Julkisten varmenteiden sallittu maksimipituus / elinikä on lyhentynyt viime vuosina kovaa vauhtia. Vielä muutama vuosi sitten pystyi tekemään kolmen vuoden varmenteita ja nyt maksimipituus on vain yksi vuosi (398 päivää). En mene sen tarkemmin eliniän lyhentämisen taustoihin, voitte lukea siitä tarkemmin aiemmasta blogikirjoituksesta. Aiemmin pääsääntöisesti manuaalisesti tehtävä varmenteiden uusintatyön määrä on kaksin- tai jopa kolminkertaistunut maksipituuden lyhentymisen takia. Helpotusta varmenteiden hallintaan olisi saatava rakennettua. Tässä kirjoituksessa kerron tällä hetkellä tarjolla olevista varmenteiden hallinnan helpottamisen ja automatisoinnin vaihtoehdoista.
Haastava toimintaympäristö
Alkuun on mainittava, että varmenteiden hallinnan automatisointi ei ole helppo asia hajautetuissa ympäristöissä. Ei ole yhtä automatisointisovellusta, jonka asentamalla saisi koko ketjun automatisoitua tuosta noin vaan. Nykypäivän IT-ympäristössä törmätään tilanteisiin, joissa eri palvelut on toteutettu monilla eri teknologioilla, osa on ns. on-premise ja osa on palveluntarjoajan konesalissa. Joku palvelu on toteutettu omasta julkipilvestä ja toisia ratkaisuja on ostettu ”busineksen toimesta” suoraan palveluna useilta eri toimittajilta. Täysin vakioituja ratkaisuja ei ole ja esim. IIS- ja Apache-teknologioilla toteutetuissa web-palveluissa on jokaisessa kyseisen asentajan oma kädenjälki konfiguraatiossa. Tämä ei kuitenkaan tarkoita sitä, etteikö automatisoinnilla ja muulla varmennehallinnan tehostamisella saataisi hyviä tuloksia aikaan.
Entrust ECS REST-rajapinta
Entrustin varmennejärjestelmästä löytyy REST-rajapinta, joka on maksutta käytössä kaikille Portaaliasiakkaille. Rajapinnan kautta voidaan tehdä iso osa samoista toimista, joita tehdään ECS Portaalin käyttöliittymän kautta. Rajapinta on toteutettu Open API 2.0 spesifikaation mukaan, joten integrointi on helppoa melkein millä tahansa REST:iä tukevalla sovelluksella. ECS REST-rajapinta toimii taustana monille Entrustin kehittämille varmenteiden hallinnan ratkaisuille.
Varmenteiden hallinnan työnkulut ja tiketöinti
Kun puhutaan varmenteiden hallinnasta, niin monesti ajatellaan teknistä toteutusta, jossa jokin automaatti hoitaa varmenteiden haun ja asentamisen automaattisesti. Itse haluan monesti lähestyä asiaa ensin varmenteiden haku-, myöntämis- ja asentamisprosessin kautta. Ensin on ymmärrettävä, ketkä voivat pyytää varmenteita, kuka voi antaa luvan tai myöntää varmenteita ja kuka lopulta asentaa varmenteen. Varmenteiden uusinnat pitää myös huomioida! Näiden ketjujen ja prosessien varmistaminen ja mallintaminen omaan tiketöinti- tai työnohjausjärjestelmään on äärimmäisen tärkeää.
Yksinkertaisimmillaan varmenteiden anomista, hyväksyntää ja automaattista toimitusta voi helpottaa ottamalla käyttöön ECS Portaalin eForm-toiminnallisuuden.
Integraatiot tiketöintijärjestelmiin
Entrust on kehittänyt valmiin integraatiosovelluksen ServiceNow:n ja ECS:n välille. Sovellus löytyy ServiceNow:n storesta, nimellä Entrust Certificate Manager ja se on maksuton. Sen avulla voi automatisoida varmenteiden hakemisen, luvituksen ja myöntämisen Entrustin julkisille varmenteille sekä jopa organisaation sisäisille varmenteille. Integraatiosovellus mahdollistaa varmenteiden käsittelyn ServiceNow:ssa CMDB-objekteina, joka parantaa mm. varmenteiden omistajuuden tunnistamista sekä relaatioiden kuvaamista eri palveluihin ja laitteisiin.
Teoriassa minkä tahansa tiketöintijärjestelmän voi kytkeä ECS Portaaliin hyödyntäen ECS REST -rajapintaa. Muutamat suomalaiset asiakkaamme ovat esimerkiksi integroineet Efecte-järjestelmänsä Entrustin ECS Portaaliin.
Automatisointi
Ansible on yleisesti käytetty IT-automatisointijärjestelmä. Entrustin kehittämä ecs_certificate -ansible-moduuli mahdollistaa varmenteiden hallinnan automatisoinnin Ansiblen avulla. Varmenteen avainten käsittely, varmenteen muodostaminen ja lataaminen Entrustin ECS Portaalista, varmenteen asentaminen kohdepalveluun/-palvelimeen ja asennuksen jälkimonitorointi on mahdollista automatisoida yhdistämällä Ansiblen moduuleja ja kirjastoja Entrustin moduulin kanssa.
Lisäksi varmenteiden hallintaa voidaan automatisoida myös ACME-protokollan avulla. RFC standardi 8555, Automatic Certificate Management Environment (ACME), on kehitetty yleiseksi X.509-varmenteiden hallinnan protokollaksi. Entrustin Portaali tukee suoraan ACMEv1-protokollaa ja heinäkuussa 2021 julkaistaan ACMEv2-tuki Entrustin Certificate Enrollment Gateway -tuotteeseen, joka voidaan kytkeä ECS Portaaliin.
Minkä tahansa REST:iä tukevan automatisointijärjestelmän voi kytkeä ECS REST -rajapintaan ja tehdä automatisoinnin täysin räätälöidysti.
Varmenteiden hallinta palveluna?
Wesentralla on vuosien kokemus varmenteista ja niiden hallinnasta. Tarvittaessa voimme auttaa asiakkaitamme varmenteiden hallinnassa joko tekemällä varmenteiden hallintatyön asiakkaan ECS Portaalissa asiakkaan prosessien mukaisesti tai auttamalla asiakasta varmenteiden hallinnan nykytilan auditoinnissa ja prosessien ja ohjeistusten kehittämisessä.
Jos haluat keskustella ja miettiä vaihtoehtoja varmenteiden hallinnan tehostamisesta tai automatisoinnista, ota yhteyttä Wesentraan!