Certificate Intelligence — Benutzerhandbuch¶
Dieses Handbuch beschreibt die tägliche Arbeit mit dem Web-Register von Certificate Intelligence. Die Einrichtung von Register, Exportern und Scanner ist im Installationshandbuch beschrieben.
Anmeldung und Rollen¶
Certificate Intelligence ist über den Browser erreichbar (die genaue Adresse erhalten Sie von Ihrem Administrator). Die Anmeldung erfolgt mit Benutzername und Passwort.
Es gibt zwei Rollen:
| Rolle | Rechte |
|---|---|
| admin | Vollzugriff — lesen und schreiben (Governance pflegen, Agenten/Scan-Ziele/CT-Domänen verwalten, archivieren, Einstellungen) |
| viewer | Nur-Lese-Zugriff auf das Inventar und alle Auswertungen |
Alle Seiten setzen eine Anmeldung voraus; alle schreibenden Aktionen sind der Rolle
admin vorbehalten. Änderungen an Governance-Feldern werden mit dem anmeldenden
Benutzer im Audit-Trail protokolliert.
Die Zertifikatstabelle¶
Die zentrale Ansicht ist die Zertifikatstabelle. Jede Zeile ist ein Zertifikat, eindeutig identifiziert über seinen SHA-256-Fingerprint. Die Spalten gliedern sich in drei Klassen:
- Technische Felder (aus dem Zertifikat geparst, nicht editierbar): Fingerprint,
Seriennummer, Subject/CN, SAN (DNS/IP/E-Mail), Aussteller, Gültigkeit
(
not_before/not_after), Schlüsselalgorithmus und -länge, Signaturalgorithmus, Verwendungszweck (aus KeyUsage/ExtendedKeyUsage: serverAuth, clientAuth, codeSigning, emailProtection …), Typ (Leaf/Intermediate/Root). - Governance-Felder (frei editierbar, siehe unten).
- Abgeleitete/Compliance-Spalten: Tage bis Ablauf, Ablauf-Status, schwache Kryptografie (RSA < 2048, SHA-1-Signatur), self-signed auf kritischer Funktion, Wildcard, Key-Reuse (geteilter Public-Key), Waisen-Status, Quelle/Herkunft.
Bedienung der Tabelle:
- Sortieren durch Klick auf eine Spaltenüberschrift.
- Filtern pro Spalte über die Filterzeile.
- Spalten ein-/ausblenden über die Spaltenauswahl.
- Exportieren der aktuellen Ansicht als CSV oder XLSX.
Governance-Felder pflegen¶
Die Governance-Schicht ist der Kern des Produkts: Sie reichern jedes Zertifikat um die
organisatorische Bedeutung an, die im Zertifikat selbst nicht steht. Bearbeitung erfolgt
direkt in der Tabelle (Inline-Bearbeitung), Rolle admin vorausgesetzt:
| Feld | Bedeutung |
|---|---|
| unterstützt kritische Funktion | Ja/Nein — trägt das Zertifikat eine kritische Funktion (DORA) |
| unterstützt wichtige Funktion | Ja/Nein |
| aktiv / nicht aktiv in Nutzung | ist das Zertifikat produktiv im Einsatz |
| verantwortlich | Kontakt/Freitext |
| Funktion/Anwendung/Prozess | Freitext — bewusst kein CMDB-Zwang |
| verwaist | manuell setz-/überschreibbar (siehe Waisen-Status) |
| Custom-Spalten | frei definierbare, löschbare Zusatzspalten |
Technische Felder sind unveränderlich
Nur Governance- und Custom-Felder sind editierbar. Technische Felder stammen aus dem Zertifikat und sind schreibgeschützt — ein Schreibversuch darauf wird abgewiesen. So bleibt das Inventar eine verlässliche Abbildung der Realität.
Governance überlebt den Re-Import
Wird ein Zertifikat erneut importiert (z. B. beim nächsten Exporter-Lauf), führt das Register ein Upsert auf den Fingerprint aus: technische und Beobachtungsdaten werden aktualisiert, Ihre manuell gepflegten Governance-Felder bleiben erhalten.
Audit-Trail: Jede Änderung an einem Governance-Feld wird append-only mit Benutzer, Zeitpunkt sowie altem und neuem Wert protokolliert.
Waisen-Status und Scan-Verknüpfung¶
Ein Zertifikat gilt als Waise, wenn es niemandem zugeordnet ist oder ausgestellt, aber nirgends aktiv beobachtet wurde. Der Status wird vorgeschlagen, aber nie hart automatisch gesetzt:
- Sie können ein Zertifikat mit einem oder mehreren Scan-Zielen verknüpfen (n:m).
- Ist ein Zertifikat verknüpft, aber ohne aktuellen Scan-Treffer, schlägt das Register einen Waisen-Verdacht vor.
- Das manuelle Feld verwaist überschreibt den Vorschlag jederzeit — denn ein fehlender Scan-Treffer bedeutet nicht zwingend, dass das Zertifikat unbenutzt ist.
DORA-Auswertungen¶
Die Seite DORA-Auswertungen bietet vordefinierte Schnellfilter für die häufigsten Compliance-Fragen — z. B. Zertifikate auf kritischen Funktionen, demnächst ablaufende Zertifikate, schwache Kryptografie, self-signed auf kritischen Funktionen, widerrufen-aber-aktiv. Jede Auswertung ist als CSV/XLSX exportierbar und eignet sich als Nachweis (DORA Art. 8/9/28–30).
