel werden zu keinem Zeitpunkt gelesen, übertragen oder gespeichert.