Arbeiten mit Zertifikaten unterschiedlicher CAs
SSL-Anbieter wechseln: Eine komplette Anleitung in vier Schritten
Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten
(20.04.16) - Immer wieder gibt einen gewissen Hype um das Thema "Managed SSL-Anbieter wechseln". Wenn man eine Reihe von Vorüberlegungen anstellt und entsprechend plant ist ein Wechsel aber nicht annähernd so kompliziert wie manche glauben machen wollen. Man sollte vor allem die Voraussetzungen in Bezug auf Ressourcen, Kosten und die aufzuwendenden Vorbereitungen durchdacht haben. Jeder Wechsel folgt einem ganz bestimmten Schema. GMO GlobalSign gibt Ihnen hier einen kurzen Überblick darüber, was Sie tun müssen, um einen Wechsel so reibungslos wie möglich zu machen.
Schritt 1 - Vorhandene Zertifikate, Bedürfnisse und tatsächliche Verwendung überprüfen und bewerten.
Will man den Managed SSL-Anbieter wechseln, sollte man zunächst die aktuelle SSL-Nutzung und Umgebung erfassen. Nur so kann man die für einen Wechsel anfallende Zeit und die Kosten realistisch einschätzen.
Alle Zertifikate inventarisieren
Bestimmen Sie alle aktuellen Zertifikate genau, damit Sie wissen, welche ersetzt werden müssen. Firmen oder größere Unternehmen haben meistens sehr viele aktive SSL-Zertifikate in ihren Umgebungen, die alle berücksichtigt werden müssen. Für den Wechsel sollten sämtliche Zertifikate lokalisiert sein. So vermeiden Sie, dass eventuell Zertifikate bereits abgelaufen sind, was zu Lücken bei der Abdeckung, Netzwerkausfällen oder möglichen Compliance-Problemen führen kann. Mit einem Tool wie dem kostenfreien Certificate Inventory Tool lassen sich solche Checks durchführen.
Interne und externe Nutzung
Es gibt verschiedene Sicherheitsebenen und Features, die von den unterschiedlichen CAs angeboten werden. Nehmen Sie sich Zeit die Angebote sorgfältig zu prüfen, damit sie auch tatsächlich zum Anforderungsprofil Ihres Unternehmens passen.
>> Öffentlich zugängliche Websites erfordern einen höheren Sicherheitslevel. Sie sollten mit einem Zertifikat einer bewährten Zertifizierungsstelle gesichert werden.
>> Interne Sites brauchen tatsächlich nur Verschlüsselungsfunktionen. Hier können Sie durchaus einfachere Zertifikate einsetzen, die weniger Funktionen haben.
Arbeiten mit Zertifikaten unterschiedlicher CAs
Es gibt einige Gründe, warum Unternehmen mit Zertifikaten unterschiedlicher Zertifizierungsstellen arbeiten:
>> Unterschiedliche Personen oder Abteilungen haben Zertifikate separat von verschiedenen Anbietern gekauft.
>> Unterschiedliche CAs als Folge von Fusionen, Übernahmen oder Integrationen.
Hat man es mit mehreren CAs zu tun, kann das die Bestandsaufnahme erschweren. Tools wie das schon erwähnte kostenfreie Certificate Inventory Tool helfen, das Netzwerk zu kategorisieren und alle vorhandenen Zertifikate zu finden, unabhängig von der ausstellenden CA. So erhalten Sie ein vollständiges Inventar, auf das Sie beim Wechsel zu einem anderen MSSL-Anbieter zurückgreifen können. Sind Sie sicher, dass alle vorhandenen SSL-Zertifikate bei der gleichen CA gekauft wurden, können Sie einfach eine Liste aller Zertifikate von diesem Konto herunterladen. Damit erhalten Sie ein Protokoll aller bisherigen Käufe und Sie müssen sich während des Migrationsprozesses nicht auf das alte Konto verlassen.
Administratoren, Server & Anwendungen
>> Sie müssen festlegen, wer das neue Konto verwalten soll. Die Person oder auch mehrere Personen sollte/n Zeit genug haben, sich mit der neuen Plattform eingehend vertraut zu machen. Diese Schulungszeit sollten Sie fest einplanen und nicht zu knapp bemessen.
>> Dann müssen Sie die Anzahl und Art der Server und Anwendungen für die Sie Zertifikate haben, eingehend evaluieren. So finden Sie ziemlich genau heraus, was Sie beim tatsächlichen Wechsel des Managed SSL-Dienstleisters erwartet. Ein Beispiel ist, dass Sie eventuell den Austausch manuell vornehmen müssen, je nach Art des Servers, auf dem das Zertifikat installiert ist.