Seriös formuliert
Certificate Intelligence liefert Nachweise zur Zertifikatslage. Es garantiert keine Konformität — die Bewertung bleibt bei Ihnen bzw. Ihrem Auditor.
Agenten verwalten¶
„Agenten" sind die Exporter und Scanner, die Daten an das Register liefern. Sie werden im Web-Frontend verwaltet (Seite Agenten):
- Agent anlegen → das Register erzeugt einmalig einen API-Token. Notieren Sie ihn sofort — er wird nur bei der Anlage angezeigt.
- Den Token tragen Sie in die Konfiguration des jeweiligen Exporters/Scanners ein (siehe Installationshandbuch).
- In der Liste sehen Sie je Agent: zugeordnete Quelle,
enabled-Status und zuletzt gesehen. - Sie können den Key rotieren oder den Agenten deaktivieren/sperren.
Der Datei-/Air-Gap-Weg benötigt keinen Token (der Transport erfolgt durch einen Menschen); die Quell-Identität steckt dort in den Export-Metadaten.
Air-Gap-Import (Datei-Weg)¶
Für isolierte Segmente ohne Netzweg liefern Exporter/Scanner ihre Ergebnisse als
exchange-v1-Datei. Diese wird kopiert und im Register eingelesen — auf zwei Wegen:
- Manueller Upload: Seite Import → eine oder mehrere
exchange-v1-Dateien auswählen (Mehrfachauswahl möglich) → Sammelergebnis wird angezeigt. - Überwachte Auto-Import-Ordner: Sie legen einen oder mehrere Ablageorte an, je mit
eigenem Zeitplan (Intervall oder feste Uhrzeit UTC). Das Register liest fällige
Ordner automatisch ein, verschiebt verarbeitete Dateien nach
verarbeitet/und fehlerhafte nachfehler/. Status und Fehler sind je Ordner sichtbar; Ordner lassen sich pausieren/aktivieren, sofort einlesen („Jetzt importieren") oder entfernen.
Certificate-Transparency-Funde (CT)¶
Die Seite CT-Funde entdeckt öffentlich vertraute Zertifikate Ihrer überwachten Domänen über Certificate-Transparency-Logs — nützlich, um „Schatten-Zertifikate" zu finden, die außerhalb Ihrer internen CAs ausgestellt wurden.
- Domäne hinzufügen: die neue Domäne wird validiert (Tippfehler wie ein Leerzeichen statt Punkt werden abgewiesen) und sofort einmal geprüft; danach turnusmäßig.
- CT-Funde sind klar als extern gekennzeichnet und über die Spalte Quelle bzw.
Schnellfilter von internen (CA-Export-)Zertifikaten getrennt (
managed/external/mixed). - Fehler je Domäne werden als Status/Tooltip angezeigt und bei Erfolg wieder geleert.
Sperrstatus (CRL / OCSP)¶
Certificate Intelligence prüft rein lesend den Widerrufsstatus je Zertifikat und
kennzeichnet ihn als good, revoked oder unknown:
- CRL über die im Zertifikat hinterlegte CDP-URL (Seriennummern-Abgleich, optional Signaturprüfung gegen das Aussteller-Zertifikat aus dem Bestand).
- OCSP über die AIA-URL.
- Präzedenz:
revokedschlägtgoodschlägtunknown.
Air-Gap: Ohne Internet-Zugang bleibt der Status „unbekannt". Alternativ laden Sie eine CRL-Datei manuell hoch (DER/PEM) — daraufhin werden alle nicht-archivierten Zertifikate des passenden Ausstellers neu bewertet.
Für DORA relevant: die abgeleitete Spalte widerrufen-aber-aktiv
(revoked_but_active) mit eigener Seite, Schnellfilter und optionalem Teams-Alert.
Ketten und Trust¶
Zu jedem Zertifikat lässt sich die Aussteller-Kette (über AKI/SKI) auflösen. Intermediate- und Root-Zertifikate werden als eigene Objekte geführt, sodass sich die Trust-Dimension nachvollziehen lässt.
Zertifikate archivieren¶
Statt Zertifikate hart zu löschen, arbeitet das Register mit einem Soft-Archiv (compliance-gerecht, reversibel, auditiert):
- Archivierte Zertifikate verschwinden aus allen aktiven Listen, DORA-Auswertungen, dem XLSX-Export und den Ablauf-Alerts, bleiben aber wiederherstellbar.
- Auf der CT-Seite können Sie mehrere Zeilen auswählen und markierte archivieren bzw. archivierte einblenden und wiederherstellen oder endgültig löschen.
- Endgültiges Löschen ist nur für bereits archivierte Zertifikate möglich.
Benachrichtigungen (Microsoft Teams)¶
Auf der Seite Benachrichtigungen (Rolle admin) konfigurieren Sie einen
Microsoft-Teams-Webhook (Workflows) und erhalten einen Tages-Digest:
- Schwellen für Warnung/kritisch (Tage bis Ablauf), eskaliert nach kritischer/ wichtiger Funktion.
- Umschalter für weitere Alerts: schwache Kryptografie, Waisen, self-signed auf kritischer Funktion, widerrufen-aber-aktiv.
- Digest-Uhrzeit einstellbar; ein Testversand prüft die Konfiguration sofort.
Der Versand läuft als eingebauter Zeitplaner im Register — es ist kein externer Cron und keine weitere Infrastruktur nötig. Die Webhook-URL wird aus Sicherheitsgründen nicht wieder angezeigt.