Schritt 2 Zertifikatserneuerung und nächste Schritte
Machen Sie sich einen genauen Plan wie Sie in Zukunft Zertifikatserneuerungen handhaben wollen, bevor Sie den Managed SSL-Anbieter wechseln. Die meisten CAs sollten die folgenden Verfahren für Erneuerungen und Ersatz anbieten:
>> Übergangsmodell: Erneuerungen werden individuell behandelt: Jedes Zertifikat wird ersetzt, wenn das Ablaufdatum heranrückt. Bei diesem Verfahren ist ein genauer Zertifikatbericht mit den Ablaufdaten sehr wichtig. Es sollte klar zugeordnet sein, wessen Aufgabe es ist, Erneuerungen zu verwalten. Dieses Modell spart in der ersten Zeit nach dem Wechsel Zeit beim Installieren von Zertifikaten. Aber man muss die Ablaufzeiten sorgfältig überwachen bis alle Zertifikate unter dem neuen Verwaltungskonto erneuert sind.
>> "Wegwerfen & Ersetzen"-Modell: Das ist genau das, wonach es sich anhört: Sie ersetzen alle Zertifikate auf einmal. Das erfordert anfangs mehr Zeit und Ressourcen, aber Sie müssen sich keine Gedanken über Ablaufdaten und die Überwachung alter Zertifikate über deren gesamten Lebenszyklus hinweg zu machen. Die Sorge sich auf zwei unterschiedliche Plattformen verlassen zu müssen entfällt. Es gibt CAs, die ein Tauschmodell anbieten bei dem Sie die verbleibende Gültigkeitsdauer eines bestehenden Zertifikats ohne Aufpreis auf das neue Zertifikat anrechnen lassen können.
>> Einarbeitung in die neue Plattform: Sie müssen genau wissen wie viele Benutzer Sie haben, sowie deren Aufgaben und Zuständigkeiten erfassen. Achten Sie darauf, Schulungszeiten im finalen Zeitplan für den Wechsel zu berücksichtigen. Der Administrator des neuen Kontos braucht eventuell eine intensivere Schulung als jemand, der zum Beispiel nur Bestellungen aufgibt.
Erfassen aller API-Integrationen
Wenn Sie bei Ihrer derzeitigen CA API-Integration verwenden, muss es eine ähnliche Integration bei der potenziellen neuen CA geben. Die sollte zufriedenstellende API-Unterlagen vorlegen können sowie Support und Beratung während des Einarbeitungsprozesses anbieten.
Schritt 3 Abschätzen der anfallenden Kosten
Inzwischen haben Sie wahrscheinlich schon eine vergleichsweise genaue Vorstellung von der Tragweite des Wechsels und können die mit dem Wechsel verbundenen Kosten besser abschätzen. Achten Sie auf die folgenden anfallenden Kosten:
>> Investitionen: Einmalige Investitionen (je nach gewählter CA): Inventur-Tool für Zertifikate, Zertifikat-Verwaltungstool und Entwicklungskosten für die API-Integration.
>> Betriebskosten: Laufende Kosten aus betriebswirtschaftlicher Sicht: die Zeit, die die Kontonutzer benötigen, um sich mit der neuen Verwaltungsplattform vertraut zu machen, zum Delegieren von Zuständigkeiten usw. Die Schulungszeit variiert je nach individuellen Zuständigkeiten.
>> Jährliche Zertifikatkosten: Während Ihrer Evaluierung müssen Sie die Kosten aller Produkte berücksichtigen. Und zwar im Hinblick auf den Nutzen, den bestimmte Funktionen und Merkmale für Ihr Unternehmen haben.
>> Produktdefinitionen: Jede CA definiert ihre Produkte anders. Sie sollten das Produktangebot vollständig evaluieren und sicher sein, dass das Zertifikat Ihre Bedürfnisse erfüllt, und auch, dass es keine unnötigen kostenpflichtigen Add-ons enthält.
>> Einrichtungsgebühren: Sämtliche Einrichtungsgebühren, die erforderlich sind.
Schritt 4 - Optionen und Vorteile
Wenn Sie Managed SSL-Anbieter vergleichen, machen Sie sich klar, dass Sie nicht einfach nur ein Produkt, sondern einen Geschäftspartner wählen. Ihr Unternehmen ist von dieser CA abhängig, noch lange nachdem sie die Zertifikate ausgestellt hat. Der Anbieter Ihrer Wahl sollte natürlich SSL-Zertifikate mit allen Funktionen anbieten, die Sie brauchen.
Im Idealfall kann eine CA aber mehr:
>> Fundierte Beratung zu Sicherheitsinitiativen anbieten.
>> Bei Empfehlungen die konkreten Unternehmensbedürfnisse berücksichtigen.
>> Sie mit Tools ausstatten, um zu verifizieren, ob Ihre Webserver-Konfiguration optimiert wurde,
(GMO GlobalSign: ra)
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
